Nächtliche Besucher
Fernwartung im Büro
Rechtsanwalt Tobias H. Strömer (Mai
1997)
Dienstleister ändern DV-Konfigurationen immer
öfter online. Diese Praxis kann jedoch schnell zu Datenschutzkonflikten
führen.
Wer heute mit immer komplexer werdenden Computernetzwerken arbeitet,
kommt ohne eine kompetente Betreuung und Beratung durch geschulte Helfer nicht mehr aus.
Häufig greifen Unternehmen dabei auf externe Dienstleister zurück. Solche Dritte mit
Wartungsarbeiten zu beauftragen, ist aus Sicht von Datenschutz und -sicherheit jedoch
problematisch. Der im Unternehmen Verantwortliche kann in der Regel etwa nicht
zuverlässig überwachen, welche Daten gelesen, kopiert, verändert oder gelöscht werden.
Oft werden komplette Datenträger ausgebaut, mitgenommen oder gar mit der Post verschickt,
ohne daß die darauf enthaltenen Daten vorher zuverlässig gelöscht werden.
Heikel wird die Sache besonders dann, wenn die Wartung von Hard- und
Software gar nicht vor Ort stattfindet, sondern per Fernwartung über die Telefonleitung
und zudem außerhalb der Bürozeiten. Falls es sich bei einer solchen Übertragung
datenschutzrechtlich um eine "Datenübermittlung" handelt, wäre sie nach der
gültigen Rechtslage unzulässig. Eine Vorschrift, die eine Datenübermittlung zu
Wartungszwecken erlaubt, kennet das Bundesdatenschutzgesetz nämlich nicht. Anders sieht
die Rechtslage dann aus, wenn es sich um eine "Datenverarbeitung im Auftrag"
handelt. Sie ist für einen anderen zulässig, soweit sie erforderlich ist.
Gemäß der Definition des Bundesdatenschutzgesetzes
bedeutet "Datenübermittlung": Bekanntgabe gespeicherter oder durch
Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten (Empfänger) in der
Weise, daß die Daten entweder durch die speichernde Stelle an den Empfänger
weitergegeben werden oder der Empfänger von der speichernden Stelle zur Einsicht oder zum
Abruf bereitgehaltene Daten einsieht oder abruft.
Von einer Auftragsdatenverarbeitung spricht man dann, wenn
personenbezogene Daten zwar einer anderen Person oder Stelle offenbart werden, diese aber
nur auf Weisung der datenverarbeitenden Stelle unterstützend für diese tätig wird.
Verantwortlich für den Datenschutz bleibt nach dem Bundesdatenschutzgesetz immer die
auftraggebende Stelle.
Diejenigen, die die Ansicht vertreten, bei der Fernwartung handle es
sich um eine Datenübermittlung, verweisen vor allem darauf, daß es Aufgabe des externen
Betreuers sei, die Funktionsfähigkeit der Computeranlage zu erhalten oder
wiederherzustellen. Mitübertragene oder zugänglich gemachte Daten seien gar nicht
Gegenstand der Verarbeitung. Deshalb handle es sich um eine
"Datenübermittlung", die in jedem Fall einer besonderen gesetzlichen Grundlage
bedarf.
Nach der Vorstellung des Gesetzgebers dient aber auch die
Datenübermittlung vorrangig dazu, den Empfänger in den Besitz gerade der übermittelten
Daten zu bringen. Wichtiges Merkmal der "Datenverarbeitung" ist es, daß die
Datenverwendung nur als "Hilfsfunktion" für die Aufgabenerfüllung der
datenverarbeitenden Stelle erfolgt.
Gerade dann, wenn der Betreuer mit mitübertragenen Daten arbeiten soll,
um einen Fehler in der Hard- oder Software zu beheben, findet auch eine Verarbeitung
statt. Es spricht deshalb vieles dafür, von einer "Datenverarbeitung" im
Auftrag zu sprechen. Die Offenlegung von personenbezogenen Daten gegenüber einem externen
Wartungsunternehmen ist danach grundsätzlich zulässig, sollte aber unbedingt auf das
jeweils notwendige Maß beschränkt werden.
Bei der Fernwartung muß der Verbindungsaufbau stets durch den Kunden
erfolgen. Er sollte sich die Möglichkeit einräumen (lassen), die Arbeiten, die aus der
Ferne vorgenommen werden, zu überwachen. Mit sogenannten "Trace-Programmen" ist
auch eine Aufzeichnung der Wartungsarbeiten, insbesondere der erfolgten
Datenübertragungen, und damit eine nachträgliche Kontrolle möglich. Eine
Selbstverständlichkeit sollte es sein, daß alle autorisierten Wartungspersonen
namentlich bekannt gemacht und zur Wahrung des Datengeheimnisses schriftlich verpflichtet
werden.