Ob Server, Workstation oder Laptop, IT-Systeme in Unternehmen erfordern eine regelmäßige Wartung. IT-Wartungen sind notwendig, um einen sicheren Betrieb der Systeme und das damit verbundene Niveau der Datensicherheit zu gewährleisten. Hierbei ist es nicht ungewöhnlich, dass Softwareupdates durchgeführt oder auch Hardware-Komponenten getauscht werden.
Wartung der IT-Systeme durch externe Dienstleister
Nur wenige Unternehmen führen solche Arbeiten vollständig selbst durch. Die meisten lassen sich von externen Dienstleistern helfen. Es ist üblich, Wartungsverträge / Service-Level-Agreements (SLA) mit Herstellern oder Systemhäusern zu schließen. In solchen Verträgen sind Service- und Wartungsleistungen genau festgelegt, so werden z.B. Umfang und Kosten geregelt.
Häufig werden solche Serviceleistungen nicht nur von einem Anbieter in Anspruch genommen. Viele Dienstleister kümmern sich nur um Teilbereiche der IT, wie z.B. Netzwerktechnik oder bestimmte Softwarelösungen. Gerade bei spezieller Software, wie z.B. ERP-Systemen, werden Verträge mit dem jeweiligen Anbieter geschlossen. Dieser steht dann zur Verfügung, wenn beispielsweise Updates zu installieren sind oder eine Migration auf andere Systeme vorgesehen ist. Entsprechend schließen Unternehmen oft mehrere Service-Level-Agreements mit verschiedenen Anbietern ab.
Oft übersehenes Risiko: Auftragsdatenverarbeitung
Zahlreichen Verantwortlichen kommt nicht in den Sinn, dass eine IT-Wartung mit dem betrieblichen Datenschutz in Verbindung stehen kann. Schließlich stehen Hardware oder Software im Mittelpunkt, jedoch nicht personenbezogene Daten. Allerdings wird eine Sache gerne übersehen: Personen, die Wartungsarbeiten an IT-Systemen durchführen (ob vor Ort oder mittels Fernwartung), könnten Zugriff auf Daten mit Personenbezug erhalten. Dies ist wiederum ein Risiko, zumal eine Auftragsverarbeitung festgestellt werden kann.
Einige meinen, eine IT-Wartung hätte hiermit nichts zu tun, sodass keine Auftragsdatenverarbeitung vorliegt. Allerdings kommt es auf den genauen Sachverhalt an. Laut Bundesdatenschutzgesetz (BDSG) liegt eine Auftragsdatenverarbeitung vor, sofern nicht ausgeschlossen werden kann, dass der Dienstleister Einsicht / Zugriff auf personenbezogene Daten hat.
Ansonsten ist ein fundierter Nachweis entscheidend. Aus ihm muss hervorgehen, dass keine Auftragsverarbeitung vorliegt, weil z.B. ausschsließlich an Systemen gearbeitet wird, auf denen sich keine Daten mit Personenbezug befinden und von dort aus kein Zugriff auf betroffene Systeme möglich ist. Ebenso kann ein Zugriff / die Einsicht auf personenbezogene Daten auszuschließen sein, sofern eine wirksame Verschlüsselung vorliegt.
Mit der EU Datenschutzgrundverordnung (EU-DSGVO) ist die Thematik komplexer geworden. Die EU-DSGVO regelt die IT-Wartung nicht explizit, weshalb Juristen und weitere Experten für Datenschutz verschiedene Ansichten vertreten. Die sicherste Lösung besteht jedoch zweifelsohne darin, von einer Auftragsverarbeitung auszugehen. Solch eine Betrachtung verspricht vor allem langfristige Sicherheit.
Vertrag über Auftragsdatenverarbeitung sowie Wartungsvertrag sicher gestalten
Sofern bei der IT-Wartung ein Zugriff auf personenbezogene Daten nicht auszuschließen ist und somit von einer Auftragsverarbeitung ausgegangen wird, ist ein entsprechender Vertrag unter Berücksichtigung der DSGVO Vorgaben abzuschließen.
Ein ebenfalls kritisches Thema ist eine mögliche Schweigepflicht. Angenommen der Auftraggeber ist Arzt oder Rechtsanwalt (besondere Kategorien personenbezogener Daten), gilt es sicherzustellen, dass es durch die IT-Wartung zu keiner unbefugten Offenbarung kommt. Hier sind für den Datenschutz besondere Maßnahmen zu ergreifen.
Sofern keine Auftragsverarbeitung vorliegt, sollte zumindest ein Wartungsvertrag abgeschlossen werden. Der Wartungsvertrag ist eine essentielle Maßnahme, um entscheidende Regelungen zu treffen und die Haftungsrisiken als Auftraggeber zu minimieren.
Es ist festzuhalten, welche Art von Wartung erfolgt und in welchem Umfang dies geschieht. Außerdem sollte der Wartungsvertrag eine Vertraulichkeitsvereinbarung enthalten. Auch die für den Datenschutz festgelegten technischen und organisatorischen Maßnahmen (TOM) können vereinart werden. Sollte sich der Auftragnehmer nicht an die vertraglichen Vereinbarungen halten, kann er haftbar gemacht werden.
Wir schaffen sichere Rahmenbedienung in Ihrem Unternehmen
Sie verarbeiten auf Ihren IT-Systemen Daten mit Personenbezug? Gerne helfen wir Ihnen dabei, die Wartung der Systeme abzusichern, damit diese aus datenschutzrechtlicher Sicht zulässig ist. Wir können z.B. das Datenschutzniveau analysieren und Unterstützung bei der Vertragsgestaltung leisten. Als externer Datenschutzbeauftragter befassen wir uns mit solchen Themen fortlaufend und können praxisnahe Lösungen entwickeln. Für weitere Informationen erreichen Sie uns telefonisch unter 0800 – 5600831 (gebührenfrei) oder über unser Kontaktformular.