Orientierungshilfe für den öffentlichen Bereich - Fernwartung



Ähnliche Dokumente
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Datenschutz-Vereinbarung

Datenschutz und Systemsicherheit

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

UMSETZUNGSHILFE Exta Einladung zur Durchführung eines betrieblichen Eingliederungsmanagement nach 84 Abs. 2 SGB IX

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Service Level Agreement (SLA) für OS4X Suite der c-works GmbH

Auftragsdatenverarbeitungsvertrag Gemäß 11 Bundesdatenschutzgesetz

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

III.2.3) Technische und berufliche Leistungsfähigkeit

Hausanschluss. Strom Gas Fernwärme Wasser

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Datenschutzvereinbarung

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung...

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Vertrag über freie Mitarbeit / Honorarvertrag

... - nachstehend Auftraggeber genannt nachstehend Auftragnehmer genannt

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Anlage zur AGB von isaac10 vom [ ] Auftragsdatenverarbeitung. Präambel

Eine Information des Ingenieurbüro Körner zur Baustellenverordnung

Sehr wichtige Information

Rechtlicher Rahmen für Lernplattformen

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Der Schutz von Patientendaten

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Vorgehensweise Auftragsdatenverarbeitungsvertrag

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG

Erlä uterungen zu Meldungen IP Losses Art. 101 CRR

Anlage zur Auftragsdatenverarbeitung

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Vernetzung ohne Nebenwirkung, das Wie entscheidet

IPM- Prozessmanagement. Manuelle Anträge

Datenschutz und Schule

Checkliste zum Datenschutz in Kirchengemeinden

Weisung 2: Technische Anbindung

Allgemeine Informationen zur Registrierung für die GRAPHISOFT Studentenversionen

CATIA Richtlinien. Es wird zuerst ein quadratischer Tank (geschlossene Form) konstruiert, dieser wird zu:

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Fact Sheet 2 Personalkosten

Nutzung dieser Internetseite

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Weisung 2: Technische Anbindung

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Die Situation: mit ClassLive synchron kommunizieren. Die Voraussetzungen:

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

BYOD Bring Your Own Device

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Weisung 2: Technische Anbindung

Gesetzesänderungen «Nominee», Entwurf

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

HDI-Gerling Industrie Versicherung AG

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Anleitung WLAN BBZ Schüler

Leseprobe zum Download

Datenschutz in beratenden Berufen 10 Tipps & Fragen zum Umgang mit personenbezogenen Daten

Stadt Rödental. Paralleles Markterkundungsverfahren und Auswahlverfahren nach Nr der bayerischen Breitbandrichtlinie

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Vernichtung von Datenträgern mit personenbezogenen Daten

3 HmbDSG - Datenverarbeitung im Auftrag

Abschluss und Kündigung eines Vertrages über das Online-Portal der Netzgesellschaft Düsseldorf mbh

Bedingungen für die Überlassung von Freeware-Software-Produkten von HIPPSOFT

Psychotherapie und die Krankenkassen Wer zahlt was

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Anmeldeverfahren. Inhalt. 1. Einleitung und Hinweise

Schritte zum Systempartner Stufe Großhandel

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Antragsstellung Führerschein. Information. Ersterteilung einer Fahrerlaubnis. Notwendige Unterlagen

Technische und organisatorische Maßnahmen der

Frequently Asked Questions zu UMS

Ordnungsgemäße Rechnung gem. 14 Abs. 4 UStG. Rechtsstand: April 2013

Homebanking-Abkommen

Datenschutz und Datensicherheit in mittelständischen Betrieben

Checkliste zum Datenschutz

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+! ,# "$$ $ 4 9$ 4 5 )/ )

Vollzug des Bayerischen Datenschutzgesetzes (BayDSG)

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Wir empfehlen die Konfiguration mit den Servern secureimap.t-online.de und securepop.t-online.de.

