Hinweise des
Landesbeauftragten für den Datenschutz Baden-Württemberg
zum

Einsatz von Fernsteuerungssoftware

Fernsteuerungssoftware ist ein Hilfsmittel für die Systemadministration von Computernetzwerken. Sie ermöglicht dem Administrator, einen Server von seinem Arbeitsplatz aus über das Netzwerk zu steuern. Fernsteuerungssoftware kann auch zur Fehlersuche und -beseitigung eingesetzt werden. Hat ein Benutzer Probleme bei der Arbeit an seinem Arbeitsplatz-PC und teilt dies dem Administrator mit, so kann sich dieser mit Hilfe der Fernsteuerungssoftware alles, was auf dem Bildschirm des Benutzers angezeigt wird, auch auf seinem eigenen anzeigen lassen. Zudem kann der Administrator steuernd in den Dialog eingreifen und - anstelle des Benutzers - Eingaben tätigen, aus der Ferne Installationsarbeiten am PC des Benutzers durchführen oder sich als Administrator anmelden.

Mit dem Einsatz von Fernsteuerungssoftware gehen Risiken für den Datenschutz einher: Fernsteuerungssoftware lässt sich auch zur Überwachung von Mitarbeitern verwenden. Zudem besteht die Gefahr, dass damit unberechtigt auf gespeicherte Daten zugegriffen wird.

Notwendige technische und organisatorische Sicherheitsmaßnahmen

Ist der Einsatz einer Fernsteuerungssoftware bei einer Behörde oder sonstigen öffentlichen Stelle aus dienstlichen Gründen erforderlich, so soll sie folgende Sicherheitsmaßnahmen treffen, um den Risiken für den Datenschutz wirksam zu begegnen:

• Sofern eigene Mitarbeiter mit der Fernsteuerung von Servern oder Arbeitsplatz-PC betraut werden, muss die Daten verarbeitende Stelle schriftlich festlegen, welche Mitarbeiter für welche Zwecke und in welchem Umfang welche Rechner fernsteuern dürfen. Sofern die Daten verarbeitende Stelle Externe mit der Fernsteuerung eigener Rechner betraut, ist ein Fernwartungsvertrag abzuschließen (vgl. dazu auch die Hinweise des Landesbeauftragten für den Datenschutz Baden-Württemberg zur Fernwartung).
   
• Die Daten verarbeitende Stelle muss festlegen, wer in welchen regelmäßigen Zeitabständen die anfallenden Protokolldaten auszuwerten hat und wie lange die Protokolldaten vorzuhalten sind. Die Fernsteuerung von Rechnern und die Protokolldatenauswertung dürfen nicht in einer Hand liegen.
   
• Die Mitarbeiter, deren Arbeitsplatz-PC der Fernsteuerung zugänglich gemacht werden, sind über die Funktionsweise sowie den Nutzungszweck und -umfang der Fernsteuerungssoftware zu unterrichten.
   
• Die Daten verarbeitende Stelle muss die Fernsteuerungssoftware schriftlich für den Echteinsatz freigeben. Die schriftliche Freigabe darf nur dann erteilt werden, wenn ein datenschutz- gerechter Betrieb der Fernsteuerungssoftware entsprechend den in diesem Merkblatt genannten Hinweisen gewährleistet ist.
   

Maßnahmen, die bei der Fernsteuerung in jedem Einzelfall zu treffen sind:

• Bei der Fernsteuerung eines Arbeitsplatz-PC ist stets der Grundsatz der Datensparsamkeit und der Datenvermeidung zu beachten: Die Fernsteuerungsarbeiten sind nach Möglichkeit so durchzuführen, dass demjenigen, der den PC fernsteuert, keine personenbezogenen Daten bekannt werden.
   
• Die Fernsteuerung eines Arbeitsplatz-PC darf nur möglich sein, wenn der Benutzer zuvor in verständlicher Weise über die beabsichtigte Fernsteuerung informiert worden ist und am Zustandekommen der Fernsteuerungsverbindung aktiv mitgewirkt hat.
   
• Es ist sicherzustellen, dass nur zulässige Fernsteuerungsverbindungen zwischen Computern aufgebaut werden können. Dazu muss die eingesetzte Software die Möglichkeit bieten festzulegen, von welchen Computern zu welchen anderen eine Fernsteuerungsverbindung aufgebaut werden darf.
   
• Es ist sicherzustellen, dass nur derjenige eine Fernsteuerungsverbindung zu einem Server oder einem Arbeitsplatz-PC herstellen kann, der seine Berechtigung dafür durch eine Identifikation und Authentifikation nachgewiesen hat.
   
• Solange sich der Arbeitsplatz-PC eines Benutzers fernsteuern lässt, ist dem Benutzer dieser Umstand durch eine Bildschirmanzeige deutlich zu machen. Zudem muss der Benutzer die Tätigkeiten desjenigen, der seinen PC fernsteuert, nachvollziehen können.
   
• Sofern derjenige, der einen Arbeitsplatz-PC fernsteuert, auf Daten zugreift, die offenkundig nicht für die Störungsbeseitigung erforderlich sind, ist der Benutzer berechtigt, die Fernsteuerungsverbindung unverzüglich abzubrechen.
   
• Fernsteuerungsarbeiten sind in angemessener Weise zu protokollieren. Zumindest sind Datum, Beginn und Ende der Fernsteuerung, die Adressen der beiden Computer, zwischen denen eine Fernsteuerungsverbindung hergestellt wurde, sowie die Kennung desjenigen zu protokollieren, der die Fernsteuerung initiierte.