Fernwartung und DSGVO: Auftragsverarbeitung, AV-Vertrag und TOM

Fernwartung ist nach der DSGVO meist eine Auftragsverarbeitung nach Art. 28: Sobald ein externer Dienstleister bei der Wartung auf personenbezogene Daten zugreifen kann, brauchen Sie einen Auftragsverarbeitungsvertrag (AV-Vertrag, AVV), geeignete technische und organisatorische Maßnahmen (TOM) nach Art. 32, eine saubere Protokollierung, ein Löschkonzept und, bei US-Anbietern, eine Rechtsgrundlage für den Drittlandtransfer. Dieser Beitrag erklärt, wann die Pflicht greift, was in den Vertrag gehört und wie sich das technisch sauber umsetzen lässt. Er grenzt den Datenschutz zudem von den Cybersicherheitspflichten der NIS2 ab.

Wann Fernwartung eine Auftragsverarbeitung ist (Art. 28 DSGVO)

Eine Auftragsverarbeitung liegt vor, wenn ein Dienstleister personenbezogene Daten weisungsgebunden für den Verantwortlichen verarbeitet (Art. 28 DSGVO). Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Aufsichtsbehörden, hat dazu im Kurzpapier Nr. 13 eine klare Linie gezogen: Bei der IT-Fernwartung liegt eine Auftragsverarbeitung vor, sofern nicht eine rein technische Wartung der Infrastruktur ohne Datenzugriff erfolgt.

Entscheidend ist die Zugriffsmöglichkeit, nicht der tatsächliche Zugriff. Schon weil der Techniker bei Fehleranalyse, Remote-Sitzung oder Support technisch auf Beschäftigten- oder Kundendaten zugreifen könnte, ist die Verarbeitung erfasst. Die Abgrenzung in der Praxis:

• Auftragsverarbeitung (AV-Vertrag nötig): Fernwartung von Anwendungen, Datenbanken, Maschinensteuerungen oder Servern, bei denen personenbezogene Daten sichtbar oder erreichbar sind.
• Keine Auftragsverarbeitung: rein technische Infrastrukturarbeiten ohne Datenbezug, etwa an Stromversorgung, Klimatisierung oder Verkabelung.

Wer als Maschinen- oder Anlagenbauer seine Anlagen beim Kunden fernwartet, ist damit fast immer Auftragsverarbeiter und der Kunde Verantwortlicher.

Was im AV-Vertrag stehen muss (Art. 28 Abs. 3)

Der Vertrag muss in schriftlicher oder elektronischer Form geschlossen werden (Art. 28 Abs. 9) und die folgenden Mindestinhalte abdecken. Ohne ihn ist die Verarbeitung formal rechtswidrig, egal wie gut die Technik ist.

Beide Seiten müssen die Verarbeitung zudem in ihrem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 führen.

Technische und organisatorische Maßnahmen (Art. 32) für die Fernwartung

Art. 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau nach dem Stand der Technik, ausdrücklich mit Verschlüsselung, der Sicherung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sowie regelmäßiger Überprüfung der Wirksamkeit. Für die Fernwartung übersetzt sich das in konkrete Maßnahmen:

• Verschlüsselte Verbindung statt offenem Port: Zugriff über einen abgesicherten Tunnel oder ein Gateway, nicht über ein direkt aus dem Internet erreichbares System.
• Starke Authentifizierung: Multi-Faktor-Authentifizierung und zentrale Anmeldung. Wie sich das umsetzen lässt, zeigt unser Beitrag zu SSO und MFA für den Fernzugriff.
• Minimale Berechtigung (RBAC): Jeder Techniker erreicht nur die Systeme, die seine Aufgabe verlangt, idealerweise zeitlich begrenzt mit Freigabe (Just-in-time). Details im Leitfaden zu RBAC und Audit für Fernzugriff.
• Protokollierung: Eingabe- und Zugriffskontrolle als TOM, nachvollziehbar und manipulationssicher.
• Aktualität: gepatchte Komponenten und laufendes Schwachstellenmanagement.

Die TOM gehören nicht nur in die Realität, sondern auch als Anlage in den AV-Vertrag.

Zugriff Dritter, Unterauftragsverarbeiter und Protokollierung

Heikel wird es, wenn der Dienstleister selbst weitere Dritte einbindet: ein Fernwartungs-Tool als Cloud-Dienst, einen Subunternehmer oder einen Support-Partner im Ausland. Solche Unterauftragsverarbeiter sind nur mit Genehmigung des Verantwortlichen zulässig (Art. 28 Abs. 2 und 4), und der Hauptauftragsverarbeiter muss ihnen dieselben Pflichten auferlegen. Jedes eingesetzte Werkzeug, das Daten oder Sitzungsinhalte verarbeitet, ist hier zu prüfen.

