Datenschutz

Wartung von Informations- und Kommunikationstechnik

Grundsätzliches

Eine fachmännische Wartung ist eine grundlegende Voraussetzung, um die Verfügbarkeit von IuK-Systemen zu gewährleisten. In den letzten Jahren ist ein zunehmender Trend zu verzeichnen, die Wartung von Informationstechnischen Systemen (IT-Systeme/Großrechneranlagen, Workstation, PC, TK-Anlagen, vernetzte Systeme) durch Fremdfirmen ausführen zu lassen. Auch öffentliche Stellen bedienen sich zunehmend eines solchen Services. Als wesentliche Gründe werden hierfür wirtschaftliche Erwägungen genannt. Nach DIN 31051 wird unter Wartung "die zur Betriebsbereitschaft notwendige Instandhaltung und Instandsetzung einer Anlage" verstanden. Instandhaltung sind dabei alle vorbeugenden zur Aufrechterhaltung der Betriebsbereitschaft der Anlage erforderlichen Leistungen. Seitens der Wartung erfolgt hier der Zugriff auf das (noch) normal funktionsfähige System, um seinen Zustand zu überprüfen, indem technische Zustandsdaten abgefragt und analysiert werden (Diagnose). Instandsetzung bedeutet die Beseitigung der Störung an der Anlage oder den Geräten durch Reparatur und Ersatz. Hier erfolgt der Zugriff nur im Falle eines Fehlers. Im Kern zielt die o. g. Definition auf die eingesetzte Hardware. In der Praxis bezieht Wartung im erweiterten Sinne auch die installierte System- und Anwendungssoftware ein. Bezüglich der eingesetzten Software soll unter Wartung deren Pflege, die Analyse auftretender Fehler und deren Beseitigung sowie das Vorhalten einer optimalen Systemkonfiguration verstanden werden. Der zunehmende Einsatz von gekaufter Software führt in der Regel dazu, daß der Anwender eine Programmpflege und Fehlerbehebungen nicht mehr selbst oder nur beschränkt ausführen kann und in Folge dessen, kompetenter externer Hilfe bedarf. Hiermit verbunden ist oftmals nicht nur eine Zugangsberechtigung für das externe Wartungspersonal, sondern auch eine Zugriffsberechtigung auf die visuell lesbaren Daten, um eine effektive Fehleranalyse und erfolgreiche Fehlerbehebung zu ermöglichen.

Die Wartung der Hard- und Software kann sowohl direkt vor Ort oder auch mittels sogenannter Fernwartung/Fernbetreuung ausgeführt werden. Der Trend zur Fernwartung ist unverkennbar. Für sie sprechen Kostenargumente als auch die zeitnahe Betreuung durch verfügbare Spezialisten. Jede Wartung ist aber mit datenschutz-rechtlichen Risiken verbunden, wobei diese Risiken für die auf dem IT-System vorgehaltenen Daten bei einer Fernwartung erheblich größer sind. Unabhängig davon, ob die Wartung vor Ort oder mittels Datenfernübertragung vorgenommen wird, ob sie durch Fremdfirmen (Externe) oder durch eigenes Personal erfolgt, sind technische und organisatorische Sicherheitsmaßnahmen zum Schutz der auf dem IT-System gespeicherten Daten erforderlich. Für personenbezogene Daten sind hierfür die gemäß § 9 Abs. 2 ThürDSG geforderten Sicherheitsmaßnahmen zu beachten und entsprechend umzusetzen. Insbesondere die Beauftragung von Fremdfirmen zur Durchführung der Wartungsarbeiten unter Einbeziehung der Fernwartung erfordern umfangreiche Sicherheitsvorkehrungen. Datenschutzrechtliche Einstufung Grundsätzlich kann nicht ausgeschlossen werden, daß im Rahmender Wartung auch auf personenbezogene oder schutzwürdige Daten zugegriffen werden muß. Ein solcher Zugriff kann in bestimmten Konstellationen zwingend erforderlich sein, um eine Wartung erfolgreich durchzuführen. So kann z. B. bei technischen Defekten externer Speichermedien (Magnetplatte) das Kopieren der hier gespeicherten Daten mittels spezieller Hard- und Softwarekomponenten unumgänglich sein, um einen Hardwarefehler zu beheben. Aber auch zur Behebung von Softwarefehlern können Aktionen mit echten Daten nicht zwingend ausgeschlossen werden. Ebenso zeigt die Praxis, daß die im konkreten Fall zu ergreifenden Wartungsmechanismen für eine erfolgreiche Fehlerbehebung sowohl bezüglich ihrer Auswahl als auch ihrer kombinierten Ablauffolge nicht detailliert vorhergesagt werden können. Ein grundsätzliches Verbot, bei Wartungsarbeiten auf Daten zuzugreifen, ist somit in dieser Abstraktheit nicht möglich. Sofern von vornherein nicht ausgeschlossen werden kann, daß Mitarbeiter von (externen) Wartungsfirmen Zugriff auf personenbezogene Daten erhalten, ist bei einer Vergabe der Wartungsarbeiten an Dritte von einer Auftragsdatenverarbeitung nach § 8 ThürDSG auszugehen. Die Regelungen gemäß § 8 ThürDSG sind somit bei einer Wartungsmaßnahme in einer öffentlichen Stelle zu beachten und in den Wartungsvertrag einzubeziehen. Zu beachten ist aber insoweit, daß eine Auftragsdatenverarbeitung, die in den allgemeinen Datenschutzgesetzen (ThürDSG/BDSG) geregelt ist, keine Befugnis zur Offenbarung von Daten, die unter den Schutzbereich des § 203 StGB (z. B. ärztliche Schweigepflicht) fallen, enthalten. Sofern eine Einwilligung der Betroffenen nicht vorliegt, sind die speziellen, für diese Amts- und Berufsgeheimnisse erlassenen Vorschriften über die Zulässigkeit der Auftragsdatenverarbeitung zu beachten (z. B. § 27 Abs. 10 ThürKHG für Krankenhausdaten; § 80 SGB X für Sozialdaten).

