Feil Rechtsanwälte: Hinweise zur Fernwartung und Teleservicevereinbarungen

Feil Rechtsanwälte: Hinweise zur Fernwartung und Teleservicevereinbarungen
13.09.2011714 Mal gelesen
IT-Sicherheit und rechtlich sichere vertragliche Vereinbarungen sind für Fernwartung und Teleservicevereinbarungen von besonderer Bedeutung. In der Praxis werden solche Vereinbarungen teilweise etwas stiefmütterlich behandelt. Feil Rechtsanwälte haben für Sie die wichtigsten Aspekte zusmmengestellt.

Die folgenden Ausführungen beinhalten Hinweise zur Gewährleistung der Informationssicherheit bei der Pflege von Standardsoftware mittels Teleservice. Die Hinweise beschreiben wesentliche Sicherheitsaspekte, die beim Abschluss einer Teleservicevereinbarung beachtet werden sollten.

Soweit sich die Teleservicevereinbarung auch auf die Pflege von Standardsoftware bezieht, die für die Verarbeitung personenbezogener Daten im Sinne des Bundesdatenschutzgesetzes eingesetzt werden, ist Folgendes zu beachten:

Der Auftraggeber bleibt auch bei der Verarbeitung und Nutzung personenbezogener Daten durch von ihm beauftragte Dritte (Auftragsdatenverarbeitung im Sinne des Bundesdatenschutzgesetzes) für die Einhaltung der anzuwendenden Datenschutzvorschriften verantwortlich. Dies gilt insbesondere für die unmittelbaren Pflichten der Behörden gegenüber den Betroffenen (Auskunft, Benachrichtigung, Berichtigung, Sperrung und Löschung). Der Auftragnehmer darf die personenbezogenen Daten und Unterlagen nur im Rahmen des Auftrags und nach den Weisungen des Auftraggebers verarbeiten.

In diesem Zusammenhang ist auf Folgendes hinzuweisen:

I. Bei der vertraglichen Ausgestaltung einer Auftragsdatenverarbeitung sind die folgenden Punkte zwingender Vertragsbestandteil nach § 11 BDSG:

1. Die Datenverarbeitung und -nutzung durch den Auftragnehmer ist festzulegen (d. h. vor allem Art und Gegenstand der vom Auftragnehmer erwarteten Datenverarbeitungstätigkeiten).

2. Die technischen und organisatorischen Maßnahmen der Datensicherung sind zu fixieren.

3. Die Vergabe von Unteraufträgen im Rahmen von Auftragsdatenverarbeitung darf vom Auftraggeber nur gestattet werden, wenn sich der Auftragnehmer verpflichtet, dem Unterauftragnehmer aufzuerlegen, dass die dem Auftragnehmer obliegenden Pflichten auch vom Unterauftragnehmer eingehalten werden.

II. Darüber hinaus sollten folgende Punkte vertraglich festgelegt werden:

1. Beschreibung der organisatorischen, räumlichen und personellen Maßnahmen zur Abgrenzung der Datenverarbeitung von anderen Unternehmensbereichen.

2. Verpflichtung des Auftragnehmers zur Verpflichtung seiner Mitarbeiter zur Wahrung des Datengeheimnisses nach § 5 BDSG.

3. Einhaltung der gesetzlichen Löschungsfristen nach BDSG.

4. Festlegung der Verfügungsberechtigungen.

5. Kontrollrechte des Auftraggebers beim Auftragnehmer.

Die nach den jeweils anzuwendenden Rechtsvorschriften, insbesondere zum Datenschutz dem Auftraggeber und Auftragnehmer allgemein obliegenden Pflichten zur Gewährleistung des Datenschutzes werden von der Teleservicevereinbarung nicht berührt.

Eine Teleservicevereinbarung sollte unter anderem folgende Inhalte haben:

. Beschreibung der technischen und organisatorischen Regeln für die Durchführung von Pflegearbeiten mittels Telekommunikationsdiensten über Netzwerke und das Internet.

. Einzelheiten von Aufbau und Kontrolle der Telekommunikationsverbindung. Der Verbindungsaufbau sollte grundsätzlich durch den Auftraggeber erfolgen. Sollte hiervon abweichend eine vom Auftragnehmer ausgehende Einwahlmöglichkeit zur Datenverarbeitungsanlage des Auftraggebers vereinbart werden, sind organisatorische und technische Vorkehrungen zu treffen, durch die die unbefugte Einwahl verhindert wird.

. Der Auftraggeber sollte berechtigt werden, die Verbindung zu unterbrechen, wenn begründete Zweifel an der Zulässigkeit der Kommunikationsverbindung bestehen. Die Entscheidungsgründe sind zu protokollieren.

. Hinsichtlich der Bereitstellung der technischen Einrichtungen sowie der Übernahme der Verbindungskosten (einschließlich eventueller Pauschalen) sind die entsprechenden Vereinbarungen zwischen Auftraggeber und Auftragnehmer je nach den technischen und organisatorischen Gegebenheiten zu treffen.

. Es müssen Regeln über eine sichere Authentifizierung der Kommunikationspartner - Auftraggeber und Auftragnehmer - vereinbart werden. Die Authentifizierungen sind zu protokollieren.

. Nach Maßgabe der technischen Möglichkeit sollte eine Protokollierung der im Rahmen des Teleservice erfolgten Zugriffe auf das System des Auftraggebers erfolgen.

