31. Juli 2008 - Klare Regeln schaffen Sicherheit

Managed Desktop Services

Viele Unternehmen wollen sich auf ihr Kerngeschäft konzentrieren. Andere Bereiche wie die Betreuung der Informations- und Kommunikations-Geräte und ihrer Nutzer überlassen sie lieber externen Spezialisten. So wird das partielle Auslagern von EDV-Komponenten inklusive ihrer Betreuung und Wartung immer beliebter. Beim Outsourcing ist für die Einhaltung des Datenschutzes der Datenschutzbeauftragte gefragt.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

War es eine Zeitlang Mode, seine komplette IT-Landschaft einschließlich der gespeicherten Daten outzusourcen, wird heutzutage davon immer mehr Abstand genommen.

Viele Unternehmen fürchten die zunehmende Abhängigkeit gegenüber dem Auftragnehmer und sehen die Aufrechterhaltung eines ordnungsgemäßen Betriebs ihrer Datenverarbeitungsanlagen nicht gewährleistet.

Bei Managed Desktop Services werden nur einzelne Bereiche ausgliedert

Um trotzdem Kosten zu sparen und die Qualität der Datenverarbeitung zu steigern, gliedern viele Häuser nur noch einzelne Bereiche wie die Betreuung und Wartung der Endgeräte aus.

Bei diesen sogenannten Managed Desktop Services handelt es sich somit um IT-Dienstleistungen einer damit beauftragten Stelle. Diese Dienstleistungen können sowohl von einer internen als auch – und das ist der Regelfall – von einer externen Stelle übernommen werden.

Art und Umfang der Managed Desktop Services verbindlich regeln

Für die Beauftragung externer IT-Dienstleister gelten die gleichen Regeln und Anforderungen wie bei einer sonstigen Form der Auftragsdatenverarbeitung. Regeln Sie daher eindeutig in einem Vertrag:

  • die Art,
  • den Umfang der Dienstleistung
  • sowie die Rechte und Pflichten von Auftraggeber und Auftragnehmer.

Die Services bieten viele Vorteile, …

Im Regelfall wird bei Managed Desktop Services die komplette Verantwortung für die Anschaffung der erforderlichen Hard- und Software sowie deren Installation, Betreuung und Wartung außer Haus gegeben.

Auch die Schulung und Betreuung der Nutzer dieser Geräte übernimmt das beauftragte Unternehmen. Der Auftraggeber

  • spart Anschaffungs- und Personalkosten,
  • ist unabhängig von Hard- und Softwareaufrüstungen bzw. -wechseln,
  • ist unabhängig von Personalqualifikationsproblemen und Personalengpässen und
  • kann sich auf seine Kernaufgaben konzentrieren.

… gefährden aber die Gewährleistung des Datenschutzes

Auch wenn bei IT-Dienstleistungen wie Managed Desktop Services die Speicherung der personenbezogenen Daten auf Rechnern erfolgt, die sich beim Auftraggeber befinden, so lassen sich – z.B. bei einer Fehlersuche – ein Zugriff des Auftragnehmers auf diese Daten sowie deren unbefugte Änderung zumindest nicht ausschließen.

So organisieren Sie Fernzugriffe datenschutzkonform
Zur Absicherung des Fernzugriffs auf Endgeräte muss der Auftragnehmer zumindest folgende technisch-organisatorischen Maßnahmen ergreifen:

  1. Die Fernzugriffe dürfen die Absicherungsmaßnahmen für das lokale Netz des Auftraggebers (z.B. Einsatz von Firewalls) nicht unterlaufen.
  2. Die Zugriffe auf die Rechner des Auftraggebers dürfen nur unter Nutzung eines virtuellen privaten Netzes (VPN) erfolgen.
  3. Der Zugriff auf bestimmte Rechner (z.B. in der Personalabteilung) sollte ganz verboten oder bestimmte Verzeichnisse bzw. Dateien sollten vom Zugriff ausgenommen sein.
  4. Generell ist die Zugriffsmöglichkeit auf personenbezogene Daten auf das unbedingt Notwendige zu reduzieren.
  5. Wann immer möglich sollte der Nutzer des betreffenden Rechners bei jedem Zugriffsversuch des Wartungspersonals die Möglichkeit haben, zu entscheiden, ob er den Zugriff auf seinen PC zulässt oder nicht.
  6. Falls dies im Einzelfall nicht möglich ist, muss dem Betroffenen der Remote-Zugriff zumindest angezeigt werden.
  7. Soweit möglich hat sich der Zugreifende mittels Passwort beim Zugriffsobjekt zu legitimieren.
  8. Bei einem Fernzugriff von oder nach außerhalb des eigenen Netzwerks muss gewährleistet sein, dass personenbezogene Daten nur verschlüsselt übertragen werden.
  9. Sollte der Verdacht bestehen, dass der Zugriff auf Daten erfolgt, die offenkundig nicht für den Wartungsfall erforderlich sind, sollte der PC-Nutzer die Möglichkeit haben, die Verbindung abzubrechen.
  10. Die lückenlose Protokollierung aller Zugriffsversuche muss gewährleistet sein, sodass erkennbar ist, wer mithilfe der Fernwartungssoftware wann auf welche Art und Weise auf welche Daten zugegriffen hat.
  11. Diese Protokolldaten sind regelmäßig von einem Mitarbeiter des Auftraggebers (z.B. Systemverwalter, DSB) auszuwerten.

