Das unterschätzte Risiko

Die Autoren: Jan Schneider Fachanwalt für IT-Recht, SKW Schwarz Rechtsanwälte Gerrit Boysen Produktmarketing Communication Interfaces, Phoenix Contact Electronics

Die Anzahl der deutschen Maschinen- und Anlagenbauer, die serienmäßig ein Fernkommunikationsmodul in ihre Anwendungen integrieren, steigt stetig. Denn durch die Möglichkeit des Fernzugriffs ergeben sich vielfältige Vorteile. Diese reichen von der Einsparung einer Anreise im Wartungsfall bis zum Aufbau neuer Service-Geschäftsmodelle wie der automatisierten Fernüberwachung der Geräte. In jedem dieser Fälle schaltet sich der Hersteller einfach per Datenfernübertragung auf die jeweilige Komponente auf und führt den entsprechenden Vorgang aus. Mit den dazu eingesetzten Technologien sind die Maschinen- und Anlagenbauer in der Regel bestens vertraut. Was sie jedoch oftmals nicht ausreichend bedenken, sind die rechtlichen Anforderungen, die bei der Einrichtung und Umsetzung einer Fernwartung beachtet werden müssen. Werden die gesetzlichen Maßgaben nicht berücksichtigt, kann dies sowohl für den Hersteller als auch seinen Kunden erhebliche negative Konsequenzen haben.

Der Austausch von Sensordaten und sonstigen Parametern zwischen Maschinen sowie deren Abfrage aus der Ferne sind rechtlich grundsätzlich unproblematisch. Eine Fernwartung solcher Applikationen lässt sich somit ohne weiteres an einen externen IT-Dienstleister auslagern. Die Situation gestaltet sich allerdings anders, wenn der Dienstleister im Rahmen der Fernwartung auch auf personenbezogene Daten zugreifen kann. Unter diesen Begriff fallen solche Informationen, anhand derer sich eine natürliche Person bestimmen lässt, also beispielsweise Name, Alter, Beruf, Post- und E-Mail-Anschrift oder Hobbys. Personenbezogene Daten werden häufig auch dann erfasst, wenn sich ein Mitarbeiter zur Bedienung der Maschine einloggen kann. Ähnlich liegt der Fall, sofern der Fernwartungsdienstleister einen weitergehenden Zugriff auf die Systeme des Auftraggebers erhält und sich im Rahmen dieses Zugriffs auch Zugang zu an anderer Stelle gespeicherten Personendaten verschaffen könnte.

Solche personenbezogene Daten unterliegen den strengen gesetzlichen Anforderungen an den Datenschutz, der in Deutschland insbesondere in dem Bundesdatenschutzgesetz (BDSG), in dem Telemediengesetz (TMG) und in den datenschutzrechtlichen Regelungen des Telekommunikationsgesetzes (TKG) festgeschrieben ist. Hiernach stellt eine Fernwartung zumeist eine sogenannte Auftragsdatenverarbeitung (§ 11 BDSG) dar. Das gilt bereits dann, wenn nicht gänzlich ausgeschlossen werden kann, dass der Hersteller oder der Fernwartungsdienstleister bei der Durchführung der Fernwartung mit personenbezogenen Daten seines Kunden in Berührung kommt. Aufgrund der EU-weiten Harmonisierung des Datenschutzrechts sind die gesetzlichen Anforderungen an den Datenschutz auch dann relevant, wenn der Kunde seinen Sitz außerhalb von Deutschland, aber innerhalb der EU hat. Bei einer Fernwartung nach Übersee darf der Hersteller die so erlangten personenbezogenen Daten ebenfalls nur nach Maßgabe des deutschen Rechts verwenden. Darüber hinaus können Regelungen des dortigen nationalen Rechts zwingend sein, beispielsweise Importbestimmungen.

Damit die Fernwartung durch einen Dritten – wozu rechtlich auch die verbundenen Unternehmen eines Konzerns gehören – nach den hiesigen Grundsätzen der Auftragsdatenverarbeitung zulässig ist, müssen der Dritte und sein Kunde die Anforderungen des § 11 BDSG einhalten. Dazu zählt unter anderem die Maßgabe, dass ein schriftlicher Vertrag über die Fernwartung zu schließen ist, der die Details der Durchführung spezifiziert und in diesem Zusammenhang Regelungen hinsichtlich einer etwaigen Auftragsdatenverarbeitung trifft. Einen Anhaltspunkt für einen solchen Vertragsinhalt gibt der in § 11 BDSG enthaltene Regelungskatalog, der unter sorgfältiger Beachtung der rechtlichen Detailerfordernisse umgesetzt werden muss.

