Das Angebot an Fernwartungskomponenten deckt vom analogen Modem mit RS-232-Schnittstelle bis zum Hochgeschwindigkeits-Mobilfunk-Router mit IPsec-Verschlüsselung die gesamte Leistungsbandbreite ab.

© Phoenix Contact

Solche personenbezogene Daten unterliegen den strengen gesetzlichen Anforderungen an den Datenschutz, der in Deutschland insbesondere im Bundesdatenschutzgesetz (BDSG), im Telemediengesetz (TMG) und in den datenschutzrechtlichen Regelungen des Telekommunikationsgesetzes (TKG) festgeschrieben ist. Hiernach stellt eine Fernwartung zumeist eine sogenannte Auftragsdatenverarbeitung dar (§ 11 BDSG). Das gilt bereits dann, wenn nicht gänzlich ausgeschlossen werden kann, dass der Hersteller oder der Fernwartungs-Dienstleister bei der Durchführung der Fernwartung mit personenbezogenen Daten seines Kunden in Berührung kommt. Aufgrund der EU-weiten Harmonisierung des Datenschutzrechts sind die gesetzlichen Anforderungen an den Datenschutz auch dann relevant, wenn der Kunde seinen Sitz außerhalb von Deutschland, aber innerhalb der EU hat. Bei einer Fernwartung nach Übersee darf der Hersteller die so erlangten personenbezogenen Daten ebenfalls nur nach Maßgabe des deutschen Rechts verwenden. Darüber hinaus können Regelungen des dortigen nationalen Rechts zwingend sein, beispielsweise Importbestimmungen.

Schriftliche Regelung – ein Muss

Damit die Fernwartung durch einen Dritten – wozu rechtlich auch die verbundenen Unternehmen eines Konzerns gehören – nach den hiesigen Grundsätzen der Auftragsdatenverarbeitung zulässig ist, müssen der Dritte und sein Kunde die Anforderungen des § 11 BDSG einhalten. Dazu zählt unter anderem die Maßgabe, dass ein schriftlicher Vertrag über die Fernwartung zu schließen ist, der die Details der Durchführung spezifiziert und in diesem Zusammenhang Regelungen hinsichtlich einer etwaigen Auftragsdatenverarbeitung trifft. Einen Anhaltspunkt für einen solchen Vertragsinhalt gibt der in § 11 BDSG enthaltene Regelungskatalog, der unter sorgfältiger Beachtung der rechtlichen Detail-Erfordernisse umgesetzt werden muss.

Durch eine sorgfältige rechtliche Gestaltung der Fernwartung lassen sich nicht rechtliche Risiken erheblich minimieren. Richtig angepackt, verspricht das Thema dem Maschinen- und Anlagenbauer auch einen Wettbewerbsvorsprung vor weiteren Anbietern.

© Phoenix Contact

Zwar bleibt der Kunde im Fall der Fernwartung für die Einhaltung der datenschutzrechtlichen Anforderungen nach hiesigem Recht grundsätzlich verantwortlich. Dennoch macht es aus Sicht des Herstellers oder IT-Dienstleisters oftmals Sinn, seinem Kunden eine Fernwartungs-Vereinbarung inklusive der Regelungen zur Auftragsdatenverarbeitung proaktiv zur Verfügung zu stellen. Auf diese Weise ergänzt der Dritte sein Service-Angebot, dokumentiert sein datenschutzrechtliches Verantwortungsbewusstsein und vermeidet die Prüfung und Verhandlung entsprechender Vereinbarungen, die ihm andernfalls nicht selten seitens der Kunden vorgelegt werden.

Bei der Auftragsdatenverarbeitung innerhalb einer Fernwartung kommt den technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit eine besondere Bedeutung zu. Zu den in § 9 BDSG und dessen Anlage abstrakt beschriebenen Maßnahmen, die der Hersteller oder IT-Dienstleister in seinem Verantwortungsbereich etablieren und aufrechterhalten muss, gehört beispielsweise eine wirksame Absicherung der datenverarbeitenden Einrichtungen gegen unbefugten Zugang. Die Maßnahmen sollten unbedingt in einem Datensicherheitskonzept konkret und umfassend definiert werden. Ferner sollte das Dokument dem Kunden zugänglich gemacht und den Fernwartungsvereinbarungen als Anlage beigefügt werden. Als nicht ausreichend erweist sich hingegen die Formulierung einer nur abstrakten Vertragsklausel, nach welcher der Hersteller die „gesetzlich erforderlichen technischen und organisatorischen Maßnahmen“ trifft.

Da der Auftraggeber einer Auftragsdatenverarbeitung – auch innerhalb einer Fernwartung – gesetzlich zur regelmäßigen Prüfung der technischen und organisatorischen Maßnahmen verpflichtet ist, sollte die Fernwartungsvereinbarung eine Regelung vorsehen, die dem Kunden eine Kontrolle in der Betriebsstätte des Herstellers erlaubt. Alternativ ist denkbar, dass der Hersteller oder IT-Dienstleister eine solche Prüfung regelmäßig – zum Beispiel jährlich – durch einen Dritten durchführen lässt. Dabei kann es sich um einen Auditor für Datenschutz handeln. Der Kunde erhält dann jeweils den aktuellen Prüfbericht.

Empfindliche Bußgelder bei Nichteinhaltung

Werden die gesetzlichen Anforderungen nicht eingehalten, ist die einer Fernwartung häufig immanente Auftragsdatenverarbeitung nach deutschem Recht strikt unzulässig. Als Konsequenz drohen dem Auftraggeber der Fernwartung sowie gegebenenfalls auch dem Hersteller oder IT-Dienstleister unter anderem behördliche Sanktionen in Form von Bußgeldern bis zu 50.000 Euro, in Einzelfällen auch höher. Darüber hinaus kann der Hersteller oder Dienstleister Schadensersatzansprüchen des Kunden ausgesetzt sein.

Autoren:
Gerrit Boysen ist Mitarbeiter im Produktmarketing Communication Interfaces bei Phoenix Contact Electronics, Bad Pyrmont,
Jan Schneider ist Fachanwalt für IT-Recht, Partner bei SKW Schwarz Rechtsanwälte, Düsseldorf, und Autor zahlreicher Publikationen zum Thema.