Datenschutzrechtliche Risiken

Ziel der Wartung ist es, die Funktionsweise des IT-Systems so zu gewährleisten, daß es die vorgegebenen Anforderungen auch hinsichtlich von Maßnahmen zur Datensicherheit erfüllt. Der Benutzer muß sich auf die Korrektheit und Verfügbarkeit der Funktionen des Systems und der mit Hilfe dieser Funktionen gewonnenen Ergebnisse verlassen können (Verläßlichkeit von IT-Systemen). Datenschutzrechtliche Risiken bestehen somit nicht nur in einem Verlust der Vertraulichkeit und der Integrität der auf dem System vorgehaltenen Daten, sondern auch in Folge einer nicht ordnungsgemäßen Wartung durch den Verlust der Verfügbarkeit des gesamten IT-Systems bzw. einzelner seiner Funktionen. Eine Beeinträchtigung oder der totale Verlust der Verfügbarkeit kann durch eine bewußte unbefugte Veränderung der Funktionalität des Systems oder durch unzureichend qualifiziertes Wartungspersonal verursacht werden. Das Wartungspersonal besitzt im Hinblick auf die Gewährleistung der Verfügbarkeit des IT-Systems eine Schlüsselstellung. Die Durchführung von Korrekturen zur Behebung der Störungen erfordert oftmals Befugnisse, die dem Status von System- und Netzwerkverwaltern entsprechen. Das Wartungspersonal ist insofern privilegiert, als es über geräte- und programmtechnische Mittel verfügt, welche Datenübertragungen aufzeichnen, Datenbestände nach unterschiedlichsten Kriterien durchsuchen sowie mittels Transfer Daten abziehen können. Ein Fehlverhalten des Wartungspersonals kann gravierende Auswirkungen auf den gesamten IT-Betrieb haben. Wird technischen Funktionsstörungen nicht vorgebeugt oder werden aufgetretene Funktionsausfälle nicht rechtzeitig erkannt und behoben, besteht die Gefahr, daß die zu verarbeitenden Daten bezüglich ihrer Integrität (Unversehrtheit) gefährdet sind. Eine wesentliche Schwachstelle aus datenschutzrechtlicher Sicht ergibt sich insbesondere bei der Betreuung von Anwendungssoftware, da hier häufig Zugriffsrechte vergeben werden müssen, die über die Autorisierung der Anwender-Nutzer hinausgeht. Dies kann einen unbefugten Informationsgewinn (Beeinträchtigung oder Verlust der Vertraulichkeit) seitens des Wartungspersonals zur Folge haben. Aber auch die Gefahr einer unbefugten Modifikation von Daten (Beeinträchtigung oder Verlust der Integrität) kann hiermit verbunden sein. Eine ordnungsgemäße Datenverarbeitung, welche eine elementare Voraussetzung für die Sicherheit der Daten bildet, erfordert auch eine korrekte Generierung der Anwendungsprogramme ebenso wie der vorhandenen Systemsoftware. Hierbei ist von ausschlaggebender Bedeutung, daß nur die Funktionen implementiert werden, die für einen einwandfreien Ablauf der Datenverarbeitung notwendig sind. Bei der Generierung werden häufig auch die erforderlichen Sicherheitsmechanismen installiert. Wird nun in einer umfassenden Wartung des IT-Systems auch die Pflege dieser Software und in der Folge davon sogar ihre erneute Generierung oder Teile davon einbezogen, können sich im Zuge dieser Arbeiten unmittelbar Auswirkungen gravierend auf die Gesamtfunktionalität und die Sicherheit der IT-Anwendungen ergeben. Betriebsstörungen können auch Sicherheitsfunktionen außer Kraft setzen oder zeitweise einschränken. Hier ergeben sich Schwachstellen bezüglich möglicher Manipulationen seitens der Wartung. Insbesondere wenn nicht nachvollziehbar ist, welche Aktionen von ihr ausgelöst werden. Sowohl die Hardware- als auch Softwarediagnose erfordern Sonderschnittstellen. Nicht immer ist es möglich, daß diese Schnittstellen vom IT-System bewußt eingeschaltet und auch von diesen kontrolliert werden können. Insbesondere für die Hardwarediagnose gibt es, zusätzliche, nicht eingeschaltete Schnittstellen, die durch den physischen Zugang gegeben sind. Aber auch Schnittstellen für die Softwarediagnose sind trotz einer bewußten Einschaltung durch das System nur schwer im Detail zu kontrollieren. Zusätzliche Gefahren sind mit einer Fernwartung verbunden. Diese Form der Wartung erfolgt im allgemeinen unter Nutzung öffentlicher Netze. Hiermit verbundene Risiken sind im 1. TB (15.6) aufgezeigt. Der mit der Fernwartung existierende physische Zugang zum IT-System oder sogar auf vernetzte Systeme kann mit erheblichen Gefahren für die Sicherheit des gesamten IT-Systems verbunden sein, wenn es Unbefugten gelingt, in das zu wartende System einzudringen. Die übertragenen Daten und Kennwörter sind bezüglich ihrer Vertraulichkeit und Integrität durch mögliche Zugriffe auf die Netzknoten bzw. öffentlich zugänglichen Leitungswege gefährdet. Aber auch die technischen und organisatorischen Sicherheitsvorkehrungen seitens der fernwartenden externen Stelle können zusätzliche Sicherheitsprobleme aufwerfen.