Systemvoraussetzungen zur Teilnahme an HeiTel Webinaren. HeiTel Webinaren. Datum Januar 2012 Thema

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Datenschutz-Politik der MS Direct AG

Der Datenschutzbeauftragte

Transkript:

Landesbeauftragte für Datenschutz und Infrmatinsfreiheit Freie Hansestadt Bremen Orientierungshilfe für den öffentlichen Bereich - Fernwartung Versin 1.1

Herausgeber: Die Landesbeauftragte für Datenschutz und Infrmatinsfreiheit der Freien Hansestadt Bremen Bremerhaven, 25. Januar 2012 2

Inhaltsverzeichnis 1. Grundlegendes zur Fernwartung... 4 1.1. Definitin der Fernwartung... 4 1.2. Umfang der Fernwartung... 4 1.3. Art der Fernwartung... 4 1.4. Rechtliche Einrdnung... 5 1.5. Spezialregelungen für die Fernwartung bei sensiblen Daten... 5 2. Auswahl und Kntrlle des Auftragnehmers... 5 2.1. Wartungsvertrag... 5 2.2. Auswahl des Auftragnehmers... 6 2.3. Schriftliche Vereinbarung zum Datenschutz... 6 2.4. Geltung des BremDSG und Unterwerfungsklausel... 6 3. Technische und rganisatrische Maßnahmen... 7 3.1. Zutrittskntrlle... 7 3.2. Zugangskntrlle... 7 3.3. Zugriffskntrlle... 8 3.4. Weitergabekntrlle... 8 3.5. Eingabekntrlle... 9 3.6. Auftragskntrlle... 9 3.7. Verfügbarkeitskntrlle... 9 3.8. Zwecktrennung... 10 Bei weiteren Fragen wenden Sie sich gerne an:... 11 3

1. Grundlegendes zur Fernwartung Immer mehr Behörden gehen dazu über, ihre Datenverarbeitungssysteme nicht mehr durch eigenes Persnal vr Ort zu warten, sndern dies per Fernwartung durch externe Stelle vrnehmen zu lassen. Diese Frm der Wartung birgt ein grßes Risik- und Gefahrenptenzial für das infrmatinelle Selbstbestimmungsrecht. Aufgrund der immer weiter zunehmenden Kmplexität vn Systemen erfrdern Wartungs- der Fehlerbehebungsvrgänge allerdings in vielen Fällen besnders spezielles Fachwissen, welches vn der verantwrtlichen Stelle durch das eigene Persnal nicht vrgehalten werden kann. Zur Aufrechterhaltung eines funktinierenden IT-Betriebs greifen Behörden daher auf die Möglichkeit der Fernwartung zurück. Nach 9 Bremisches Datenschutzgesetz (BremDSG) muss gewährleistet werden, dass die inhaltliche Verantwrtlichkeit für die Aufgabenerfüllung und die Verantwrtung für die Auftragsdatenverarbeitung bei der öffentlichen Stelle verbleiben, vergleiche 2 Absatz 3 Nummer 1, 2. Fall BremDSG. Bei der Wartung per Fernzugriff durch externe Dritte ist weiterhin zu beachten, dass Geheimnisträger im Sinne des 203 Strafgesetzbuch (StGB) ihr Geheimnis ffenbaren, wenn sie persnenbezgene Daten an externe Auftragnehmer weitergeben. Damit die Fernwartung durch externe Dritte in diesem Bereich keine unzulässige Offenbarung eines Geheimnisses darstellt, sind insweit auch die spezialgesetzlichen Vraussetzungen der 80 Szialgesetzbuch (SGB) X, 36 a Gesetz über den öffentlichen Gesundheitsdienst (ÖGDG) der 10 Krankenhausdatenschutzgesetz (KHDSG) zu erfüllen (siehe dazu unten Ziffer 1.5). Der Auftraggeber bleibt aber auch bei einer Fernwartung die verantwrtliche Stelle nach 2 Absatz 3 Nummer 1, 2. Fall BremDSG und muss durch ausreichende Sicherheitsmaßnahmen dafür srgen, dass die Anfrderungen an den Datenschutz und die Datensicherheit eingehalten werden und ein Datenmissbrauch ausgeschlssen ist. Dies bedeutet, dass die persnenbezgenen Daten s geschützt werden müssen, dass die Persönlichkeitsrechte der Betrffenen durch die Fernwartung nicht beeinträchtigt werden und die Fernwartung nur in dem vertraglich vereinbarten Rahmen stattfindet. Der Auftragnehmer darf ausschließlich auf Anweisung und in einem durch einen Wartungsvertrag festgelegten Umfang tätig werden. Aus der Sicht des Datenschutzes gibt es daher besndere Anfrderungen, die durch technische und rganisatrische Maßnahmen umgesetzt werden müssen. Diese Orientierungshilfe sll die Risiken verdeutlichen und die erfrderlichen Maßnahmen darstellen. 1.1. Definitin der Fernwartung Unter Wartung wird die Summe der Maßnahmen zur Sicherstellung der Verfügbarkeit und Integrität der Hard- und Sftware vn Datenverarbeitungsanlagen verstanden. Dazu zählen Installatin, Pflege, Überprüfung und Krrektur der Sftware swie Überprüfung und Reparatur der Austausch vn Hardware. Fernwartung bedeutet Wartung, die vn einem Ort außerhalb der verantwrtlichen Stelle mittels Einrichtungen zur Datenübertragung ausgeführt wird. Diese Orientierungshilfe befasst sich nur mit Fernwartungen, deren Gegenstand autmatisierte Verfahren der Datenverarbeitungsanlagen sind, und ein Zugriff auf persnenbezgene Daten nicht ausgeschlssen werden kann, vergleiche 9 Absatz 4 BremDSG. Hausinterne Wartungen der Wartungen, bei denen die Kenntnisnahme vn persnenbezgenen Daten technisch ausgeschlssen ist, fallen nicht unter 9 Absatz 4 BremDSG. 1.2. Umfang der Fernwartung Der Umfang der Fernwartung muss durch den Auftraggeber festgelegt und vertraglich geregelt werden. Die Wartung erflgt dabei immer im Einzelfall auf Anfrderung des Auftraggebers. Jede Fernwartung ist durch geeignetes Persnal des Auftraggebers zu überwachen und zu prtkllieren, insbesndere auch die Zugriffe auf persnenbezgene Daten. 1.3. Art der Fernwartung In dieser Orientierungshilfe wird ausschließlich die Fernwartung durch eine externe Stelle, das heißt nicht durch einen Dritten im Sinne vn 2 Absatz 4 Nummer 3 BremDSG betrachtet. Ein Auftragnehmer als externe Stelle kann eine andere öffentliche Stelle der eine nicht öffentliche Stelle sein. Dies kann 4

beispielsweise ein Dienstleistungsunternehmen sein, welches per Fernzugriff vn außerhalb des Netzwerks auf Rechner und Systeme innerhalb des Netzwerks zugreift und die vertraglich vereinbarte Wartung durchführt. In Kapitel 3 wird auf die einzelnen zu treffenden Maßnahmen genauer eingegangen. 1.4. Rechtliche Einrdnung Rechtlich ist die ben definierte Fernwartung als Datenverarbeitung im Auftrag gemäß 9 Absatz 4 BremDSG einzurdnen. Danach ist 9 Absatz 1 bis 3 BremDSG entsprechend anzuwenden. Da datenschutzrechtlich kein Knzernprivileg existiert, müssen die Regelungen zur Auftragsdatenverarbeitung auch bei der Beauftragung innerhalb eines Knzerns zwischen den einzelnen juristischen Persnen berücksichtigt werden. 1.5. Spezialregelungen für die Fernwartung bei sensiblen Daten Sweit der Auftraggeber ein Krankenhaus nach 1 Absatz 2 Bremisches Krankenhausdatenschutzgesetz (BremKHDSG) ist, sind zusätzlich die Vraussetzungen vn 10 BremKHDSG zu beachten. Dabei ist zu beachten, dass der Zugriff auf Patientendaten im Rahmen der Fernwartung durch den Auftragnehmer nur zulässig ist, wenn das Krankenhaus im Einzelfall zuvr die Daten zum Zugriff freigegeben hat. Sweit der Auftraggeber eine Behörde der Einrichtung des öffentlichen Gesundheitsdienstes nach 5 Absatz 1 ÖGDG ist, sind zusätzlich die Vraussetzungen vn 36a ÖGDG zu beachten. In diesem Fall sind Daten aus dem ärztlichen Bereich in jedem Fall auf physisch getrennten Dateien zu verarbeiten. Sweit der Auftraggeber ein Szialleistungsträger bzw. eine in 35 SGB I genannte Stelle ist, sind zusätzlich die Vraussetzungen vn 80 SGB X zu beachten. Nach 80 Absatz 7 Satz 2 SGB X sind Verträge über Wartungsarbeiten, bei denen ein Zugriff auf Szialdaten nicht ausgeschlssen werden kann, rechtzeitig vr der Auftragserteilung der Aufsichtsbehörde mitzuteilen; sind Störungen im Betriebsablauf zu erwarten der bereits eingetreten, ist der Vertrag unverzüglich mitzuteilen. Nach 80 Absatz 7 in Verbindung mit Absatz 2 Satz 1 SGB X ist eine Auftragserteilung für die Fernwartung nur zulässig, wenn der Datenschutz beim Auftragnehmer nach der Art der zu erhebenden, zu verarbeitenden der zu nutzenden Daten den Anfrderungen genügt, die für den Auftraggeber gelten. Nach 80 Absatz 7 in Verbindung mit Absatz 2 Satz 6 SGB X setzt die Auftragserteilung an eine nicht-öffentliche Stelle außerdem vraus, dass der Auftragnehmer dem Auftraggeber schriftlich das Recht eingeräumt hat, (1.) Auskünfte bei ihm einzuhlen, (2.) während der Betriebs- und Geschäftszeiten seine Grundstücke der Geschäftsräume zu betreten und drt Besichtigungen und Prüfungen vrzunehmen und (3.) geschäftliche Unterlagen swie die gespeicherten Szialdaten und Datenverarbeitungsprgramme einzusehen, sweit es im Rahmen des Auftrags für die Überwachung des Datenschutzes erfrderlich ist. 2. Auswahl und Kntrlle des Auftragnehmers Die flgenden Anfrderungen gelten unabhängig vn der gewählten Art der Fernwartung (siehe Ziffer 1.3). 2.1. Wartungsvertrag Nach 9 Absatz 1 Satz 3 BremDSG ist der Auftrag zur Verarbeitung persnenbezgener Daten schriftlich zu erteilen. Insbesndere sind die Datenverarbeitung, die technischen und rganisatrischen Maßnahmen gemäß 7 BremDSG swie etwaige Unterauftragsverhältnisse festzulegen. Flgende Punkte müssen mindestens in dem Fernwartungsauftrag geregelt sein: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der durchzuführenden Wartungsarbeiten swie die Art der persnenbezgenen Daten und der Kreis der Betrffenen 3. die nach 7 BremDSG zu treffenden technischen und rganisatrischen Maßnahmen, 4. die Löschung vn Daten, 5. die bestehenden Pflichten des Auftragnehmers, insbesndere die vn ihm einzuhaltenden Bestimmungen des BremDSG gemäß 9 Absatz 1 Satz 5 BremDSG, 5

