Checkliste Datenverarbeitung Wartung

Aus Datenschutz-Wiki
Wechseln zu: Navigation, Suche

Hilfsmittel zur Durchführung

Sofern Systeme zur Verarbeitung personenbezogener Daten nur auf der Basis schriftlicher Vereinbarungen geprüft und gewartet werden dürfen, sind beim Abschluss und der Einhaltung eines Wartungsvertrages sind eine Reihe von gesetzlichen Anforderungen zu beachten.

Die Checkliste zur Wartung durch externe Dritte (Wartungsfirmen, Hersteller, Lieferanten) wurde von der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg [1] bereitgestellt und enthält auch Vorarbeiten und Empfehlungen der Datenschutzbeauftragten anderer Bundesländer. Sie dient zur Unterstützung bei der datenschutzgerechten Formulierung und Umsetzung des Vertrags.


Um eine möglichst allen gerecht werdende Liste zur Verfügung zu stellen, wurden die Hinweise inhaltlich nur in Bezug auf die Paragraphen des Bundesdatenschutzgesetzes angepasst. Einzelne Kriterien sind gem. der Verpflichtungen anzupassen; gleiches gilt bei der Berücksichtigung landesdatenschutzgesetzlicher Vorschriften (zu prüfende Paragraphen sind mit einem * gekennzeichnet). Zur Berücksichtigung der Besonderheiten eines konkreten Verfahrens bzw. seines beabsichtigten Einsatzes kann es erforderlich sein, Inhalte zu ergänzen oder anzupassen. Die Checkliste Datenverarbeitung im Auftrag kann bei Bedarf mit dieser Liste erweitert bzw. abgeglichen werden.


Prüfung und Wartung

Nach § 11 Abs. 5 BDSG fallen die Prüfung oder Wartung automatisierter Verfahren oder Datenverarbeitungsanlagen der verantwortlichen Stelle durch andere Stellen in den Geltungsbereich der Datenverarbeitung im Auftrag. Diese Tätigkeiten sind nicht auf den Umgang mit personenbezogenen Daten gerichtet, allerdings ist die Kenntnisnahme von dieser Daten nicht immer ausgeschlossen. Unerheblich dabei ist die Durchführung der Tätigkeiten vor Ort oder per Fernwartung.

Im Allgemeinen sind die Definitionen von Wartung und Fernwartung gem. § 3 Abs. 3 Nr. 5 und 6 Brandenburgisches Datenschutzgesetz (BbgDSG) anerkannt und können für die Anwendung des BDSG übertragen werden.

5. Wartung die Summe der Maßnahmen zur Sicherstellung der Verfügbarkeit und Integrität der Hard- und Software von Datenverarbeitungsanlagen; dazu gehören die Installation, Pflege, Überprüfung und Korrektur der Software sowie Überprüfung und Reparatur oder Austausch von Hardware und

6. Fernwartung die Wartung der Soft- und Hardware von Datenverarbeitungsanlagen, die von einem Ort außerhalb der Stelle, bei der die Verarbeitung personenbezogener Daten erfolgt, mittels Einrichtungen zur Datenübertragung vorgenommen wird.

Unter den Sonderfall Prüfung und Wartung fallen:

  • Installation, Wartung, Pflege und Prüfung von
    • Netzwerken
    • Hardware (einschließlich Telekommunikationsanlagen) und
    • Software u.a. (Betriebssysteme, Middleware, Anwendungen)
  • Parametrisieren von Software
  • Programmentwicklungen/-anpassungen/-umstellungen, Fehlersuche und Tests
  • Durchführung von Migrationen im Produktivsystem.


Checkliste

Hinweis: "Prüfung oder Wartung" sind nachfolgend als "Wartung" zusammengefasst ggf. anzupassen.

Datenverarbeitung im Auftrag gem. § 11 Abs. 5 BDSG*
Verantwortliche Stelle (Auftraggeber): ...
Dienstleister (Auftragnehmer): ...
Vereinbarung/Vertrag (Bezeichnung, Aktenzeichen etc.): ...
Verfahren (Bezeichnung, Aktenzeichen etc.): ...
Anlage (Offene Punkte etc): ...
1 Allgemeine Anforderungen
1.1 Ist eine Wartung durch andere Stellen (Dritte) für das Verfahren rechtlich zulässig?  √ Ja oder √ Nein
1.2 Ist die Wartung durch andere Stellen (Dritte) fachlich und sachlich begründet? ... Ja ... Nein
1.3 Wurde die Wartungsfirma unter Berücksichtigung ihrer Eignung und der bei ihr getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt? ... Ja ... Nein
1.4 Wurde der Datenschutzbeauftragte bei der Planung der Wartung durch andere Stellen (Dritte), der Vertragsgestaltung und -umsetzung einbezogen? ... Ja ... Nein
1.5 Ist die Erteilung von Unteraufträgen für die Wartung geplant? ... Ja ... Nein
1.6 Erfolgt die Wartung im bzw. aus dem Ausland? Falls ja, besteht bei der ausländischen Stelle ein angemessenes Datenschutzniveau? (Siehe auch Empfänger, BDSG Kommentar § 1 Abs.5 und Kommentar § 4b Abs.3 ff.) ... Ja ... Nein
1.7 Ist das zu wartende System so gestaltet, dass bei der Wartung nicht oder nur in dem unbedingt erforderlichen Maß auf personenbezogene Daten zugegriffen werden kann? ... Ja ... Nein
1.8 Ist das zu wartende System so gestaltet, dass bei Wartungsarbeiten ein Zugriff auf Daten nur in verschlüsselter, anonymisierter oder pseudonymisierter Form gegeben ist? ... Ja ... Nein
2 Vertragsgestaltung
2.1 Sind die Vertragspartner eindeutig bezeichnet (Name, Rechtsform, Anschrift, Vertreter)? ... Ja ... Nein
2.2 Ist der Gegenstand des Wartungsvertrages eindeutig festgelegt? ... Ja ... Nein
2.3 Sind Art und Umfang der von der Wartungsfirma zu erbringenden Leistungen eindeutig und vollständig dokumentiert? ... Ja ... Nein
2.4 Wurde der Ort der zu erbringenden Wartungsarbeiten genau festgelegt? ... Ja ... Nein
2.5 Wurden die Kompetenzen und Pflichten zwischen Wartungspersonal und eigenem Personal eindeutig schriftlich fixiert, insbesondere die Gebundenheit der Wartungsfirma an Weisungen des Auftraggebers? ... Ja ... Nein
2.6 Sind die jeweiligen Ansprechpartner bzw. die ausführenden Personen benannt? ... Ja ... Nein
2.7 Wird das Wartungspersonal schriftlich auf die Einhaltung des Datengeheimnisses gem. § 5 BDSG* verpflichtet? ... Ja ... Nein
2.8 Sind die technischen und organisatorischen Maßnahmen, die die Wartungsfirma umzusetzen hat, beschrieben? ... Ja ... Nein
2.9 Ist die Umsetzung der Maßnahmen bei der Wartungsfirma gewährleistet? ... Ja ... Nein
2.10 Wurden Unterauftragsverhältnisse ausgeschlossen bzw. Unterauftragnehmer sowie die von ihnen auszuführenden Teilaufgaben schriftlich und eindeutig benannt? ... Ja ... Nein
2.11 Treffen die vertraglichen Verpflichtungen auch auf die Unterauftragnehmer zu? ... Ja ... Nein
2.12 Ist sichergestellt, dass Wartungsarbeiten nur mit Wissen und Wollen der Daten verarbeitenden Stelle erfolgen? ... Ja ... Nein
2.13 Wurde der Verwendungszweck von durch den Auftraggeber für die Wartung bereit gestellten Daten auf die Wartung beschränkt? ... Ja ... Nein
2.14 Sind Regelungen zur Rückgabe der bereit gestellten Daten bzw. ihrer Vernichtung bei der Wartungsfirma nach Abschluss der Wartungsarbeiten getroffen worden? ... Ja ... Nein
2.15 Ist die Weitergabe von Daten durch das Wartungspersonal an nicht mit der Wartung Betraute verboten? ... Ja ... Nein
2.16 Wurden Vereinbarungen zur Änderung wesentlicher Vertragsbestandteile getroffen, insbesondere bei Änderungen des Verfahrens oder der technischen und organisatorischen Maßnahmen? ... Ja ... Nein
2.17 Gibt es die Pflicht der Wartungsfirma, Unregelmäßigkeiten, Störungen, Vorfälle oder Verdacht auf Datenschutzverletzungen bei Wartungsarbeiten dem Auftraggeber unverzüglich mitzuteilen? ... Ja ... Nein
2.18 Sind der Umfang sowie die Modalitäten der Durchführung von Kontrollen der Wartungsarbeiten durch den Auftraggeber schriftlich fixiert? ... Ja ... Nein
2.19 Sind Laufzeit und Kündigungsfristen des Wartungsvertrages vereinbart? ... Ja ... Nein
2.20 Besteht das Recht zur fristlosen Kündigung des Vertrages bei datenschutzrechtlichen Verstößen durch die Wartungsfirma? ... Ja ... Nein
2.21 Wurden die Pflichten von Auftraggeber und Auftragnehmer nach Vertragsende klar definiert? ... Ja ... Nein
3 Technische und organisatorische Maßnahmen
3.1 Sind die Risikoanalyse und das Sicherheitskonzept gem. * unter Berücksichtigung der Wartung durch andere Stellen (externe Dritte) fortgeschrieben worden? ... Ja ... Nein
3.2 Sind die abgeleiteten technischen und organisatorischen Maßnahmen zur Beherrschung der durch die Wartung außerhalb der Daten verarbeitenden Stelle entstehenden Risiken geeignet und angemessen? ... Ja ... Nein
3.3 Wurden im Falle hohen oder sehr hohen Schutzbedarfs der zu verarbeitenden Daten besondere technische und organisatorische Maßnahmen bei der Wartung umgesetzt? ... Ja ... Nein
3.4 Ist sichergestellt, dass nur autorisiertes Personal Wartungsarbeiten durchführt? ... Ja ... Nein
3.5 Erhält das Wartungspersonal nur die Zutritts-, Zugangs- und Zugriffsrechte, die für die Arbeiten erforderlich sind und werden die Rechte nach Abschluss der Wartung entzogen? ... Ja ... Nein
3.6 Werden für die Wartung spezielle Zugangskennungen und Passwörter verwendet, deren Freigabe durch den Auftraggeber erfolgt? ... Ja ... Nein
3.7 Wird der Zugriff auf personenbezogene Daten für das Wartungspersonal auf das erforderliche Maß beschränkt? ... Ja ... Nein
3.8 Werden Wartungsarbeiten während der Durchführung vom Auftraggeber überwacht? ... Ja ... Nein
3.9 Werden Wartungsarbeiten revisionssicher protokolliert, um sie auch im Nachhinein nachvollziehen zu können? ... Ja ... Nein
3.10 Gibt es für die Wartung von Geräten außer Haus Regelungen zum Versand, zum Transport, zur schriftlichen Nachweisführung, zu beteiligten Personen usw.? ... Ja ... Nein
3.11 Ist die unbefugte Nutzung von Programmen, die für die Wartung nicht erforderlich sind, ausgeschlossen? ... Ja ... Nein
3.12 Ist die unbefugte Modifikation von Programmen bei der Wartung ausgeschlossen? ... Ja ... Nein
3.13 Wird bei einer Fernwartung der Aufbau der Verbindung vom Auftraggeber veranlasst? Kann er die Verbindung jederzeit abbrechen? ... Ja ... Nein
3.14 Werden bei einer Fernwartung übertragene Daten mit geeigneten kryptographischen Verfahren gesichert? ... Ja ... Nein
4 Kontrolle der Vertragseinhaltung
4.1 Werden die Ergebnisse der Wartungsarbeiten vom Auftraggeber geprüft? ... Ja ... Nein
4.2 Wird die Einhaltung des Vertrags durch die Wartungsfirma vom Auftraggeber regelmäßig und umfassend geprüft? ... Ja ... Nein
4.3 Wird die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen bei der Wartungsfirma vom Auftraggeber regelmäßig und umfassend kontrolliert? ... Ja ... Nein
4.4 Werden die Protokolle der Wartungsarbeiten vom Auftraggeber regelmäßig und umfassend kontrolliert? ... Ja ... Nein


...................................................... ......................................................
Ort, Datum Unterschrift


Anmerkungen, Offene Punkte

Für die Zwecke der vollständigen Dokumentation kann, sofern die Bemerkungen oder offenen Punkte nicht in der Checkliste gepflegt werden sollen, eine eigenständige Liste mit Anmerkungen angefertigt werden.

Offene Punkte zur Datenverarbeitung im Auftrag gem. § 11 Abs. 5 BDSG*
Anlage Nr. ...
Vereinbarung/Vertrag (Bezeichnung, Aktenzeichen etc.): ...
Verfahren (Bezeichnung, Aktenzeichen etc.): ...
Zeitraum für Klärung: ...
1 Anforderungen
1.1 Bemerkungen zu offenen bzw. klärungsbedürftigen Punkten, Hindernissen; Begründungen ... erledigt:
 √ Ja oder √ Nein, Datum
1.7 Prüfung der Zugriffsberechtigungen: Wartungs-Account und Laufwerkszugriff ausstehend ... Ja  √ Nein 30.05.2013
... weitere Auflistung je nach Erforderlichkeit.


Checkliste als RTF-Datei

Weitere Infos

Checkliste Datenverarbeitung im Auftrag

Mustervereinbarung Auftragsdatenverarbeitung

Einzelnachweise

  1. ^ Checklisten der LDA Brandenburg zu den Themen Vorabkontrolle, Datenverarbeitung im Auftrag, Wartung durch externe Dritte, zuletzt abgerufen 19.04.2016


Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.