Puuh, die DSGVO ist gerade für Selbstständige und kleine Betriebe ein Brocken – das hat sich auch sieben Jahre nach ihrer Einführung nicht geändert. Damit IT-Support rechtskonform und sicher ist, müssen klare Anforderungen der DSGVO erfüllt werden. Und falls ihr gerade unsicher seid, ob das bei euch alles so passt, oder falls ihr neu ins Support-Business einsteigt, haben wir eine Checkliste für euch vorbereitet. Einfache Tipps, ohne dass einem das Hirn raucht 🙂

Die Checkliste zeigt, wie IT-Dienstleister und Support-Teams den Anforderungen der DSGVO gerecht werden. Mit der Liste seid ihr gut gerüstet, um IT‑Support rechtssicher und vertrauenswürdig umzusetzen.

Beachtet bitte: Dieser Artikel ersetzt keine Rechtsberatung. Bei Unsicherheiten haltet immer Rücksprache mit einem Datenschutzbeauftragten oder Anwalt.

Checkliste

1. Transparenz

Rechtsgrundlage: Jede Datenverarbeitung im IT-Support benötigt eine gültige Basis, meist ist das die Vertragserfüllung oder ein berechtigtes Interesse (§ 6 DSGVO).

Informationspflicht: Kunden, Mitarbeitende und Nutzer müssen umfassend aufgeklärt werden: Wer speichert welche Daten, wo, wofür und wie lange?

2. Datenerhebung

Zweck: Daten dürfen nur für vorher festgelegte Zwecke erhoben werden (z. B. Fehlersuche, Fernwartung).

Data minimisation: Erhobene Datenmengen sind so weit wie möglich zu minimieren (Art. 5 DSGVO).

3. TOMs

TOMs = technische und organisatorische Maßnahmen

Verschlüsselung und Zugriffskontrolle: Alle Fernwartungsverbindungen müssen Ende-zu-Ende verschlüsselt sein. Den Zugang bestmöglich absichern – dazu gibt’s auch Infos bei uns im Blog: Zwei-Faktor-Authentifizierung und komplexe Passwörter.

Serverstandort EU: Ideal sind Rechenzentren in Deutschland, wie bei pcvisit, um DSGVO-Anforderungen zu erfüllen.

Transparenz in Sitzungslogs: Remote-Sitzungen sollten detailliert protokolliert werden, inklusive UAC‑Rechtevergabe.

Zugriffsrechte verwalten: Rollenkonzepte sorgen dafür, dass alle Team-Mitglieder nur notwendige Rechte erhalten (Least‑Privilege).

Back-up und Wiederherstellung: Regelmäßige Datensicherung und Notfallkonzepte sind Pflicht.

4. AVV

Falls externe Tools oder Dienstleister eingesetzt werden (z. B. Fernwartungssoftware), ist ein rechtssicherer AV‑Vertrag erforderlich. Wie zum Beispiel dieser AVV von pcvisit. (Hier findet ihr übrigens ein Muster für einen Auftragsverarbeitung für IT-Dienstleister und ihre Kunden.)

5. Dokumentation

Hierzu zählt ein Verzeichnis der Verarbeitungstätigkeiten (VVT), also eine Dokumentation aller Prozesse, bei denen personenbezogene Daten verarbeitet werden. Inklusive Details zu Datenarten, Zweck, Speicherort und Löschfristen.

Wichtig in der Praxis: Das ist nicht verpflichtend für Unternehmen mit weniger als 250 Mitarbeitern, es sei denn, die Datenverarbeitung ist risikoreich. Die Ausnahmeregelung ist sehr eng gefasst und trifft in der Praxis selten vollständig zu. Bereits wenn regelmäßig Kundendaten, Mitarbeiterdaten oder Gesundheitsdaten verarbeitet werden (z. B. durch eine Personalabteilung, ein Supportsystem oder eine Zeiterfassung), besteht die Pflicht zur Führung eines Verzeichnisses. Auch wenn ein Unternehmen unter 250 Mitarbeiter hat, kann die Pflicht trotzdem bestehen, etwa wenn regelmäßig personenbezogene Daten verarbeitet werden (was bei fast jedem Unternehmen zutrifft). Checkt also unbedingt, was in eurem Fall zutrifft!

Datenschutzkonzept erstellen, das alle Prozesse, Verantwortlichkeiten und TOMs umfasst.

6. Rechte sichern

Personen (eure Mitarbeitenden oder Kunden) müssen Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragung verlangen können.

Prozesse etablieren, um Betroffenenanfragen effizient (innerhalb von einem Monat) zu bearbeiten.

7. Risiko abschätzen

Für hochriskante Support-Maßnahmen (z. B. Fernzugriffe auf sensible Daten) ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich (mehr dazu hier).

8. Schulungen

Mitarbeitende im Support müssen in DSGVO- und IT-Sicherheitsgrundlagen regelmäßig geschult werden.

Bewusstsein bei allen etablieren: Eure Team-Mitglieder müssen die Risiken bei der Datenverarbeitung kennen.

9. Meldung

Interne Prozesse zur schnellen Erkennung und Dokumentation von Verstößen müssen vorhanden sein.

Eine Meldung an die Aufsichtsbehörde für Datenschutz eures Bundeslandes muss bei meldepflichtigen Vorfällen innerhalb von 72 Stunden erfolgen. (Eine Liste der Landesbehörden gibt es hier.)

10. Monitoring

Prüft mit internen oder externen Audits regelmäßig die Umsetzung aller DSGVO-Aspekte (z. B. TOMs, AV-Verträge, DSFA).

Tools zur Protokollanalyse unterstützen bei Permanentüberwachung (etwa Systemlog-Überwachung, Sitzungsprotokollierung bei Fernwartung, Alarmierung bei Auffälligkeiten wie z.B. viele fehlgeschlagene Logins).

11. IT‑Innovationen

Beschäftigt euch mit wichtigen künftigen Regelungen, etwa zum KI‑Einsatz (AI Act).

Passt euren Support-Prozesse frühzeitig an neue technische Anforderungen an.

Update‑Zyklen beachten, z. B. das Support-Aus für Windows 10 ab Oktober 2025.

Fazit

Ein DSGVO‑konformer IT‑Support erfordert Transparenz, klare Dokumentation, strikte technische Maßnahmen, geschulte Mitarbeitende und kontinuierliche Anpassung an neue Risiken. Tools wie pcvisit bieten euch dabei eine solide technologische Basis. Vorausgesetzt, ihr setzt auch ergänzenden Prozesse (AVVs, Schulungen, Dokumentationen, Audit) umfassend ein. So macht ihr euren IT‑Support zur sicheren und vertrauenswürdigen Dienstleistung für eure Kunden.