DSGVO und RDS-Aufzeichnung von Fernwartung

Mitglied: lcer00

lcer00 (Level 2)

22.01.2020 um 11:39 Uhr, 633 Aufrufe, 8 Kommentare

Hallo zusammen,

ich habe eine Frage zur Aufzeichnung von Fernwartungssitzungen durch externe Techniker (zumindest nennen die sich oft so ). Für mich stellt sich die Lage wie folgt dar:

  • Ich sollte das machen, da ich - auch trotz Auftragsdatenverarbeitungsvertrag - zum Schluss auch in der Verantwortung für mein System bin.
  • Ich darf das machen (bezogen auf DSGVO), wenn dabei keine personenbezogenen Daten gespeichert werden.
  • Ich darf das nicht ohne Einwilligung des Technikers machen, wenn z.B. TeamViewer den Technikernamen einblendet?
  • Ein persönliches Überwachen der Sitzung und eine Papier-Dokumentation würde auch genügen.

Wie seht ihr das bzw. wie handhabt ihr das?

Grüße

lcer
Mitglied: certifiedit.net
22.01.2020 um 11:43 Uhr
Hallo Icer,

grundsätzlich ist das nicht nur aus DSGVO Sicht fragwürdig, bspw darfst du auch keine Angestellten oder Dienstlich beauftragten anlasslos und zielgerichtet (wie hier) überwachen, beachte hier das Schlecker Urteil. Durch die DSGVO könnte die härte noch stärker werden.

Nebenbei, alles ohne Gewicht, das gehört zum Rechtsanwalt.

VG
Mitglied: lcer00
22.01.2020 um 11:50 Uhr
Zitat von certifiedit.net:

Nebenbei, alles ohne Gewicht, das gehört zum Rechtsanwalt.
Das ist mir klar, ich möchte hier auch keine saubere Rechtsberatung.

Wenn man das so streng interpretiert, wäre das jegliches beobachten von Dienstleistern (beispielweise der Maler, der den Raum streicht) verboten. Ich kann mir nicht vorstellen, dass das der gelebten Rechtspraxis entspricht.

Grüße

lcer
Mitglied: certifiedit.net
22.01.2020 um 11:53 Uhr
Beobachten ist das eine, (digital) aufzeichnen das andere.
Mitglied: vossi31
22.01.2020 um 11:58 Uhr
Moin,

Ich darf das machen ...
Dazu kommt dann noch das Problem "Ich muss das machen wenn der Techniker dabei Einsicht von personenbezogenen Daten erlangt".
Und dann muss das Protokoll darüber auch noch wieder nach bestimmten Zeiten gelöscht werden (und dann wahrscheinlich auch wieder das Protokoll über die Löschung...).

Es kommt nach meiner Erfahrung also immer sehr auf die genaue Umgebung und die Art der Daten (und natürlich die Einstellung des Datenschutzbeauftragten) an.

Henning
Mitglied: BernhardMeierrose
23.01.2020 um 09:22 Uhr
Moin

Da Du in Punkt 1 von ADV-Verträgen sprichst, werden bei den Sitzungen offenbar mindestens gelegentlich personenbezogene Daten auf den Schirm kommen - pbD von Euren eigenen Mitarbeitern wohlgemerkt -> da sollte man mit dem DSB darüber sprechen, ob die Aufzeichnung eine eigene, interne Verarbeitung darstellt.
Wenn ein ADV-Vertrag besteht, gibt es in der Regel auch eine TOM-Liste, wo die Aufzeichnung der Sitzungen definiert werden kann/sollte, dann muss man mMn auch nicht die Einwilligung jedes einzelnen Technikers einholen.
Inwiefern bei der Aufzeichnung von solchen Sitzungen pbD des durchführenden Technikers anfallen sei mal dahingestellt. Es wird ja keine Kamera auf den Menschen gerichtet, die ihm beim Nasebohren filmt. Trotzdem bildet die Tatsache der Sitzung selber, wo ja Username und Zeiten auftauchen schon ein personenbezogenes Datum. Aber das würde auch bei jeder VPN-Einwahl anfallen und sollte analog behandelt werden.