Datenschutzrechtliche Forderungen

Aus datenschutzrechtlicher Sicht ergeben sich für eine Wartung vor Ort, die mit eigenem Personal durchgeführt wird, die geringsten Risiken. Werden auf dem IT-System personenbezogene Daten mit278 einem hohen Schutzbedarf verarbeitet (1. TB, 15.3) sollte diese Form der Wartung angestrebt werden. Für eine andere Form der Wartung ist deren Erforderlichkeit eingehend zu prüfen. Steht kein eigenes Fachpersonal zur Verfügung, ist der Auftragnehmer unter besonderer Berücksichtigung seiner Eignung für die technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Soweit möglich, ist eine Wartung vor Ort durchzuführen. Eine Fernwartung durch externe Stellen ist auf das unumgängliche Maß zu begrenzen.

Die mit einer Wartung verbundenen datenschutzrechtlichen Risiken müssen durch gezielte technische und organisatorische Maßnahmen weitestgehend vermieden werden. Eine Wartung durch externe Stellen ist vertraglich zu vereinbaren. Hier sind Art und Umfang der Wartung sowie die Befugnisse des Wartungspersonals hinreichend festzulegen. Ein Zugriff auf personenbezogene Daten im Rahmen einer Wartung sollte generell nur im erforderlichen Fall und nur im notwendigen Rahmen erfolgen. Eine Verarbeitung oder Nutzung der personenbezogenen Daten für andere Zwecke ist vertraglich auszuschließen. Für das Wartungspersonal ist grundsätzlich das Datengeheimnis gemäß § 6 ThürDSG bzw. § 5 BDSG zu beachten. Für eine Fremdwartung sind insbesondere spezialgesetzliche Vorgaben zu beachten. Sind beispielsweise die personenbezogenen Daten durch ein Berufs- oder besonderen Amtsgeheimnis geschützt, wobei deren unbefugte Offenbarung nach § 203 StGB bestraft werden kann, ist die Wartung vor Ort durchzuführen. Sollte sich im konkreten Fall nach einer sorgfältigen Abwägung von datenschutzrechtlichen Erfordernissen mit dem berechtigten Interesse nach einer qualifizierten Wartung ergeben, daß eine erfolgreiche Wartung nur seitens der Fremdfirma möglich ist, sollte das externe Wartungspersonal zusätzlich nach dem Verpflichtungsgesetz vom 2. März 1974 (BGBl. I S. 469, 545) verpflichtet werden. Auch für eine Wartung durch externe Stellen gilt, daß die speichernde Stelle ("Herr der Daten") als Auftraggeber für alle Daten und Verfahren verantwortlich ist. Die speichernde Stelle hat die technischen und organisatorischen Maßnahmen zu veranlassen, die erforderlich sind, Datenschutz und Datensicherheit zu gewährleisten. Wartungs- bzw. Betreuungsfirmen dürfen nur auf konkrete Weisung der speichernden Stellen tätig werden. Wird die Wartung durch nichtöffentliche Stellen ausgeführt, ist der öffentliche Auftraggeber verpflichtet, vertraglich sicherzustellen, daß der Auftragnehmer die Bestimmungen des ThürDSG befolgt und sich der Kontrolle durch den TLfD unterwirft. Der Auftraggeber hat den Landesbeauftragten für den Datenschutz über die Beauftragung zu