Vereinbarung zur Auftragsverarbeitung

Anhang 1: Technische und organisatorische Maßnahmen

Innerhalb ihres Verantwortungsbereichs ergreift die DHL Paket GmbH bei der Verarbeitung personenbezogener Daten die folgenden technischen und organisatorischen Maßnahmen.

Ziel: Unbefugten wird der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt.

Grundsätze:
  • Einrichtung von unterschiedlichen Sicherheitszonen (SK1 - SK4). Grundsätzlich wird unterschieden zwischen öffentlichen Bereichen, Büroflächen und Technikflächen (Data Center, Netzwerkräume).
  • Es findet eine angemessene Zutrittskontrolle zwischen den Sicherheitszonen mit unterschiedlicher Schutzklassifizierung statt.
  • Es ist ein formales Verfahren zur Vergabe/Änderung/Entzug von Zutrittsberechtigungen implementiert.
  • Es ist ein formales Verfahren zur Begleitung von Besuchern und Fremdpersonal implementiert.
Maßnahmen:
  • Überwachte Personenschleusen zu den Sicherheitsbereichen
  • Sicherheitsbereiche sind definiert
  • Eine Identifikation des zugangsberechtigten Personenkreises erfolgt mittels maschinenlesbarer Ausweise
  • Schließregel gemäß Hausordnung
  • Das Tragen von Unternehmensausweisen wird von den Sicherheitskräften ständig überwacht.
  • Außenhautsicherung durch spezielle bauliche Maßnahmen, Alarmanlagen, Einbruchmeldesystem, Wachdienst
  • Protokollierung der Zu- und Abgänge

Ziel: Verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Grundsätze:
  • Die individuelle Identifikation von Benutzern erfolgt grundsätzlich personenbezogen.
  • Die Authentifizierung, d.h. die Verifikation der vorgetragenen Identifikation, erfolgt mindestens mittels Passwort.
  • Die Qualität (Aufbau, Länge, etc.) der Passwörter und die Rahmenbedingungen ihres Einsatzes (Speicherung, Übertragung, etc.) entsprechen den geltenden Sicherheitsstandards.
  • Die Zugangs- und Zugriffsberechtigungen werden regelmäßig mindestens einmal im Jahr auf Aktualität und Gültigkeit überprüft. Die Ergebnisse werden revisionssicher protokolliert.
  • Das Einrichten, Löschen oder Verändern der Zugangs- und Zugriffsberechtigungen erfolgt über etablierte Betriebsprozesse.
Maßnahmen:
  • Absicherung der Übertragungsleitungen durch besondere bauliche Maßnahmen
  • Maßnahmen zu Benutzer- und Zugangskontrolle für alle Komponenten des Betriebs
  • Das Netz ist über Firewall-Systeme gegenüber dem Internet und anderen Netzen abgesichert
  • Kennwortverfahren zur sicheren Identifikation mit anschließender Authentifizierung des Nutzers
  • Verbindliche Regelung zur Sperrung von Workstations bei Verlassen des Arbeitsplatzes (z.B. Kennwort oder Pausenschaltung)
  • Benutzerverwaltung mit Berechtigungsstufen
  • Verbindlicher Prozess für Vergabe, Kontrolle und Entzug von Zugangsberechtigungen
  • Der administrative Zugang zu Systemen wird auf Netzwerkebene abgesichert

Ziel: Gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Grundsätze:
  • Der Standard-Benutzer hat keinen schreibenden Zugriff auf Systemdateien und besitzt keine administrativen Privilegien.
  • Die Benutzerverwaltung erfolgt zentral, wenn technisch realisierbar.
  • Administrative Konten wie z.B. root und DBA werden personalisiert. Sofern dies bei den eingesetzten Objekten nicht möglich ist, werden geeignete Verfahren oder Tools wie etwa Sudo bei Unix eingesetzt.
  • Der administrative Zugang zu Systemen in Kunden-Umgebungen wird auf Netzwerkebene durch geeignete Sicherheitsmechanismen abgesichert.
Maßnahmen:
  • Definierte, revisionsfähige Berechtigungskonzepte für System-, Datenbank- und Anwendungsebene
  • Berechtigungskonzepte beinhalten u.a. die Prozessbeschreibung der Rechtevergabe und des Rechteentzugs unter Anwendung des 4-Augen-Prinzips sowie "Need to know"-Prinzips für den Zugang auf Ressourcen und Informationen
  • Differenzierte Zugriffsberechtigungen (Profile, Rollen)
  • Verbindlicher Prozess für Vergabe, Kontrolle und Entzug von Zugriffsberechtigungen
  • Identifikation und Authentifizierung der Benutzer gem. den Berechtigungskonzepten und Prozessabläufen zur Änderung von Berechtigungskonzepten. Identifikation und Authentifizierung der System- u. Datenbankadministratoren.
  • Passwortrichtlinien mit definierten Gültigkeitszeiträumen und Historiendokumentationen
  • Protokollierung der zugriffsberechtigten Personen und deren AN-/Abmeldungen
  • Verschlüsselung von Dateien im Bedarfsfall