6. die Verpflichtung auf das Datengeheimnis gemäß 6 BremDSG 7. die etwaige Berechtigung zur Begründung vn Unterauftragsverhältnissen, gegebenenfalls Benennung vn Unterauftragnehmern 8. die Kntrllrechte des Auftraggebers gemäß 9 Absatz 1 Satz 4 BremDSG und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 9. mitzuteilende Verstöße des Auftragnehmers der der bei ihm beschäftigten Persnen gegen Vrschriften zum Schutz persnenbezgener Daten der gegen die im Auftrag getrffenen Festlegungen swie weitere Vrkmmnisse, die den sicheren, datenschutzknfrmen Betrieb gefährden, 10. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vrbehält, 11. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags, 12. Unterwerfungsklausel gemäß 9 Absatz 1 Satz 5 BremDSG. Wird durch den Auftraggeber ein Unterauftragsverhältnis zugelassen, s ist der Unterauftragnehmer ebenfalls auf alle Regelungen des Wartungsvertrags swie gegebenenfalls auf die Unterwerfungsklausel (siehe Ziffer 2.4) zu verpflichten. 2.2. Auswahl des Auftragnehmers Nach 9 Absatz 1 Satz 2 BremDSG muss der Auftraggeber den Auftragnehmer unter besnderer Berücksichtigung der Eignung der vn dem Auftragnehmer getrffenen rganisatrischen und technischen Maßnahmen gemäß 7 BremDSG srgfältig auswählen. Hierzu ist zunächst eine Bestimmung des Schutzbedarfs der persnenbezgenen Daten erfrderlich. Die Bestimmung des Schutzbedarfs muss vr der Auswahl durch den Auftraggeber erflgen (siehe zum Beispiel Schutzbedarfe feststellen im IT- Grundschutz des Bundesamts für Sicherheit in der Infrmatinstechnik). Unter besnderen Bedingungen (siehe Ziffer 1) kann eine Fernwartung unzulässig sein. 2.3. Schriftliche Vereinbarung zum Datenschutz Grundsätzlich gilt es aus Gründen der Datenvermeidung, Datensparsamkeit und Erfrderlichkeit, den Zugriff auf persnenbezgene Daten durch die mit der Fernwartung beauftragte externe Stelle sweit wie möglich zu verhindern und nur dann zuzulassen, wenn die Wartung snst nicht durchzuführen wäre. Der Auftragnehmer und etwaige Unterauftragnehmer müssen vertraglich zu den Regelungen und Maßnahmen des Datenschutzes nach BremDSG, zur Verschwiegenheit nach 6 BremDSG und zur Nicht- Weitergabe der persnenbezgenen Infrmatinen und Daten verpflichtet werden. Der Auftraggeber ist für die Erstellung des Datenschutzknzepts für die Fernwartung verantwrtlich. Die Kntrllrechte des behördlichen Datenschutzbeauftragten nach 7a BremDSG swie der Landesbeauftragten für den Datenschutz nach 27 BremDSG sind vm Auftraggeber sicherzustellen. 2.4. Geltung des BremDSG und Unterwerfungsklausel Erflgt die Fernwartung durch eine externe Stelle, die nicht unter die Aufsicht der Landesbeauftragten für Datenschutz fällt, ist durch den Auftragnehmer eine schriftliche Unterwerfungsklausel zu unterzeichnen. Diese muss wie flgt lauten: Verarbeitet (Auftragnehmer) persnenbezgene Daten für (Auftraggeber) der in dessen Auftrag, gelten dafür das Bremische Datenschutzgesetz (BremDSG). Die Bestimmungen des BremDSG werden durch (Auftragnehmer) beachtet und (Auftragnehmer) unterwirft sich der Kntrlle der der des Landesbeauftragten für den Datenschutz der Freien Hansestadt Bremen. Die der der Landesbeauftragte für den Datenschutz der Freien Hansestadt Bremen überwacht die Einhaltung des BremDSG swie anderer Vrschriften über den Datenschutz, berät (Auftragnehmer) insweit in Fragen des Datenschutzes. Der (Auftragnehmer) ist gemäß 27 Absatz 2 Sätze 1 und 2 BremDSG verpflichtet, die der den Landesbeauftragte(n) für den Datenschutz der Freien Hansestadt Bremen und seine Beauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. 6

