Nächtliche Besucher - Fernwartung im Büro

einleitungsbild datenschutzDienstleister ändern DV-Konfigurationen immer öfter online. Diese Praxis kann jedoch schnell zu Datenschutzkonflikten führen.

 

Wer heute mit immer komplexer werdenden Computernetzwerken arbeitet, kommt ohne eine kompetente Betreuung und Beratung durch geschulte Helfer nicht mehr aus. Häufig greifen Unternehmen dabei auf externe Dienstleister zurück. Solche Dritte mit Wartungsarbeiten zu beauftragen, ist aus Sicht von Datenschutz und -sicherheit jedoch problematisch. Der im Unternehmen Verantwortliche kann in der Regel etwa nicht zuverlässig überwachen, welche Daten gelesen, kopiert, verändert oder gelöscht werden. Oft werden komplette Datenträger ausgebaut, mitgenommen oder gar mit der Post verschickt, ohne daß die darauf enthaltenen Daten vorher zuverlässig gelöscht werden.

 

Heikel wird die Sache besonders dann, wenn die Wartung von Hard- und Software gar nicht vor Ort stattfindet, sondern per Fernwartung über die Telefonleitung und zudem außerhalb der Bürozeiten. Falls es sich bei einer solchen Übertragung datenschutzrechtlich um eine »Datenübermittlung« handelt, wäre sie nach der gültigen Rechtslage unzulässig. Eine Vorschrift, die eine Datenübermittlung zu Wartungszwecken erlaubt, kennt das Bundesdatenschutzgesetz nämlich nicht. Anders sieht die Rechtslage dann aus, wenn es sich um eine »Datenverarbeitung im Auftrag« handelt. Sie ist für einen anderen zulässig, soweit sie erforderlich ist.

Gemäß der Definition des Bundesdatenschutzgesetzes bedeutet »Datenübermittlung«: Bekanntgabe gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten (Empfänger) in der Weise, daß die Daten entweder durch die speichernde Stelle an den Empfänger weitergegeben werden oder der Empfänger von der speichernden Stelle zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft.

Von einer Auftragsdatenverarbeitung spricht man dann, wenn personenbezogene Daten zwar einer anderen Person oder Stelle offenbart werden, diese aber nur auf Weisung der datenverarbeitenden Stelle unterstützend für diese tätig wird. Verantwortlich für den Datenschutz bleibt nach dem Bundesdatenschutzgesetz immer die auftraggebende Stelle.

Diejenigen, die die Ansicht vertreten, bei der Fernwartung handle es sich um eine Datenübermittlung, verweisen vor allem darauf, daß es Aufgabe des externen Betreuers sei, die Funktionsfähigkeit der Computeranlage zu erhalten oder wiederherzustellen. Mitübertragene oder zugänglich gemachte Daten seien gar nicht Gegenstand der Verarbeitung. Deshalb handle es sich um eine »Datenübermittlung«, die in jedem Fall einer besonderen gesetzlichen Grundlage bedarf.

Nach der Vorstellung des Gesetzgebers dient aber auch die Datenübermittlung vorrangig dazu, den Empfänger in den Besitz gerade der übermittelten Daten zu bringen. Wichtiges Merkmal der »Datenverarbeitung« ist es, daß die Datenverwendung nur als »Hilfsfunktion« für die Aufgabenerfüllung der datenverarbeitenden Stelle erfolgt.

Gerade dann, wenn der Betreuer mit mitübertragenen Daten arbeiten soll, um einen Fehler in der Hard- oder Software zu beheben, findet auch eine Verarbeitung statt. Es spricht deshalb vieles dafür, von einer »Datenverarbeitung« im Auftrag zu sprechen. Die Offenlegung von personenbezogenen Daten gegenüber einem externen Wartungsunternehmen ist danach grundsätzlich zulässig, sollte aber unbedingt auf das jeweils notwendige Maß beschränkt werden.

Bei der Fernwartung muß der Verbindungsaufbau stets durch den Kunden erfolgen. Er sollte sich die Möglichkeit einräumen (lassen), die Arbeiten, die aus der Ferne vorgenommen werden, zu überwachen. Mit sogenannten »Trace-Programmen« ist auch eine Aufzeichnung der Wartungsarbeiten, insbesondere der erfolgten Datenübertragungen, und damit eine nachträgliche Kontrolle möglich. Eine Selbstverständlichkeit sollte es sein, daß alle autorisierten Wartungspersonen namentlich bekannt gemacht und zur Wahrung des Datengeheimnisses schriftlich verpflichtet werden.