Aber eine rechtsverbindliche Aussage wird wohl nur ein Jurist geben können...

Gruß
Bernhard
Mitglied: certifiedit.net
23.01.2020 um 09:26 Uhr
Da schiesst sich der Gedanke ins Bein: Ich zeichne also auf, weil ich persönliche Daten schützen möchte? Das hilft nicht, im Gegenteil, dadurch erhebt man im Zweifel schliesslich noch mehr Daten.
Mitglied: lcer00
23.01.2020 um 10:41 Uhr
Hallo,
Zitat von certifiedit.net:

Da schiesst sich der Gedanke ins Bein: Ich zeichne also auf, weil ich persönliche Daten schützen möchte? Das hilft nicht, im Gegenteil, dadurch erhebt man im Zweifel schliesslich noch mehr Daten.
naja, das mit entgegengesetzten Rechtsgütern ist so eine Sache. Die Lösung kann ja auch nicht sein, dass Dienstleister komplett verboten werden weil sie 1) Einblick in personenbezogene Daten bekommen und 2) von mir beobachtet werden könnten.

Das würde Dein Geschäftsmodell zerstören.

Personenbezogene Daten müssen geschützt werden. Und da darf man sicher nicht blauäugig darauf vertrauen, dass externe Fernwartungsmitarbeiter alles richtig machen. Einige Fernwartungstätigkeiten können auch nicht mit Dummy-Daten erfolgen.

Grüße

lcer
Mitglied: certifiedit.net
23.01.2020 um 11:00 Uhr
Falsch verstanden.

Es soll nicht dazu dienen den Dienstleister zu verbieten, sondern dass hier pers. Daten mitgeschrieben werden.

Mal angenommen, ich bearbeite für dich, sagen wir stumpf eine Tabelle mit 1000 Einträgen deines Newsletters Heinrich Müller, Matthias Marx, Lisa Meierlein stehen darin, mit Emailadresse, ggf. auch angereichert um Telefonnummer etc.

Ich schliesse mit dir einen ADV, dass ich diese Daten zwar einsehen, Sie aber nicht kopiere (klar, wofür auch, hab damit ja keinen Gewinn, bin ja nicht FB (worauf deren Daten sowieso schon liegen)).

Wenn du nun aber meine Arbeit aufzeichnest machst du im Prinzip folgendes:
a) legst du eine weitere Kopie der pers. Daten von den 1000 Einträgen an
b) zeichnest du digital und vollumfänglich meine Arbeit auf (ich weiss nicht, ob dies zulässig ist, siehe Schlecker Urteil, ich meine nicht)
c) verstößt du ggf. sogar gegen den Vertrag, weil du nicht nur meine Arbeit als "Tausch" entgegennimmst, sondern auch meine Methoden.

c) klammern wir mal aus, wenn gleich dies von Relevanz sein kann.

So, nun kommt also Lisa Meierlein nach 2-3 Wochen auf die Idee, dass du Ihre Daten vollumfänglich löschen sollst (DSGVO etc), jetzt löschst du die entsprechende Tupel, vergisst aber die Aufzeichnung - und sollte durch ein dummer Zufall nun das Video irgendwo mal auftauchen und Lisa Meierlein entpuppt sich als Investigativjournalist bist du gleich mal bis zu 20% deines Jahresumsatzes los. Ggf. sogar mehr (Firma und so).

Also, kritisch.

Im weiteren denke ich, ganz pragmatisch, dass sich diese Videos sowieso kaum einer mehr anschauen würde.

Ich würde dir raten, beobachte auf einem zweiten Bildschirm (so mach ich es bei 3. DL meiner Kunden) und notiere dir relevantes mit, das dürfte mehr helfen und du bist konform. Datensparsamkeit steht übrigens auch irgendwo in den Gesetzen.

Viele Grüße,

Christian
Titel: DSGVO und RDS-Aufzeichnung von Fernwartung
Content-ID: 538105
Art des Inhalts: Frage
Ausgedruckt am: 09.04.2020 um 13:49:14 Uhr
URL: https://administrator.de/contentid/538105