3. Technische und rganisatrische Maßnahmen Im Rahmen des Vertrags sind flgende Punkte festzulegen: die technischen und rganisatrischen Maßnahmen nach 7 BremDSG, die datenschutzrechtlichen Verantwrtlichkeiten und die getrffenen Maßnahmen zum Schutz vn persnenbezgenen Daten, der Funktinsumfang vn Rllen und Berechtigungen, die Revisinsmöglichkeiten. Die Berücksichtigung technischer Sicherheitsmaßnahmen für die Fernwartung muss vr einer Inbetriebnahme erflgen. Die Einhaltung der getrffenen Maßnahmen ist vm Auftraggeber swhl vr der Inbetriebnahme der Fernwartung als auch während der Fernwartung zu kntrllieren. Es wird empfhlen, das Ergebnis der Kntrlle zu dkumentieren. Es muss insgesamt festgelegt werden, welche Mitarbeiter zum autrisierten Wartungspersnal des Auftragnehmers gehören swie welche Mitarbeiter des Auftraggebers berechtigt sind, den Fernzugriff freizugeben. Bei der Auswahl des Fernwartungspersnals müssen die gleichen engen Maßstäbe angesetzt werden, wie bei dem eigenen Persnal des Auftraggebers, das heißt dass unter Umständen bei sicherheitsüberprüften Persnal des Auftraggebers gleichwertig überprüftes Persnal auf Seiten des Auftragnehmers einzusetzen ist. Insbesndere sind die knkreten technischen und rganisatrischen Maßnahmen bezgen auf die Einsatzumgebung gemäß 7 Absatz 4 Satz 2 Nummer 1 bis 8 BremDSG sind im Datenschutzknzept des Auftraggebers detailliert zu beschreiben. Es wird empfhlen flgendes hinsichtlich der Fernwartung zu berücksichtigen: 3.1. Zutrittskntrlle Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen persnenbezgene Daten verarbeitet werden, zu verwehren. Der Auftragnehmer muss technische Sicherheitsmaßnahmen ergreifen, um seine Datenverarbeitungsanlagen, vn denen die Fernwartung durchgeführt werden sll, vr unbefugtem Zutritt zu schützen (zum Beispiel Zutrittskntrllen, Einbruchschutz, Schließanlage). Es muss durch rganisatrische Maßnahmen sichergestellt sein, dass nur ausgewähltes Persnal des Auftragnehmers Zutritt zu diesen Datenverarbeitungsanlagen hat. Das zugelassene Persnal ist auf die erfrderliche Anzahl zu beschränken. Die grundsätzliche Zulassung der Mitarbeiter des Auftragnehmers und die weitere Administratin müssen durch prüfbare und dkumentierte Regelungen erflgen (zum Beispiel Beschreibung des Genehmigungsprzesses und der Berechtigungsvergabe, beschränkter Zugriff auf Zutrittsprtklle). Es ist weiterhin vm Auftragnehmer sicherzustellen, dass nur befugte Mitarbeiter des Auftragnehmers Zutritt zu dessen Datenverarbeitungsanlagen haben und dass im Fall einer Datenschutzverletzung nachzuvllziehen ist, welcher Mitarbeiter Zutritt zu den Datenverarbeitungsanlagen hatte, d.h. es müssen technische Maßnahmen zur Zutritts-Prtkllierung ergriffen werden. Die Prtklle müssen revisinssicher gespeichert werden. 3.2. Zugangskntrlle Es ist zu verhindern, dass Datenverarbeitungssysteme vn Unbefugten genutzt werden können. Um zu verhindern, dass Unbefugte Zugang zum dem Netzwerk des Auftraggebers bekmmen, an das die zu wartenden Systeme angeschlssen sind, müssen Sicherheitsmaßnahmen ergriffen werden (zum Beispiel Firewalls, entmilitarisierte Znen). Besnders schützenswerte Bereiche sllten durch aktuelle technische Lösungen mit hhem Schutzniveau geschützt werden. Um dem Auftragnehmer Zugang zum Netzwerk zu ermöglichen, müssen klare Regeln zur Authentifikatin der miteinander kmmunizierenden Systeme gelten und überwacht werden, zum Beispiel durch Festlegung vn IP-Adressen der Systeme des Auftragnehmers, der Zielsysteme swie der erfrderlichen Zielprts und einer zeitlichen Begrenzung der Öffnung vn Prts. 7