unterrichten. Ein Fernwartungszugang ist besonders abzusichern und zu überwachen. Hierfür werden intelligente Technologien auf dem Markt angeboten. Erst nach Durchlaufen eines sicheren Authentifikationsverfahrens und dessen positives Ergebnis sollte der angewählte Wartungsport durchgeschaltet werden. In der Regel muß der Aufbau einer Fernwartungsverbindung von der speichernden Stellen ausgehen. Es werden Verfahren angeboten, die nach dem derzeitigen Kenntnisstand eine sichere und auch gegenseitige Authentifikation realisieren (Challenge-Response-Prinzip).

Technische und organisatorische Sicherheitsmaßnahmen

Für eine Wartung/Fernwartung sind gemäß § 9 Abs. 2 ThürDSG Maßnahmen insbesondere zur Zugangs-, Speicher-, Datenträger-, Zugriffs-, Transport- und Organisationskontrolle festzulegen. Die speichernde Stelle sollte bei einer Wartung sicherstellen, daß:
 

  • diese nur mit ihrem Einverständnis und im Einzelfall erfolgen kann,
  • sie kontrollieren kann, was bei ihrer Durchführung im einzelnen geschieht,
  • der Kreis des autorisierten Wartungspersonals festgelegt ist,
  • eine Fernwartungsverbindung nur von der zu wartenden Stelle aufgebaut wird, welche diese jederzeit abbrechen kann,das Wartungspersonal nur Zugriff nach einer positiven Identifikation und Authentifikation gegenüber dem System erhält,
  • der Zeitpunkt und die Zeitdauer der Wartungsarbeit und alle wesentlichen Wartungsaktivitäten protokolliert werden,
  • ein Zugriff auf personenbezogene Daten nur nach einer Einzelfallprüfung erfolgen kann,
  • keine Datenträger den Bereich der speichernden Stelle unkontrolliert verlassen können,
  • kein unzulässiger Datentransfer erfolgen kann, - alle offenbarten Paßworte nach der Wartung unverzüglich geändert werden,
  • auf dem IT-System gespeicherte Test- und Wartungsprogramme mit einer gesonderten Kennung vor unbefugtem Zugriff abzusichern sind,
  • geprüft wird, inwieweit diese Daten vor einem unumgänglichen Zugriff ausgelagert werden können,
  • das Wartungspersonal auf das Datengeheimnis verpflichtet ist und ausdrücklich eine Nutzung evtl. offenbarter personenbezogener Daten für anderweitige Zwecke strikt verboten ist. Im Wartungsvertrag sind diese grundlegenden Forderungen entsprechend den konkreten Anforderungen und Erfordernissen vor Ort spezifiziert festzulegen sowie gegebenenfalls um weitere Sicherheitsmaßnahmen zu ergänzen, die sich beispielsweise aufgrund betriebsspezifischer Gegebenheiten ergeben können. Dieser Vertrag muß klare Regelungen zur Art und zum Umfang der Wartung sowie zur Abgrenzung der Kompetenzen und Pflichten zwischen Wartungspersonal und Personal der speichernden Stelle enthalten.

Ihr Kontakt zum TLfDI


Logo des TLFDI

Sie brauchen die Hilfe des TLfDI?

Postfach 90 04 55 | 99107 Erfurt
Häßlerstrasse 8 | 99096 Erfurt

Tel.: 03 61 / 37 71 900
Fax : 03 61 / 37 71 904

Logo Freistaat Thüringen