Wartung und Fernwartung von Informations- und Kommunikationstechnik
Um die Funktionsfähigkeit hochkomplexer und spezialisierter Softwarearchitekturen zu gewährleisten, greift auch die öffentliche Verwaltung zunehmend auf externes Fachwissen - Softwarehersteller oder Beratungsunternehmen - zurück.
Das Instrument der Fernwartung vereinfacht die Pflege der Systeme, birgt aber aufgrund der damit verbundenen Zugriffsmöglichkeiten auf verwaltungsinterne Daten neue Risiken für deren Vertraulichkeit. Auch wenn der Wert dieser Daten für das beauftragte Unternehmen überwiegend außer Verhältnis zu den Folgen einer durch unbefugte Verwendung begangenen Vertragsverletzung stehen wird, müssen diese Risiken von vornherein minimiert werden.
Aus datenschutzrechtlicher Sicht sind daher folgende Forderungen aufzustellen:
- Der Wartung vor Ort mit möglichst eigenem Personal ist aufgrund des geringsten Risikos der Vorzug zu geben.
- Ein Zugriff auf personenbezogene Daten darf nur im erforderlichen Fall und nur im notwendigen Rahmen erfolgen.
- Der Fernwartungszugang ist abzusichern durch gegenseitige Authentifikation.
- Nicht öffentliche Wartungsstellen sind vertraglich dem DSG NRW und der Kontrolle des Landesdatenschutzbeauftragten zu unterwerfen.
- Bei einer Revision der Wartungsaktivitäten muß nachvollziehbar sein, wer wann von wo aus mit welchen Mitteln was veranlaßt und worauf zugegriffen hat.
Zu den notwendigen technischen und organisatorischen Maßnahmen gehören unter anderem:
- Vertragliche Festlegung der Wartungsmaßnahmen durch die Verwaltung
- Authentifikations- und Protokollmechanismen
- Individuelle Zugriffsfreigabe bei personenbezogenen Daten
- Vertragsstrafen bei Mißbrauch
Schließlich sind spezielle gesetzliche Bestimmungen zu beachten, die den Zugriff auf verwaltungsinterne Daten weiter einschränken, beispielsweise die Vorschriften über ärztliche Schweigepflichten im Gesundheitswesen.
Weiterführende Literatur zu diesem Thema:
- OLG Köln, Computerrecht 1996, Seite 407 (zu organisatorischen Maßnahmen im Vorfeld der Wartung)
