Die meisten Unternehmen arbeiten heutzutage mit IT-Firmen zusammen, welche über Fernwartung die IT-Systeme im Betrieb warten, reparieren oder überprüfen. Da hierbei ein Zugriff eines Dritten auf das System des Unternehmens erfolgt, wo auch die Möglichkeit der Einsicht personenbezogener Daten besteht, gibt es einige Dinge zu beachten, damit datenschutzrechtlich keine Schwierigkeiten entstehen.

Zunächst wird natürlich ein Wartungsvertrag mit der Firma abgeschlossen, welche die Fernwartung künftig durchführen soll. In diesem Vertrag ist bestenfalls bereits eine Verschwiegenheitsvereinbarung integriert (das ist besonders wichtig, bei z. B. Arztpraxen, welche besondere Datenkategorien nach Art. 9 DS-GVO verarbeiten). So weit, so klar. Schließen Sie mit dem IT-Dienstleister auch gleich eine Auftragsverarbeitungsvereinbarung ab, um auf der sicheren Seite zu sein. Auch wenn im Vertrag ein Zugriff auf Teile des Systems, in welchem personenbezogene Daten vorhanden sind, nicht vorgesehen ist, besteht die Möglichkeit, dass Kenntnis derselben erlangt wird. Hier sollte man sich mit einer Auftragsverarbeitungsvereinbarung absichern und sicherstellen, dass die nötigen technischen und organisatorischen Maßnahmen auch bei dem Dienstleister gewährleistet sind.

Es müssen weitergehend natürlich auch technische Aspekte beachtet werden, damit die Fernwartung nicht zum Risiko für das eigene System wird. Dies beginnt bereits bei der Einrichtung. Es muss festgelegt werden, wie die Fernwartung genutzt wird und wie Anwendungen mit ihr konfiguriert werden. Die Regelungen zur Fernwartung sollten dabei allen Beteiligten mitgeteilt werden. Hier sollte auch auf sichere und zertifikatsbasierte Verfahren gesetzt werden anstatt Authentisierungsverfahren mit unsicheren oder zu kurzen Passwörtern.

Fernwartungszugriffe müssen außerdem auf das notwendige Maß beschränkt werden und es muss immer eine Zustimmung zu dem Zugriff vom Nutzer erfolgen. Nach dem die Fernwartung abgeschlossen ist, müssen die Zugänge dann wieder getrennt werden. Bestenfalls halten Sie eine Dokumentation über die Fernwartung vor, welche bspw. beinhaltet, welche Fernwartungszugänge existieren und ob diese aktiviert sind. Diese Dokumentation sollte dann sicher abgelegt werden, damit hier keine unbefugten Zugriffe erfolgen können.

Beachten Sie diese grundlegenden Hinweise zur Fernwartung, um datenschutzrechtlich auf der sicheren Seite zu sein.