Fernzugriffsvereinbarung

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

Die Fernzugriffsvereinbarung regelt die Bedingungen und Verpflichtungen für den Fernzugriff von IT-Dienstleistern auf die Systeme und Daten einer Organisation. Sie umfasst Sicherheitsanforderungen, Datenschutzbestimmungen, Pflichten der Auftragnehmenden und Vorgaben zur Überwachung und Dokumentation der Fernzugriffe, um die Integrität und Vertraulichkeit der IT-Systeme zu gewährleisten.

Fernzugriffsvereinbarung für IT-Dienstleister

zwischen

<Dienstleister, Anschrift>

(nachfolgend "Auftragnehmer“ genannt)

und

<Organisation, Anschrift>

(nachfolgend "Auftraggeber“ genannt)

Der Auftraggeber beabsichtigt den Auftragnehmer mit der Erbringung von IT-Dienstleistungen im Rahmen von Fernzugriffen oder Fernwartungen zu beauftragen.

Zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme des Auftraggebers hat der Auftragnehmer vor Erhalt der Zugriffsberechtigung diese Fernzugriffsvereinbarung zu unterzeichnen.

Zweck der Vereinbarung

Diese Vereinbarung regelt die Bedingungen und Verpflichtungen für den Fernzugriff von IT-Dienstleistern auf die Systeme und Daten der Organisation zur Erbringung von IT-Services. Sie soll sicherstellen, dass der Fernzugriff sicher, zuverlässig und datenschutzkonform erfolgt.

Definitionen

Organisation: Die Organisation [Name der Organisation].

IT-Dienstleister: Das Unternehmen oder die Einzelperson, die von der Organisation beauftragt wurde, IT-Services zu erbringen, einschließlich Fernzugriff und Fernwartung.

Fernzugriff: Zugriff auf die IT-Systeme der Organisation von einem entfernten Standort aus.

Fernwartung: Die Möglichkeit, IT-Systeme der Organisation remote zu warten, zu konfigurieren oder zu reparieren.

Genehmigung und Überwachung des Fernzugriffs

Der Fernzugriff auf die IT-Systeme der Organisation durch den IT-Dienstleister bedarf der ausdrücklichen Genehmigung durch die Organisation. Diese Genehmigung kann schriftlich oder elektronisch erfolgen.

<Regelung der Zugriffszeiten.>

Die Organisation behält sich das Recht vor, den Fernzugriff jederzeit zu überprüfen und zu überwachen, um die Einhaltung dieser Vereinbarung sicherzustellen. Dies kann durch technische Maßnahmen wie Protokollierung von Zugriffen und Überwachung von Aktivitäten erfolgen

Pflichten des Auftragnehmers

Arbeitsprotokoll

Alle Fernwartungsvorgänge müssen dokumentiert werden. Dabei ist zumindest Anfang und Ende der Fernwartung sowie die Beteiligten festzuhalten. Wenn auf dem gewarteten IT-System niemand die Fernzugriffe beobachten kann, müssen alle Tätigkeiten bei der Durchführung der Fernwartung auf dem zu wartenden IT-System protokolliert werden.

Diese Dokumentation ist der Organisation nach Abschluss der Arbeiten, bei längeren Arbeiten monatlich zu übergeben.

(Ggf. Dokumentation in einem Ticketsystem falls vorhanden)

Sicherheitsanforderungen

  • Der IT-Dienstleister verpflichtet sich, angemessene Sicherheitsmaßnahmen zu ergreifen, um unbefugten Zugriff auf die IT-Systeme der Organisation zu verhindern. Dazu gehören regelmäßige Updates von Software und Sicherheitspatches sowie die Implementierung von Firewalls und Antivirenprogrammen.
  • Der IT-Dienstleister darf Zugangsdaten oder Zugriffsinformationen nicht an Dritte weitergeben oder offenlegen. Alle Zugriffe müssen individuell autorisiert und nachverfolgbar sein.
  • Der IT-Dienstleister ist verpflichtet, alle Sicherheitsrichtlinien und -verfahren der Organisation einzuhalten, insbesondere hinsichtlich Passwortrichtlinien, Verschlüsselung und Zugriffskontrolle. Bei Identifizierung von Sicherheitslücken oder Schwachstellen sind diese unverzüglich der Organisation zu melden.
  • Sicherheitsvorfallmanagement (Meldung von Sicherheitsvorfällen)

Datenschutz und Vertraulichkeit

  • Der IT-Dienstleister ist verpflichtet, sämtliche Daten der Organisation vertraulich zu behandeln und nur gemäß den Anweisungen der Organisation zu verwenden. Dies schließt auch die Einhaltung der geltenden Datenschutzgesetze ein, wie etwa der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union.
  • Jegliche Daten, die während des Fernzugriffs übertragen oder eingesehen werden, unterliegen den Datenschutzbestimmungen der Organisation und dürfen nicht ohne Genehmigung der Organisation weitergegeben oder für andere Zwecke verwendet werden. Die Daten der Organisation sind strikt getrennt von anderen Daten des Dienstleisters oder anderer Kunden des Dienstleisters zu halten.
  • Vertraulichkeitserklärung

Haftung

Die Parteien vereinbaren, dass der IT-Dienstleister für Schäden oder Verluste, die durch nicht autorisierte Handlungen oder Fahrlässigkeit verursacht werden, haftbar gemacht werden kann. Dies gilt jedoch nicht für Schäden, die auf Handlungen oder Unterlassungen der Organisation zurückzuführen sind.

Laufzeit und Kündigung

Diese Vereinbarung tritt am [Datum] in Kraft und bleibt in Kraft, bis sie von einer der Parteien gekündigt wird. Jede Partei kann die Vereinbarung durch schriftliche Mitteilung mit einer Frist von [Anzahl] Tagen kündigen. Nach Beendigung der Vereinbarung hat der IT-Dienstleister unverzüglich alle Zugriffsrechte zu den IT-Systemen der Organisation zu beenden und alle relevanten Zugriffsinformationen zu löschen oder zurückzugeben.

Salvatorische Klausel

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden oder sollte dieser Vertrag Lücken enthalten, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen Bestimmung oder zur Ausfüllung der Lücke ist diejenige wirksame Bestimmung zu vereinbaren, die dem Sinn und Zweck der unwirksamen Bestimmung entspricht oder am nächsten kommt.


Firmenstempel Ort, Datum Unterschrift (Auftragnehmer)