Der Auftraggeber hat nur eingeschränkte Kontrollmöglichkeiten

Ein weiterer Nachteil besteht darin, dass auch bei dieser Art der Auftragsdatenverarbeitung die Kontrolle der Einhaltung der Datensicherheit und des Datenschutzes beim Outsourcing nur in eingeschränktem Maße möglich ist.

Wirtschaftlichkeitsbetrachtung muss Sicherheitsmaßnahmen einbeziehen

Es kann also passieren, dass die positiven Effekte durch die nötigen Datenschutz- und Datensicherungsmaßnahmen infrage gestellt oder gar verfehlt werden.

Daher muss eine Wirtschaftlichkeitsbetrachtung unbedingt den Aufwand für die erforderlichen Sicherheitsmaßnahmen berücksichtigen.

Besonders heikel ist der Fernzugriff für die Fehlersuche

Eine besondere Gefahr geht von den zur Fehlersuche und -behebung erforderlichen Fernzugriffen aus.

Während die eigene IT-Abteilung dazu im Regelfall vor Ort und unter Kontrolle des Anwenders versuchen würde, den Fehler zu lokalisieren und zu beheben, kann dies ein externer Auftragnehmer nicht leisten.

Die Mitarbeiter des Auftragnehmers werden von einer zentralen Stelle im Rahmen einer Fernwartung tätig. Dabei ist nie auszuschließen, dass diese Tätigkeiten mit einer Offenbarung geschützter personenbezogener Daten verbunden sind.

Per Fernzugriff sind zahlreiche Datenmanipulationen möglich

Außerdem besteht im Rahmen des Fernzugriffs die Möglichkeit, unbemerkt Dateien herunterzuladen oder aufzuspielen bzw. unberechtigt auf gespeicherte Daten zuzugreifen.

Dateien oder ganze Verzeichnisse könnten kopiert, verändert, gelöscht oder umbenannt werden. Denkbar ist es auch, Passwörter auszulesen oder Veränderungen an Systemprogrammen vorzunehmen.

Weisen Sie Ihre Unternehmensleitung auf die Gefahren hin

An dieser Stelle sind Sie in Ihrer Rolle als betrieblicher Datenschutzbeauftragter gefordert. Sie sollten Ihre Unternehmensleitung eindringlich auf die entstehenden Gefahren hinweisen.

Dazu zählt u.a. die Gefährdung der Vertraulichkeit, der Authentizität und der Integrität der Datenverarbeitung.

§ 11 BDSG beachten

Sollte sich die Unternehmensleitung trotzdem für diese Art der Auftragsdatenverarbeitung entscheiden, müssen Sie zumindest darauf hinwirken, dass dabei die Vorschriften des § 11 BDSG (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag) beachtet werden.

Das muss in einem Auftrag stehen
Achten Sie darauf, dass der Auftrag schriftlich erteilt wird. Er muss insbesondere das Verbot festsetzen, Daten zu anderen Zwecken zu verwenden oder diese unerlaubt weiterzugeben.

Der Vertrag muss auch detailliert die einzuhaltenden technischen und organisatorischen Maßnahmen inklusive deren Fortschreibung enthalten.

Dabei ist v.a. zu regeln:

  • Beschreibung der organisatorischen und personellen Maßnahmen zur Gewährleistung der Datensicherheit
  • Verpflichtung der Mitarbeiter des Auftragnehmers zur Wahrung des Datengeheimnisses gemäß § 5 BDSG
  • Kontroll- und Weisungsrecht des Auftraggebers

Das Datensicherheitskonzept des Auftragnehmers muss überzeugen

 

Auch bei Managed Desktop Services muss der Auftragnehmer sorgfältig ausgewählt werden. Beachten Sie dabei besonders die Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen.

Ein äußerst wichtiges Auswahlkriterium ist somit das Datensicherheitskonzept des Auftragnehmers.

Überwachen Sie die Einhaltung der Regeln vor Ort

Überprüfen Sie die Einhaltung der getroffenen vertraglichen Regelungen zumindest stichprobenweise. Von der Umsetzung sollten Sie sich möglichst vor Ort überzeugen.

Geben Sie sich nicht mit der bloßen Erklärung des Auftragnehmers zufrieden, dass die Vorschriften der Datenschutzgesetze beachtet werden!

Udo Höhn
Udo Höhn ist Referent im Sachgebiet „Technik und Organisation“ beim Bayerischen Landesbeauftragten für den Datenschutz.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln