2
Dienstleistungsvertrag (Datenschutz) für Fernwartung?
Hallo,
Wie habt Ihr das mit Euren Kunden gelöst, wenn Ihr bei den Kunden z.B. einen Fernzugriff für Euch einrichtet (z.B. TV oder VPN)?
Habt Ihr dort irgendwelche Verträge abgeschlossen, das Ihr bis auf Wiederruf zugreifen dürft?
Denke der Datenschutz spielt da auch eine Riesige Rolle, oder?
Mein Vorgänger hat so etwas abgelehnt, brauchen wir nicht...
Was ich mir aber nicht vorstellen kann....
Ich bitte um konstruktive Infos und Meinungen.
Mit Freundlichem Gruß
Benjamin
Wie habt Ihr das mit Euren Kunden gelöst, wenn Ihr bei den Kunden z.B. einen Fernzugriff für Euch einrichtet (z.B. TV oder VPN)?
Habt Ihr dort irgendwelche Verträge abgeschlossen, das Ihr bis auf Wiederruf zugreifen dürft?
Denke der Datenschutz spielt da auch eine Riesige Rolle, oder?
Mein Vorgänger hat so etwas abgelehnt, brauchen wir nicht...
Was ich mir aber nicht vorstellen kann....
Ich bitte um konstruktive Infos und Meinungen.
Mit Freundlichem Gruß
Benjamin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1714711501
Url: https://administrator.de/contentid/1714711501
Printed on: April 26, 2024 at 04:04 o'clock
2 Comments
Latest comment
Hallo
Ich lasse mir immer eine NDA erstellen.
Da kann der Kunde selber entscheiden, was da drin steht.
Die NDAs sehen dann auch immer komplett unterschiedlich aus.
Eine kleines Software Haus hat andere Wünsche und Security Richtlinien,
wie eine Unternehmen aus dem DAX/ATX.
Ich lasse mir immer eine NDA erstellen.
Da kann der Kunde selber entscheiden, was da drin steht.
Die NDAs sehen dann auch immer komplett unterschiedlich aus.
Eine kleines Software Haus hat andere Wünsche und Security Richtlinien,
wie eine Unternehmen aus dem DAX/ATX.
Leute, informiert Euch bitte über dieses Thema.
Die DSK (Datenschutzkonferenz = Zusammenschluss der Bundesländer und des Bundes) hat ganz allgemein eine "Fernwartung" so eingestuft, dass ein Auftragsverarbeitungsvertrag verpflichtend ist.
Fernwartung ist dabei sehr weit gefasst, u.a. SSH, RDP, VPN, FTP, Web-GUIs, etc.
Eine NDA reicht nicht.
Diese Pflicht trifft zuerst die für die Verarbeitung der Daten Verantwortlichen - also meist die Auftraggeber. Die haben so einen "AVV" den Auftragnehmern vorzulegen bzw. vorzuschlagen. Ersatzweise kann ein Auftragnehmer einen AVV vorschlagen.
Der Inhalt des AVV muss den rechtlichen Anforderungen genügen. Es ist kein Hexenwerk, Beispiele und Vorlagen gibt es im Internet (bitte darauf achten, dass es AVV gemäß §28 DSGVO benutzt wird und kein altes Zeugs aus der Zeit von vor Mitte 2018).
Siehe auch https://dsgvo-gesetz.de/art-28-dsgvo/
Eine Fernwartung ohne AVV ist ein Grund für ein erhöhtes Bußgeld. Je nach Kategorie der Daten, auf die man dann "illegal" Zugriff hat, kämen auch Schadensersatzforderungen von betroffenen Personen in Betracht. Außerdem reagieren Aufsichtsbehörden allergisch auf Aussagen wie "brauchen wir nicht" oder "haben wir vorher ja auch nie gemacht". Das signalisiert denen nämlich, dass Euch der Datenschutz völlig egal ist.
Also: als Dienstleister einfach einmal eine Vorlage für einen AVV zusammenstellen, bei Aufträgen dann die Auftraggeber fragen, ob die einen AVV haben. Wenn nein, dann den eigenen AVV anbieten. Dann gibt's i.d.R. auch kein Bußgeld.
gerade noch geguglt: Beispiel für einen AVV: https://www.activemind.de/datenschutz/dokumente/av-vertrag/
Die DSK (Datenschutzkonferenz = Zusammenschluss der Bundesländer und des Bundes) hat ganz allgemein eine "Fernwartung" so eingestuft, dass ein Auftragsverarbeitungsvertrag verpflichtend ist.
Fernwartung ist dabei sehr weit gefasst, u.a. SSH, RDP, VPN, FTP, Web-GUIs, etc.
Eine NDA reicht nicht.
Diese Pflicht trifft zuerst die für die Verarbeitung der Daten Verantwortlichen - also meist die Auftraggeber. Die haben so einen "AVV" den Auftragnehmern vorzulegen bzw. vorzuschlagen. Ersatzweise kann ein Auftragnehmer einen AVV vorschlagen.
Der Inhalt des AVV muss den rechtlichen Anforderungen genügen. Es ist kein Hexenwerk, Beispiele und Vorlagen gibt es im Internet (bitte darauf achten, dass es AVV gemäß §28 DSGVO benutzt wird und kein altes Zeugs aus der Zeit von vor Mitte 2018).
Siehe auch https://dsgvo-gesetz.de/art-28-dsgvo/
Eine Fernwartung ohne AVV ist ein Grund für ein erhöhtes Bußgeld. Je nach Kategorie der Daten, auf die man dann "illegal" Zugriff hat, kämen auch Schadensersatzforderungen von betroffenen Personen in Betracht. Außerdem reagieren Aufsichtsbehörden allergisch auf Aussagen wie "brauchen wir nicht" oder "haben wir vorher ja auch nie gemacht". Das signalisiert denen nämlich, dass Euch der Datenschutz völlig egal ist.
Also: als Dienstleister einfach einmal eine Vorlage für einen AVV zusammenstellen, bei Aufträgen dann die Auftraggeber fragen, ob die einen AVV haben. Wenn nein, dann den eigenen AVV anbieten. Dann gibt's i.d.R. auch kein Bußgeld.
gerade noch geguglt: Beispiel für einen AVV: https://www.activemind.de/datenschutz/dokumente/av-vertrag/
1