Parallel verlangt die Rechenschaftspflicht (Art. 5 Abs. 2): Sie müssen belegen können, wer wann auf welche Daten zugegriffen hat. Praktisch bedeutet das ein lückenloses, manipulationssicheres Audit-Log über alle Sitzungen, bei kritischen Systemen ergänzt um Session-Aufzeichnung. Ein zentrales Audit- und Logging-System wie Wazuh bündelt diese Nachweise. Dieselbe Nachvollziehbarkeit ist auch die Brücke zu NIS2.

Löschkonzept und Speicherbegrenzung

Die Speicherbegrenzung (Art. 5 Abs. 1 lit. e) und das Recht auf Löschung (Art. 17) verlangen, dass Daten nicht länger als nötig vorgehalten werden. Für die Fernwartung heißt das:

• Nach Auftragsende: Daten und Zugänge werden gelöscht oder zurückgegeben (Art. 28 Abs. 3 lit. g). Verwaiste VPN-Zugänge oder Wartungskonten ehemaliger Dienstleister sind ein häufiger und vermeidbarer Befund.
• Laufende Löschfristen: Sitzungsmitschnitte, Logs und Support-Tickets brauchen definierte Aufbewahrungs- und Löschfristen, dokumentiert in einem Löschkonzept.

Drittlandtransfer: das Risiko bei US-Cloud-Fernwartung

Sobald ein US-Anbieter oder dessen Cloud auf die Daten zugreifen kann, liegt ein Transfer in ein Drittland nach Kapitel V DSGVO vor, und zwar selbst dann, wenn die Server physisch in der EU stehen. Sie brauchen dafür eine Rechtsgrundlage:

• Angemessenheitsbeschluss: Das EU-US Data Privacy Framework (Beschluss vom 10. Juli 2023) erlaubt den Transfer an DPF-zertifizierte US-Empfänger. Das Framework steht jedoch unter Beobachtung: Der EuG wies die Klage Latombe (T-553/23) am 3. September 2025 ab, ein Rechtsmittel zum EuGH ist anhängig, ein erneutes Kippen ("Schrems III") ist nicht ausgeschlossen.
• Standardvertragsklauseln (SCC): für nicht zertifizierte Empfänger, kombiniert mit einem Transfer-Impact-Assessment (TIA) nach dem Urteil Schrems II (C-311/18).

Der Kern des Problems: US-Gesetze wie der CLOUD Act und FISA 702 verpflichten US-Anbieter zur Herausgabe, auch wenn die Daten in der EU liegen. Weder DPF noch SCC heben diese Pflicht auf. Die einzige technische Maßnahme, die die Aufsichtsbehörden als wirksam ansehen, ist starke Verschlüsselung mit ausschließlicher Schlüsselhoheit in der EU. Der robusteste Weg bleibt deshalb der Betrieb in der EU ohne Datenabfluss in US-Hände.

DSGVO und NIS2: zwei getrennte Pflichtenkreise

Datenschutz und Cybersicherheit werden oft verwechselt, sind aber zwei verschiedene Rechtsregime, die sich beim Fernzugriff überschneiden:

Beide greifen parallel: Eine Fernwartung kann NIS2-konform und trotzdem datenschutzwidrig sein, wenn der AV-Vertrag fehlt. Wie Sie die Cybersicherheitsseite umsetzen, beschreibt der Beitrag zum NIS2-konformen Fernzugriff.

Dieser Beitrag ist allgemeine Information und keine Rechtsberatung. Für die verbindliche Bewertung Ihrer Pflichten ziehen Sie bitte fachkundigen Rechtsrat hinzu; die technische Umsetzung begleiten wir gern.

So setzen wir das bei WZ-IT um

Wir bauen souveräne Remote-Management-Plattformen, die genau diese Anforderungen technisch abbilden: Zugriff über ein abgesichertes Gateway statt offenem Port, MFA und SSO, rollenbasierte und zeitlich begrenzte Rechte, ein manipulationssicheres Audit aller Sitzungen sowie definierte Löschfristen, dokumentierte TOM als AVV-Anlage und Betrieb in Deutschland ohne Abhängigkeit von US-Cloud-Diensten. Für ABCO Water Systems in Australien betreiben wir diesen abgesicherten Fernzugriff auf verteilte Anlagen mit rollenbasierten Rechten und vollständigem Audit-Trail.

Sie wollen Ihre Fernwartung datenschutzkonform aufstellen? Vereinbaren Sie ein unverbindliches Kennenlernen.