Datenschutz im Service: Logdaten und Fernzugriff
DSGVO-konforme Wartungsverträge: Rollen, Auftragsverarbeitung, Protokollierung und Fernzugriff richtig regeln. So vermeiden Sie Datenschutz-Verstöße und hohe Bußgelder.
Clausentia Team
Datenschutz im Service: Logdaten und Fernzugriff
DSGVO-konforme Wartungsverträge
Wartungsverträge verarbeiten oft personenbezogene Daten: Logdaten, Fernzugriff auf Anlagen, Mitarbeiterdaten. Unklare Datenschutzregeln führen zu DSGVO-Verstößen und Bußgeldern bis zu 20 Millionen Euro. Dieser Beitrag zeigt, wie Sie Rollen, Auftragsverarbeitung und technische Maßnahmen richtig regeln.
Zielgruppe: Datenschutzbeauftragte, IT-Leiter und Vertragsmanager in Wartungsunternehmen für Turbinen, Anlagen und Maschinen.
📌
Das Wichtigste auf einen Blick
✓
Rollen (Verantwortlicher/Auftragsverarbeiter) klar definieren
✓
Auftragsverarbeitungsvertrag (AVV) abschließen
✓
Protokollierung und Löschfristen regeln
✓
Fernzugriff und Zugriffskontrolle absichern
Inhaltsverzeichnis
- Warum Datenschutz in Wartungsverträgen kritisch ist
- Die vier wichtigsten Datenschutz-Bereiche
- Checkliste: DSGVO-konforme Wartungsverträge
- Häufige Fehler und wie Sie diese vermeiden
Warum Datenschutz in Wartungsverträgen kritisch ist
Wartungsverträge verarbeiten oft personenbezogene Daten: Logdaten von Anlagen, Fernzugriff auf Systeme, Mitarbeiterdaten, Kundendaten. Unklare Datenschutzregeln führen zu DSGVO-Verstößen und Bußgeldern bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes.
Typische Datenschutz-Risiken:
- Unklare Rollen (Verantwortlicher vs. Auftragsverarbeiter)
- Fehlende Auftragsverarbeitungsverträge (AVV)
- Unzureichende Protokollierung und Löschfristen
- Unsichere Fernzugriffe ohne Zugriffskontrolle
Rechtlicher Rahmen:
Die Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten. Art. 28 DSGVO verlangt Auftragsverarbeitungsverträge bei Datenverarbeitung durch Dritte. Art. 32 DSGVO verlangt angemessene technische und organisatorische Maßnahmen (TOMs).
Die vier wichtigsten Datenschutz-Bereiche
2.1 Rollen und Auftragsverarbeitung
Typische Formulierung:
"Der Auftragnehmer verarbeitet alle Daten im Auftrag des Auftraggebers."
Risiko:
Unklare Rollen führen zu falschen Verantwortlichkeiten. Wer ist Verantwortlicher, wer Auftragsverarbeiter? Bei Fehlern haftet der Falsche.
Empfehlung:
Definieren Sie klare Rollen:
"Der Auftraggeber ist Verantwortlicher für die Verarbeitung personenbezogener Daten im Rahmen der Wartungsleistungen. Der Auftragnehmer ist Auftragsverarbeiter und verarbeitet Daten ausschließlich nach Weisung des Auftraggebers."
Vertragsklausel:
"Der Auftraggeber ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für alle personenbezogenen Daten, die im Rahmen der Wartungsleistungen verarbeitet werden. Der Auftragnehmer ist Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO und verarbeitet Daten ausschließlich nach Weisung des Auftraggebers."
💡
Clausentia Tipp: Rollen dokumentieren
Dokumentieren Sie alle Verarbeitungstätigkeiten: Welche Daten werden verarbeitet, zu welchem Zweck, auf welcher Rechtsgrundlage? Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Dies hilft bei der Rollenbestimmung und Compliance-Prüfung.
Rechtsgrundlage:
Nach Art. 28 DSGVO muss bei Auftragsverarbeitung ein schriftlicher Vertrag geschlossen werden. Die Rollen müssen klar definiert sein.
2.2 Auftragsverarbeitungsvertrag (AVV)
Typische Formulierung:
"Der Auftragnehmer beachtet alle Datenschutzbestimmungen."
Risiko:
Allgemeine Datenschutzklauseln sind unzureichend. Art. 28 DSGVO verlangt spezifische AVV-Inhalte. Fehlende AVVs führen zu Bußgeldern.
Empfehlung:
Schließen Sie einen vollständigen AVV ab:
"Die Parteien schließen einen separaten Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ab, der Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Pflichten des Auftragnehmers regelt."
Vertragsklausel:
"Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage eines separaten Auftragsverarbeitungsvertrags nach Art. 28 DSGVO. Der AVV regelt insbesondere: Gegenstand und Zweck der Verarbeitung, Art der Daten, Kategorien betroffener Personen, Pflichten des Auftragnehmers, technische und organisatorische Maßnahmen."
