无论是服务器、工作站还是笔记本电脑,公司的 IT 系统都需要定期维护。 IT维护对于确保系统安全运行和相关数据安全级别是必要的。进行软件更新或更换硬件组件的情况并不少见。
外部服务提供商维护IT系统
只有少数公司完全自行开展此类工作。大多数人都会寻求外部服务提供商的帮助。与制造商或系统公司签订维护合同/服务水平协议 (SLA) 是一种常见的做法。在这样的合同中,服务和维护服务被明确定义,例如,范围和成本受到规范。
通常,此类服务并不只由一家提供商使用。许多服务提供商仅处理 IT 的部分内容,例如网络技术或某些软件解决方案。特别是对于特殊软件,例如 ERP 系统,合同是与相应的提供商签订的。例如,当需要安装更新或计划迁移到其他系统时,此功能可用。因此,公司通常会与不同的供应商签订多项服务水平协议。
经常被忽视的风险:合同数据处理
许多负责人没有意识到IT维护可以与企业数据 RCS 数据卡塔尔 保护联系起来。毕竟,重点是硬件或软件,而不是个人数据。然而,人们经常忽视一件事:对 IT 系统进行维护工作的人员(无论是现场还是远程)可以访问个人身份数据。反过来,这是一种风险,特别是因为订单处理可以被检测到。
有人认为IT维护与此无关,所以不存在合同数据处理。但这取决于具体情况。根据联邦数据保护法(BDSG),如果不能排除服务提供商查阅/访问个人数据的可能性,就会进行合同数据处理。
否则,可靠的证据至关重要。必须从中清楚的是,没有发生任何订单处理,例如,因为工作仅在不包含任何个人身份数据的系统上进行,并且无法从那里访问相关系统。同样,如果有有效的加密,就可以排除对个人数据的访问/洞察。
随着欧盟通用数据保护条例(EU GDPR)的出台,这个问题变得更加复杂。欧盟GDPR并没有明确规范IT维护,这就是律师和其他数据保护专家持有不同看法的原因。然而,最安全的解决方案无疑是假设数据处理是代表数据主体进行的。最重要的是,这种方法能保证长期安全。