Ziel: Gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welcher Stelle eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Grundsätze:
  • Sicherheitsrelevante systembezogene Ereignisse und Zugänge zum System werden protokolliert (Systemlog) und die Loginformationen für 90 Tage vorgehalten. Eine darüber hinausgehende benutzerbezogene Protokollierung von Aktivitäten findet nicht statt.
  • Die Auswertung der Loginformationen erfolgt anlassbezogen unter Berücksichtigung rechtlicher Vorgaben.
  • Loginformationen werden über das reguläre Backup Verfahren gesichert. Ein Wiederherstellen der Loginformationen erfolgt ausschließlich über das etablierte Change-Verfahren.
  • Als Basis für die eingesetzten Verschlüsselungstechnologien werden bewährte und anerkannte Standardverfahren und vorgeschlagene Mindestlängen der Schlüssel verwendet.
  • Die Anwendung muss eine Veränderung der Schlüssellänge berücksichtigen können.
  • Auf mobilen Datenträgern dürfen vertrauliche Daten ausschließlich verschlüsselt abgelegt werden.
Maßnahmen:
  • Versand von Datenträgern erfolgt in versiegelten Transportbehältern
  • Gesicherte bzw. verschlüsselte Übertragungswege
  • Protokollierung durch aktive Netzkomponenten und im Bedarfsfall Auswertung durch das Netzzentrum
  • Kontrollierte Vernichtung von Datenträgern
  • Verschlüsselungsverfahren nach Stand der Technik

Ziel: Gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Grundsätze:
  • Für den sicheren Betrieb einer Anwendung ist ein Sicherheitskonzept vorhanden, das mindestens folgende Punkte einschließt:
    - Ein Berechtigungskonzept ist erstellt und eine entsprechende Benutzerverwaltung eingerichtet.
    - Benutzerkonten in der Anwendung nutzen weder fest programmierte Passwörter noch fest zugeordnete User-IDs.
    - Passworte werden kryptographisch verschlüsselt gespeichert und übertragen.
  • Sicherheitsfeatures der jeweiligen Programmiersprachen und Tools sind zu nutzen und dürfen die Sicherheit des zugrunde liegenden Systems nicht gefährden oder beeinflussen.
  • Sämtliche entwicklungs- bzw. testspezifischen Protokollierungsprozesse werden vor Freigabe der Software in den Betriebsprozess deaktiviert bzw. entfernt.
  • Sicherheitsrelevante systembezogene Ereignisse und Zugänge zum System werden protokolliert (Systemlog) und die Loginformationen für 90 Tage vorgehalten. Eine darüber hinausgehende benutzerbezogene Protokollierung von Aktivitäten findet nicht statt.
  • Die Auswertung der Loginformationen erfolgt anlassbezogen unter Berücksichtigung vertraglicher und rechtlicher Vorgaben.
  • Loginformationen werden über das reguläre Backup Verfahren gesichert. Ein Wiederherstellen der Loginformationen erfolgt ausschließlich über das etablierte Changeverfahren.
Maßnahmen:
  • Führung von Nachweisen der organisatorisch festgelegten Zuständigkeiten für die Eingabe
  • Identifikation und Authentifizierung der Benutzer gemäß den Berechtigungskonzepten
  • Authentifizierungskonzept
  • Protokollierung und Protokollauswertung
  • Sicherung der Protokolldateien gegen unbefugte Nutzung und Veränderung

Ziel: Gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Grundsätze:
  • Der Auftragsverarbeiter folgt gemäß Art. 28 DSGVO bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten ausschließlich den Weisungen des Auftraggebers. Außerhalb von Weisungen verwendet der Auftragsverarbeiter die ihr zur Erhebung, Verarbeitung oder Nutzung überlassenen Daten weder für eigene Zwecke noch für Zwecke Dritter (Zweckbindungsgrundsatz). Verstößt eine Weisung nach Ansicht des Auftragsverarbeiters gegen Datenschutzbestimmungen, weist der Auftragsverarbeiter den Auftraggeber schriftlich darauf hin.
  • Der Auftragsverarbeiter setzt ausschließlich Mitarbeiter ein, die angemessene Vertraulichkeitsvereinbarungen unterzeichnet und gemäß § 39 PostG auf das Postgeheimnis sowie (im Anwendungsbereich des TKG) gemäß § 88 TKG auf das Fernmeldegeheimnis verpflichtet sind. Die Verpflichtungserklärungen werden als Muster auf Nachfrage zu Prüfungszwecken im Rahmen von Audits im Original vorgelegt.
  • Der Auftragsverarbeiter informiert den Auftraggeber bei Störungen des Verarbeitungsablaufes, bei Verdacht auf Datenschutzverletzungen und anderen Unregelmäßigkeiten bei der Verarbeitung von personenbezogenen Daten des Auftraggebers schriftlich.
  • Der Auftraggeber ist berechtigt, die Einhaltung der geltenden Datenschutzvorschriften und der Datensicherungsmaßnahmen in Bezug auf die Verarbeitung seiner Daten nach vorheriger Abstimmung mit der Datenschutzorganisation des Auftragsverarbeiters zu überprüfen.
  • Der Auftragsverarbeiter beauftragt Lieferanten mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ausschließlich im Rahmen eines Vertrages zur Auftragsverarbeitung nach Art. 28 DSGVO.
  • Die Auftragskontrolle erfolgt auf Basis eines beim Auftragsverarbeiter etablierten Frameworks zur Umsetzung der gesetzlichen und Konzernanforderungen bei der Auftragsverarbeitung (AV).
Maßnahmen:
  • Anwendung stellt sicher, dass Erhebung, Verarbeitung und Nutzung personenbezogener Daten ausschließlich innerhalb des Vertrauensbereichs des Verantwortlichen erfolgt
  • Formalisierte Auftragserteilung
  • Maßnahmen zur Überprüfung der ordnungsgemäßen Vertragsausführung

Ziel: Gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Grundsätze:
  • Datenträger werden ausschließlich im Robotersystem bzw. im Sicherheitsarchiv gelagert.
  • Alle ein- und ausgehenden Datenträger werden im Sicherheitsarchiv gelagert.
Maßnahmen:
  • Ein Datensicherungskonzept ist erstellt

Ziel: Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Grundsätze:
  • Jedes neu entwickelte System bzw. jede Applikation muss das PSA-Verfahren (Privacy & Security Assessment) durchlaufen. Sämtliche Änderungen müssen im Review des PSA berücksichtigt werden.
  • Freigabeverfahren zur Übergabe in die Produktion werden eingesetzt.
  • Die Entwicklung wird auf Standardsystemen mit aktuellen Patch-Ständen und Standard-Sicherheitseinstellungen betrieben, sofern technisch realisierbar und vom Kunden freigegeben.
  • Abhängigkeiten zum Betriebssystem bzw. zur verwendeten Middleware werden abgestimmt und dokumentiert.
  • Applikationsspezifische sicherheitsrelevante Einstellungen werden im Sicherheitskonzept der Anwendung entsprechend dokumentiert.
  • Entwicklungs-, Test- und Abnahme-Systeme werden, sofern technisch sinnvoll möglich und vertraglich geregelt, in unabhängigen Netzsegmenten betrieben.
  • Test- und Produktionsdaten werden getrennt gehalten.
  • Personenbezogene Daten werden vor Einsatz als Testdaten anonymisiert bzw. pseudonymisiert, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.
Maßnahmen:
  • Logische Trennung des Datenbestandes
  • Physikalische Trennung der Datenspeicher
  • Anonymisierung bzw. Pseudonymisierung von Testdaten
  • Trennung von Test-, Entwicklungs- und Produktionsumgebungen
  • Richtlinien und Arbeitsanweisungen für Entwicklung und Betrieb