Zwar bleibt der Kunde im Fall der Fernwartung für die Einhaltung der datenschutzrechtlichen Anforderungen nach hiesigem Recht grundsätzlich verantwortlich. Dennoch macht es aus Sicht des Herstellers oder IT-Dienstleisters oftmals Sinn, seinem Kunden eine Fernwartungs-Vereinbarung inklusive der Regelungen zur Auftragsdatenverarbeitung proaktiv zur Verfügung zu stellen. Auf diese Weise ergänzt der Dritte sein Serviceangebot, dokumentiert sein datenschutzrechtliches Verantwortungsbewusstsein und vermeidet die Prüfung und Verhandlung entsprechender Vereinbarungen, die ihm andernfalls nicht selten seitens der Kunden vorgelegt werden.

Bei der Auftragsdatenverarbeitung innerhalb einer Fernwartung kommt den technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit eine besondere Bedeutung zu. Zu den in § 9 BDSG und dessen Anlage abstrakt beschriebenen Maßnahmen, die der Hersteller oder IT-Dienstleister in seinem Verantwortungsbereich etablieren und aufrechterhalten muss, gehört beispielsweise eine wirksame Absicherung der datenverarbeitenden Einrichtungen gegen unbefugten Zugang. Die Maßnahmen sollten unbedingt in einem Datensicherheitskonzept konkret und umfassend definiert werden. Ferner sollte das Dokument dem Kunden zugänglich gemacht und den Fernwartungsvereinbarungen als Anlage beigefügt werden. Als nicht ausreichend erweist sich hingegen die Formulierung einer nur abstrakten Vertragsklausel, nach der der Hersteller die „gesetzlich erforderlichen technischen und organisatorischen Maßnahmen“ trifft.

Da der Auftraggeber einer Auftragsdatenverarbeitung – auch innerhalb einer Fernwartung – gesetzlich zur regelmäßigen Prüfung der technischen und organisatorischen Maßnahmen verpflichtet ist, sollte die Fernwartungs-vereinbarung eine Regelung vorsehen, die dem Kunden eine Kontrolle in der Betriebsstätte des Herstellers erlaubt. Alternativ ist denkbar, dass der Hersteller oder IT-Dienstleister eine solche Prüfung regelmäßig – zum Beispiel jährlich – durch einen Dritten durchführen lässt. Dabei kann es sich um einen Auditor für Datenschutz handeln. Der Kunde erhält dann jeweils den aktuellen Prüfbericht.

Werden die gesetzlichen Anforderungen nicht eingehalten, ist die einer Fernwartung häufig immanente Auftragsdatenverarbeitung nach deutschem Recht strikt unzulässig. Als Konsequenz drohen dem Auftraggeber der Fernwartung sowie gegebenenfalls auch dem Hersteller oder IT-Dienstleister unter anderem behördliche Sanktionen in Form von empfindlichen Bußgeldern. Der Hersteller oder Dienstleister kann darüber hinaus Schadensersatzansprüchen des Kunden ausgesetzt sein.

Die Übermittlung von Sensordaten zwischen Maschinen sowie deren Abfrage aus der Ferne ist rechtlich grundsätzlich unproblematisch, weil es sich hierbei in der Regel nicht um personenbezogene Daten handelt. Erfolgt die Fernwartung jedoch durch einen Dritten und kann dieser in die Nähe von personenbezogenen Daten des Kunden gelangen, müssen nach hiesigem Recht strenge gesetzliche Anforderungen beachtet werden. Je nach Sitz des Kunden sind zudem gegebenenfalls noch die Anforderungen des dortigen nationalen Rechts zu berücksichtigen. Durch eine sorgfältige rechtliche Gestaltung der Fernwartung lassen sich solche rechtlichen Risiken erheblich minimieren. Der verantwortungsbewusste Umgang des Herstellers oder IT-Dienstleisters mit diesem Thema eröffnet dem Kunden somit einen Mehrwert – und oftmals sogar einen Wettbewerbsvorsprung vor weiteren Anbietern.

prozesstechnik-online.de/cav0513422