Die zur Fernwartung eingesetzte Sftware swie die Systemkmpnenten und das dazu gehörige Berechtigungsknzept sind vm Auftragnehmer ausführlich zu beschreiben. Eine Umgehung der festgelegten Vrgehensweise und eingesetzter Kmpnenten ist auszuschließen. Die Knfiguratin der eingesetzten Sftware ist festzulegen. Bei der Fernwartung muss die Freigabe des Wartungsvrgangs durch den Auftraggeber mit Wissen und Willen aktiv erflgen, das heißt der Auftraggeber gibt die Fernwartung frei und stimmt dem Zugriff zu. Der Verbindungsaufbau zwischen dem Auftragnehmer und dem zu wartenden System wird vm Auftraggeber fallbezgen initiiert und technisch ermöglicht. Die Verbindung muss jederzeit durch den Auftraggeber abgebrchen werden können. Nach zeitlich begrenzter Nicht-Aktivität des Auftragnehmers erflgt zwangsweise ein Lg-ut (Benutzerabmeldung). Die Wartungsarbeiten beginnen erst nach eindeutiger Identifizierung des Auftragnehmers. Die Authentifizierung sllte über sichere mehrstufige und kmbinierte Methden vrgenmmen werden. Die Übertragung vn Authentifizierungsdaten hat über gesicherte Verbindungen zu erflgen. Nach Beendigung der Fernwartungsmaßnahme muss die Verbindung geschlssen werden, um nicht autrisierte Anmeldeversuche zu verhindern. 3.3. Zugriffskntrlle Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass persnenbezgene Daten bei der Verarbeitung, der Nutzung und nach der Speicherung nicht unbefugt gelesen, kpiert, verändert der entfernt werden können. Sllte der Zugriff auf persnenbezgene Daten durch den Auftragnehmer aufgrund der Art der Wartungsarbeiten unumgänglich sein, muss der Umfang des Zugriffs durch den Auftragnehmer s gering wie möglich sein, das heißt es darf nur auf die persnenbezgenen Daten zugegriffen werden können, die zur Durchführung der Wartung der zur Lösung des Prblems tatsächlich ntwendig sind (Prinzipien der geringsten Rechte, der Datensparsamkeit, der Datenvermeidung und der Erfrderlichkeit). Grundsätzlich sllte dem Auftragnehmer kein Vllzugriff ermöglicht werden. Die Berechtigungsvergabe ist vm Auftraggeber ausführlich zu dkumentieren. Passwörter, die im Rahmen vn Wartungsarbeiten ffenbart wrden sind, müssen nach Beendigung der Wartungsaufgabe unverzüglich geändert werden. Persnenbezgene Daten mit besnderem Schutzbedarf sind -sweit möglich- aus dem gewarteten System für den Zugriffszeitraum zu entfernen. Sllte dies nicht möglich sein, könnte ein Fernzugriff bei besnders sensiblen Daten unzulässig sein; dies gilt zum Beispiel für Daten mit hhem der sehr hhem Schutzbedarf (zum Beispiel Gesundheitsdaten, Straffälligkeiten; siehe Ziffer 1). Wenn möglich, sllten Fachanwendungen der andere im Einsatz befindliche Fachsftware nicht vll ausgeführt werden können, slange auf den/die Rechner des Auftraggebers per Fernwartung zugegriffen wird. Der Auftraggeber hat die Fernwartung des Auftragnehmers zu überwachen, damit der Zugriff durch den Auftraggeber jederzeit abgebrchen werden kann, zum Beispiel wenn der Zugriff auf persnenbezgene Daten ausgeweitet wird, die nicht der Zugriffsberechtigung des Auftragnehmers unterliegen. Der Wartungsvrgang muss mindestens vn einem sachkundigen Mitarbeiter des Auftraggebers am Bildschirm verflgt werden. Die Kntrlle am Bildschirm mittels Vier-Augen-Prinzips ist erfrderlich der durch geeignete technische Maßnahmen zu gewährleisten. Während der Verbindung sllte eine dauerhafte Anzeige des Fernwartungsmdus erflgen. 3.4. Weitergabekntrlle Es ist zu gewährleisten, dass persnenbezgene Daten bei der elektrnischen Übertragung der während ihres Transprts der ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kpiert, verändert der entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Weitergabe persnenbezgener Daten durch Einrichtung einer Datenfernübertragung vrgesehen ist. Grundsätzlich ist es technisch zu verhindern, dass persnenbezgene Daten aus dem zu wartenden System heraus weitergegeben der (zwischen-)gespeichert werden können. Lässt es sich nicht ver- 8

