bpraba
Goto Top

Dienstleistungsvertrag (Datenschutz) für Fernwartung?

Hallo,

Wie habt Ihr das mit Euren Kunden gelöst, wenn Ihr bei den Kunden z.B. einen Fernzugriff für Euch einrichtet (z.B. TV oder VPN)?

Habt Ihr dort irgendwelche Verträge abgeschlossen, das Ihr bis auf Wiederruf zugreifen dürft?
Denke der Datenschutz spielt da auch eine Riesige Rolle, oder?

Mein Vorgänger hat so etwas abgelehnt, brauchen wir nicht...
Was ich mir aber nicht vorstellen kann....

Ich bitte um konstruktive Infos und Meinungen.

Mit Freundlichem Gruß
Benjamin

Content-Key: 1714711501

Url: https://administrator.de/contentid/1714711501

Printed on: July 18, 2024 at 17:07 o'clock

Member: tagol01
tagol01 Jan 12, 2022 at 08:48:52 (UTC)
Goto Top
Hallo

Ich lasse mir immer eine NDA erstellen.
Da kann der Kunde selber entscheiden, was da drin steht.

Die NDAs sehen dann auch immer komplett unterschiedlich aus.
Eine kleines Software Haus hat andere Wünsche und Security Richtlinien,
wie eine Unternehmen aus dem DAX/ATX.
Mitglied: 137960
137960 Jan 12, 2022 updated at 11:30:42 (UTC)
Goto Top
Leute, informiert Euch bitte über dieses Thema.

Die DSK (Datenschutzkonferenz = Zusammenschluss der Bundesländer und des Bundes) hat ganz allgemein eine "Fernwartung" so eingestuft, dass ein Auftragsverarbeitungsvertrag verpflichtend ist.
Fernwartung ist dabei sehr weit gefasst, u.a. SSH, RDP, VPN, FTP, Web-GUIs, etc.

Eine NDA reicht nicht.

Diese Pflicht trifft zuerst die für die Verarbeitung der Daten Verantwortlichen - also meist die Auftraggeber. Die haben so einen "AVV" den Auftragnehmern vorzulegen bzw. vorzuschlagen. Ersatzweise kann ein Auftragnehmer einen AVV vorschlagen.
Der Inhalt des AVV muss den rechtlichen Anforderungen genügen. Es ist kein Hexenwerk, Beispiele und Vorlagen gibt es im Internet (bitte darauf achten, dass es AVV gemäß §28 DSGVO benutzt wird und kein altes Zeugs aus der Zeit von vor Mitte 2018).

Siehe auch https://dsgvo-gesetz.de/art-28-dsgvo/

Eine Fernwartung ohne AVV ist ein Grund für ein erhöhtes Bußgeld. Je nach Kategorie der Daten, auf die man dann "illegal" Zugriff hat, kämen auch Schadensersatzforderungen von betroffenen Personen in Betracht. Außerdem reagieren Aufsichtsbehörden allergisch auf Aussagen wie "brauchen wir nicht" oder "haben wir vorher ja auch nie gemacht". Das signalisiert denen nämlich, dass Euch der Datenschutz völlig egal ist.

Also: als Dienstleister einfach einmal eine Vorlage für einen AVV zusammenstellen, bei Aufträgen dann die Auftraggeber fragen, ob die einen AVV haben. Wenn nein, dann den eigenen AVV anbieten. Dann gibt's i.d.R. auch kein Bußgeld.


gerade noch geguglt: Beispiel für einen AVV: https://www.activemind.de/datenschutz/dokumente/av-vertrag/