Rechtsgrundlage:
Art. 28 DSGVO verlangt zwingend einen schriftlichen Vertrag mit spezifischen Inhalten bei Auftragsverarbeitung.
2.3 Protokollierung und Löschfristen
Typische Formulierung:
"Alle Daten werden nach Vertragsende gelöscht."
Risiko:
"Nach Vertragsende" ist zu unbestimmt. Keine Unterscheidung zwischen verschiedenen Datentypen. Keine Protokollierung der Löschvorgänge.
Empfehlung:
Definieren Sie spezifische Löschfristen:
"Logdaten werden nach 30 Tagen gelöscht, technische Dokumentation nach 2 Jahren, Mitarbeiterdaten nach 6 Monaten. Alle Löschvorgänge werden protokolliert und dem Auftraggeber bestätigt."
Vertragsklausel:
"Die Löschung personenbezogener Daten erfolgt wie folgt: Logdaten nach 30 Tagen, technische Dokumentation nach 2 Jahren, Mitarbeiterdaten nach 6 Monaten. Alle Löschvorgänge werden protokolliert und dem Auftraggeber schriftlich bestätigt."
Rechtsgrundlage:
Art. 17 DSGVO regelt das Recht auf Löschung. Art. 32 DSGVO verlangt Protokollierung als technische Maßnahme.
2.4 Fernzugriff und Zugriffskontrolle
Typische Formulierung:
"Fernzugriff erfolgt über sichere Verbindungen."
Risiko:
"Sichere Verbindungen" ist unbestimmt. Keine Zugriffskontrolle, keine Protokollierung, keine Zugriffsbeschränkungen.
Empfehlung:
Definieren Sie konkrete Sicherheitsmaßnahmen:
"Fernzugriff erfolgt ausschließlich über verschlüsselte VPN-Verbindungen mit Zwei-Faktor-Authentifizierung. Alle Zugriffe werden protokolliert. Zugriff ist nur für autorisierte Personen mit definierten Berechtigungen möglich."
Vertragsklausel:
"Fernzugriff erfolgt ausschließlich über verschlüsselte VPN-Verbindungen mit Zwei-Faktor-Authentifizierung. Alle Zugriffe werden protokolliert mit Zeitstempel, Benutzer und Zugriffsgrund. Zugriff ist nur für autorisierte Personen mit schriftlich definierten Berechtigungen möglich."
Rechtsgrundlage:
Art. 32 DSGVO verlangt angemessene technische und organisatorische Maßnahmen für die Sicherheit der Verarbeitung.
Checkliste: DSGVO-konforme Wartungsverträge
📋
Datenschutz-Prüfung: 12 kritische Punkte
Rollen: Sind Verantwortlicher und Auftragsverarbeiter klar definiert?
AVV: Ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen?
Verarbeitungstätigkeiten: Ist ein Verzeichnis nach Art. 30 DSGVO erstellt?
Rechtsgrundlage: Ist die Rechtsgrundlage für jede Verarbeitung definiert?
Löschfristen: Sind spezifische Löschfristen für verschiedene Datentypen definiert?
Protokollierung: Werden alle Löschvorgänge protokolliert?
Fernzugriff: Ist der Fernzugriff verschlüsselt und authentifiziert?
Zugriffskontrolle: Sind Berechtigungen und Zugriffsrechte definiert?
TOMs: Sind technische und organisatorische Maßnahmen dokumentiert?
Datenschutzbeauftragter: Ist ein Datenschutzbeauftragter benannt?
Meldepflichten: Sind Meldepflichten bei Datenschutzverletzungen geregelt?
Audit-Rechte: Hat der Auftraggeber Audit-Rechte bei der Datenschutz-Compliance?
Tipp: Nutzen Sie diese Checkliste für jeden Wartungsvertrag. Dokumentieren Sie alle Datenschutzmaßnahmen und Compliance-Nachweise.
Häufige Fehler und wie Sie diese vermeiden
| Fehler | Folge | Gegenmaßnahme |
|---|---|---|
| Keine AVV abgeschlossen | DSGVO-Verstoß und Bußgeld bis 20M EUR | Vollständigen AVV nach Art. 28 DSGVO abschließen |
| Unklare Rollen | Falsche Verantwortlichkeiten und Haftung | Verantwortlicher und Auftragsverarbeiter klar definieren |
| Keine Löschfristen | Verstoß gegen Löschpflicht und Datensparsamkeit | Spezifische Löschfristen für verschiedene Datentypen |
| Unsichere Fernzugriffe | Datenpannen und Sicherheitsvorfälle | VPN, Zwei-Faktor-Auth und Zugriffskontrolle |
| Keine Protokollierung | Keine Nachweise für Compliance | Alle Verarbeitungsvorgänge protokollieren |
| Keine TOMs dokumentiert | Verstoß gegen Art. 32 DSGVO | Technische und organisatorische Maßnahmen dokumentieren |
FAQ
Wer ist Verantwortlicher und wer Auftragsverarbeiter bei Wartungsverträgen?
Der Auftraggeber (Betreiber der Anlage) ist meist Verantwortlicher, da er die Zwecke und Mittel der Datenverarbeitung bestimmt. Der Wartungsunternehmer ist Auftragsverarbeiter, da er Daten im Auftrag des Auftraggebers verarbeitet. Wichtig: Die Rollen müssen klar definiert und dokumentiert sein. Bei Unklarheiten entscheidet die Aufsichtsbehörde.
Was muss in einem Auftragsverarbeitungsvertrag (AVV) stehen?
Ein AVV nach Art. 28 DSGVO muss enthalten: Gegenstand und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen, Pflichten des Auftragsverarbeiters, technische und organisatorische Maßnahmen, Meldepflichten bei Datenschutzverletzungen und Audit-Rechte. Der AVV muss schriftlich oder elektronisch geschlossen werden.
Welche technischen Maßnahmen sind für Fernzugriff erforderlich?
Für Fernzugriff sind erforderlich: Verschlüsselte VPN-Verbindungen, Zwei-Faktor-Authentifizierung, Zugriffskontrolle mit definierten Berechtigungen, Protokollierung aller Zugriffe, regelmäßige Sicherheitsupdates und Zugriffsbeschränkungen auf autorisierte Personen. Alle Maßnahmen müssen dokumentiert und regelmäßig überprüft werden.
Wie lange dürfen Logdaten gespeichert werden?
Logdaten sollten nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Üblich sind 30 Tage für technische Logs, 6 Monate für Sicherheitslogs und 2 Jahre für Audit-Logs. Wichtig: Die Speicherdauer muss begründet und dokumentiert sein. Nach Ablauf der Frist müssen die Daten gelöscht werden.
Was sind technische und organisatorische Maßnahmen (TOMs)?
TOMs sind Maßnahmen zur Sicherheit der Datenverarbeitung nach Art. 32 DSGVO. Technische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Firewalls, Antivirus. Organisatorische Maßnahmen: Datenschutzschulungen, Zutrittskontrolle, Auftragskontrolle, Verfügbarkeitskontrolle. Alle TOMs müssen dokumentiert und regelmäßig überprüft werden.
Was passiert bei einer Datenschutzverletzung?
Bei einer Datenschutzverletzung müssen Sie: Innerhalb von 72 Stunden die Aufsichtsbehörde melden (Art. 33 DSGVO), betroffene Personen informieren wenn hohes Risiko (Art. 34 DSGVO), die Verletzung dokumentieren und Maßnahmen zur Behebung ergreifen. Der Auftragsverarbeiter muss den Verantwortlichen sofort informieren. Alle Meldepflichten sollten im AVV geregelt sein.
📚
Quellen und rechtliche Grundlagen
Datenschutz-Grundverordnung (DSGVO)
Verfügbar auf EUR-Lex
- Art. 4 DSGVO: Begriffsbestimmungen (Verantwortlicher, Auftragsverarbeiter)
- Art. 28 DSGVO: Auftragsverarbeiter (AVV-Anforderungen)
- Art. 30 DSGVO: Verzeichnis von Verarbeitungstätigkeiten
- Art. 32 DSGVO: Sicherheit der Verarbeitung (TOMs)
- Art. 33 DSGVO: Meldung von Verletzungen des Schutzes personenbezogener Daten
- Art. 34 DSGVO: Benachrichtigung der betroffenen Person
Aufsichtsbehörden
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
- Europäischer Datenschutzausschuss (EDPB): Leitlinien und Stellungnahmen
- Bundesamt für Sicherheit in der Informationstechnik (BSI): Technische Sicherheitshinweise
Weiterführende Informationen
- Bundesministerium der Justiz: DSGVO-Leitfäden und FAQ
- Datenschutz-Konferenz: Beschlüsse und Empfehlungen der Aufsichtsbehörden
- Industrie- und Handelskammer: Branchenspezifische Datenschutz-Leitfäden
Rechtlicher Hinweis: Diese Quellen dienen der Information und ersetzen keine individuelle Rechtsberatung für Ihren konkreten Fall.
Für verbindliche Auskünfte wenden Sie sich an eine Rechtsanwältin oder einen Rechtsanwalt.
Verwandte Artikel:
- Internationale Projekte: Recht, Gerichtsort, Sprache
- Herstellerbedingungen verstehen und fair verhandeln
- Sicherheit und Datenschutz
- Preise und Pakete
Bereit für faire Verträge?
Lassen Sie Ihre Verträge kostenlos analysieren und erhalten Sie verhandlungsfertige Gegenvorschläge.