meiden, dass persnenbezgene Daten zur Lösung eines schwerwiegenden Prblems an den Auftragnehmer übertragen werden müssen, sind diese vr der Übertragung zu annymisieren und nach der Lösung des Prblems unwiderruflich zu löschen. Dies gilt auch für Datenträger, die zum nur in Ausnahmefällen zum Zweck der Prblemlösung an den Auftragnehmer weitergegeben werden dürfen. dabei ist zu beachten, dass persnenbezgene Daten nur verschlüsselt übertragen werden dürfen. Die übertragenden persnenbezgenen Daten sind ausschließlich im Rahmen der Fernwartung zu nutzen. Die Verbindung zwischen dem zu wartenden System des Auftraggebers und dem des Auftragnehmers muss nach aktuellem Standard gesichert erflgen (zum Beispiel Verschlüsselung). Alle Mitarbeiter des Auftragnehmers, die Zugriff auf die persnenbezgenen Daten im Rahmen der Fernwartung haben, sind zur Verschwiegenheit nach 6 BremDSG zu verpflichten. Darüber hinaus sind sie darüber aufzuklären, dass eine Datenübermittlung an Dritte unzulässig ist. 3.5. Eingabekntrlle Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, b und vn wem persnenbezgene Daten in Datenverarbeitungssysteme eingegeben, verändert der entfernt wrden sind. Der gesamte Fernzugriff muss am Bildschirm mindestens durch einen sachkundigen Mitarbeiter des Auftraggebers bebachtet werden. Jeder Zugangs-/ Zugriffsversuch vn außerhalb des Netzwerks des Auftraggebers ist zu prtkllieren. Jeder Fehlversuch unter der festgelegten Wartungskennung ist zu prtkllieren. Die Prtkllierung des Fernzugriffs erflgt während des gesamten Zeitraums des Fernzugriffs. Prtklliert werden sllen: wer hat wann in welchem System/ in welcher Datei wie lange welche Änderungen an welchen Daten vrgenmmen Die Prtkllierung ist in geeigneter Weise vrzunehmen. Es muss schriftlich festgelegt sein, wer Zugriff auf diese Prtklldateien hat. Diese Prtklldateien sind nur für Kntrllzwecke revisinssicher slange vrzuhalten bis Fehler, Datenverlust der Missbrauch während des Wartungsvrgangs auszuschließen sind. Bei Änderungen an der Knfiguratin des Systems muss der Auftraggeber aktiv zustimmen. 3.6. Auftragskntrlle Es ist zu gewährleisten, dass persnenbezgene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Zu diesem Zweck sind alle Maßnahmen, Rechte und Pflichten schriftlich in einem Wartungsvertrag festzuhalten. Um sicherzustellen, dass der Auftragnehmer bestmögliche und aktuelle Kenntnisse über die eingesetzte Sftware (Basiskmpnenten, Standardsftware und Fachanwendungen) verfügt, sind alle benötigten Infrmatinen vm Auftraggeber weiterzugeben. Die Systemverantwrtlichen beim Auftraggeber sind wiederum über den Umgang mit der Fernwartungssftware durch den Auftragnehmer zu infrmieren und zu schulen. 3.7. Verfügbarkeitskntrlle Es ist zu gewährleisten, dass persnenbezgene Daten gegen zufällige Zerstörung der Verlust geschützt sind. Vr dem Zugriff auf das autmatisierte Verfahren der die Datenverarbeitungsanlage durch den Auftragnehmer sllte eine kmplette Sicherung des Systems durch den Auftraggeber vrgenmmen werden, die mindestens slange aufbewahrt werden sllte, bis vm Auftraggeber geprüft wurde, dass keine Schädigung der kein Verlust vrliegen. Diese Sicherung ist vn dem Zugriff durch die Fernwartung auszunehmen. 9

Zusätzlich müssen beim Auftragnehmer Maßnahmen ergriffen werden, die eingesetzte Sftware vr Malware wie Viren und Trjanern zu schützen. 3.8. Zwecktrennung Der Zugriff auf die Systeme darf nur zum im Wartungsvertrag bestimmten Zweck erflgen. Alle während des Wartungsvrgangs durch den Auftragnehmer eingesehenen der gespeicherten persnenbezgenen Daten unterliegen den Regelungen und Maßnahmen des Datenschutzes gemäß BremDSG. Es besteht eine Verpflichtung zur Verschwiegenheit nach 6 BremDSG. 10

Bei weiteren Fragen wenden Sie sich gerne an: Die Landesbeauftragte für Datenschutz und Infrmatinsfreiheit der Freien Hansestadt Bremen Anschrift Arndtstraße 1 27570 Bremerhaven Pstanschrift Pstfach 10 03 80 27503 Bremerhaven Tel.: (0471) 596-2010 der (0421) 361-2010 Fax: (0421) 496-18495 E-Mail: ffice@datenschutz.bremen.de Internet-Adresse: www.datenschutz.bremen.de 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback