Mittels einer Remotedesktopverbindung können über dasselbe Netzwerk oder das Internet Verbindungen zwischen Computern hergestellt werden. Aus datenschutzrechtlicher Sicht ist zu beachten, dass somit grundsätzlich ein Zugriff auf Programme, Dateien und Netzwerkressourcen gewährt wird und eine Grundlage für die Datenverarbeitung geschaffen werden muss. Zunächst einmal sollten die folgenden Fragen geklärt werden:

• Welche Firmen führen Wartungsarbeiten durch (Wartungsverträge)?;
• Um welche Wartungsarbeiten handelt es sich (vor Ort, Systembetreuung, Fernwartung)?;
• In welchem Umfang wird die Wartung durchgeführt (gelegentlich, bei Bedarf, regelmäßig)?.

Grundsätzlich sollte anhand einer Gefahren- und Risikoanalyse gemeinsam mit der Eintrittswahrscheinlichkeit des Schadens die weiteren vorzuhaltenden Maßnahmen ermittelt werden.

I. Datenschutzkonforme Fernwartung

Wenn eine Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann ist gemäß § 11 Abs. 5 BDSG eine Auftragsdatenverarbeitungsvereinbarung abzuschließen. Dies ist häufig der Fall beim Einsatz eines externen Dienstleister – z. B. im Rahmen der allgemeinen IT-Systembetreuung oder eines technischen Softwaresupports mittels Bildschirmscreening. In der Praxis sollten datenschutzrechtliche Rahmenbedingungen für den Zugriff über eine Remotedesktopverbindung z. B. als Weisung an den Externen[1] herausgegeben werden. Insbesondere sollte bei der Durchführung einer Fernwartung zumindest berücksichtigt werden, dass:

• Fernwartungen nur mit Zustimmung des Auftraggebers und mit entsprechender Autorisierung  des Auftragnehmers begonnen  werden (ggf. mit Hinweisfenster auf dem Bildschirm);
• Fernwartungen für 1 Jahr protokolliert werden sollten (Datum, Uhrzeit, Tätigkeitsbeschreibung, Benutzerkennung);
• Fernwartungen kontrolliert und jederzeit vom Auftraggeber abgebrochen werden können;
• nicht mehr erforderliche personenbezogene Daten, welche der Auftragnehmer bei der Fernwartung erhalten hat, unverzüglich gelöscht oder dem Auftraggeber zurückgeben werden;
• wenn zur Fehleranalyse auch auf die Wirkdaten des Auftraggebers zurück gegriffen werden muss, die vorherige Einwilligung des Auftraggebers einzuholen ist.

II. Datensicherheit bei der Fernwartung

Ein weiteres Problemfeld sind die Angriffe von außerhalb auf die bestehende Remotedesktopverbindung. Im Umkehrschluss bedeutet dies, dass auch die technischen und organisatorischen Maßnahmen zur Datensicherung (nach dem aktuellen Stand der Technik) im Vorfeld festgelegt werden müssen, um sich vor Angriffen von außerhalb – z. B. vor einem Ausspähen der Daten zu schützen. Gefahren für weitreichende Angriffsszenarien ergeben sich insbesondere bei fehlerhaft ausdifferenzierten Benutzer- und Administratorenberechtigungen und nicht ordnungsgemäß abgemeldeten Profilen.

Hilfestellungen zur it-rechtlichen Ausgestaltung der Datensicherungsmaßnahmen können dem IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entnommen werden.[2]

Gerne stehen wir Ihnen für Rückfragen zur Verfügung.

_______________

1 Orientierungshilfe: http://www.lfd.niedersachsen.de/technik_und_organisation/orientierungshilfen_und_handlungsempfehlungen/fremd_und_fernwartung/fremd–und-fernwartung-56094.html

2 BSI Grundschutzkatalog: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m05/m05033.html