. Der Auftraggeber sollte durch geeignete Maßnahmen sicherstellen, dass während der Pflegearbeiten in den Systembereichen, für die dem autorisierten Personal des Auftragnehmers ein Zugangsrecht eingeräumt wurde, keine Zugriffe auf Originaldaten erfolgen können.

. Der Auftragnehmer sollte die von ihm benannten und autorisierten Personen auf das Fernmeldegeheimnis gemäß § 85 TKG verpflichten.

. Soweit eine Protokollierung von Aktionen des Teleservice erfolgt, sind Vereinbarungen über die Dauer und den Ort der Aufbewahrung zu treffen. Auftraggeber und Auftragnehmer sind jeweils berechtigt, Einsicht in die Protokolle zu nehmen und diese für Nachprüfungs- und Kontrollzwecke auszuwerten.

. Jeder Vertragspartner sollte sich verpflichten, den jeweils anderen Vertragspartner unverzüglich zu informieren, wenn Verstöße insbesondere gegen das Datenschutzrecht oder die Pflicht zur Verschwiegenheit festgestellt werden oder ein begründeter Verdacht besteht.

. Für alle technischen Fragen im Zusammenhang mit den Einzelheiten der im Rahmen dieser Teleservicevereinbarung zu erbringenden Pflegeleistungen ist jeweils ein Ansprechpartner zu benennen.

Der Auftragnehmer sollte sich verpflichten:

. Unbefugten den Zutritt zu seinen Systemen, mit denen Daten des Auftraggebers verarbeitet und genutzt werden, zu verwehren,

. zu verhindern, dass seine zur Erbringung des Teleservice eingesetzten Systeme von Unbefugten genutzt werden können,

. dafür Sorge zu tragen, dass Daten des Auftraggebers bei Speicherung, Verarbeitung oder Nutzung in Systemen des Auftragnehmers nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können,

. dafür Sorge zu tragen, dass bei einer elektronischen Übertragung von Daten des Auftraggebers im Einvernehmen mit diesem die notwendigen Sicherheitsmaßnahmen zur Gewährleistung der Vertraulichkeit und Integrität getroffen werden,

. dafür Sorge zu tragen, dass Weisungen des Auftraggebers zur Verarbeitung von Daten bei der Erbringung von Pflegeleistungen mittels Teleservice beachtet werden.

Wenn Gegenstand der Teleservicevereinbarung die Eingabe, Veränderung und Löschung von Daten des Auftraggebers ist, sollte nachträglich geprüft und festgestellt werden können, ob und von wem Daten des Auftraggebers eingegeben, verändert oder gelöscht worden sind. Hierüber ist eine gesonderte Vereinbarung zu treffen.

 

Folgende Beiträge sind für Sie noch von Interesse:

http://www.recht-freundlich.de/geschaeftsfuehrung-und-it-sicherheit

http://www.recht-freundlich.de/programme-zur-automatisierten-installation-und-deinstallation

Weitere Artikel dieses Rechtsgebiets

Ende der Störerhaftung – Regierung beschließt neues WLAN-Gesetz

Ende der Störerhaftung – Regierung beschließt neues WLAN-Gesetz

Internet, IT und Telekommunikation
547 Mal gelesen
Die Bundesregierung will die WLAN-Netze öffnen. Daher soll die Störerhaftung von Hotspot-Anbietern abgeschafft werden. WLAN-Betreiber müssen also nicht mehr die Abmahnkosten tragen, wenn Dritte über ihren Anschluss illegales Filesharing betrieben haben. Neu geschaffen wird dagegen ein Anspruch geschädigter Rechteinhaber gegen WLAN-Anbieter auf Sperrung konkreter Internetseiten.
Profilbild Rechtsanwalt
Veröffentlicht von Rechtsanwalt
Christian Solmecke, LL.M.
 aus Köln Nachricht senden
Vorsicht vor gefälschten Stellenanzeigen im Internet

Vorsicht vor gefälschten Stellenanzeigen im Internet

Internet, IT und Telekommunikation
450 Mal gelesen
Zurzeit sollten Bewerber die auf Stellensuche sind, vorsichtig sein. Eine fiese Betrugsmasche ist im Umlauf. Aktuell locken Betrüger mit gefälschten Stellenanzeigen in Internet-Jobbörsen oder versenden diese per E-Mail. Sie spähen Bewerber aus, stehlen deren Identität oder betrügen sie um viel Geld. Jobsuchende können so schnell zum Opfer werden.
Profilbild Rechtsanwalt
Veröffentlicht von Rechtsanwalt
Christian Solmecke, LL.M.
 aus Köln Nachricht senden
Werbeblocker Adblock Plus – OLG München bezieht Stellung

Werbeblocker Adblock Plus – OLG München bezieht Stellung

Internet, IT und Telekommunikation
390 Mal gelesen
Erneut muss sich die Kölner Eyeo GmbH, Anbieter des Adblockers Adblock Plus, vor Gericht verteidigen. Geklagt haben drei namhafte deutsche Medienhäuser. Weiterhin geht es um die heiß diskutierte Frage, ob das Anbieten einer Adblocker Software wie Adblock Plus legal ist. Hierzu hat sich jetzt das OLG München in einem anhängigen Verfahren geäußert.
Profilbild Rechtsanwalt
Veröffentlicht von Rechtsanwalt
Christian Solmecke, LL.M.
 aus Köln Nachricht senden