Technische und organisatorische Maßnahmen gemäß Anlage zu § 9 BDSG

Vorwort

Die Global Payment Processing AG erhebt, verarbeitet und nutzt personenbezogene Daten für die Durchführung seiner Aufgaben. Um die Sicherheit dieser Daten zu gewährleisten, wurden eine Reihe von technischen und organisatorischen Schutzmaßnahmen implementiert. Die jeweiligen Einzelmaßnahmen werden in den folgenden Abschnitten anhand der gesetzlichen Vorgaben der Anlage zu § 9 Bundesdatenschutzgesetz (BDSG) erläutert. Das Büro der Global Payment Processing AG befindet sich an der Mühlenstraße 78-80 in 10243 Berlin. Die Server sowie Backup-Systeme befinden sich bei externen Dienstleistern, mit denen, soweit notwendig, Verträge nach § 11 BDSG geschlossen wurden. Um Sicherheitsrisiken für das Unternehmen zu minimieren und um Geschäftsgeheimnisse zu wahren, werden die hier aufgeführten Maßnahmen nicht im Detail erläutert. Bei Bedarf können weiterführende Informationen bei den Verantwortlichen angefordert werden.

Zutrittskontrolle

Es sind Maßnahmen zu treffen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Büroräume

Das Büro befindet sich im 3. Obergeschoss des Gebäudes an der Mühlenstraße 78-80. Diese Etage wird ausschließlich von Mitarbeitern der Global Payment Processing AG genutzt. Der Zutritt zur Büroetage erfolgt über einen Fahrstuhl oder ein Treppenhaus. Die Bürotür ist aus Stahl. Sie ist mit einem Sicherheitsschloss mit integriertem Bohrschutz versehen. Die Tür ist während der Arbeitszeit durchgehend geschlossen. Daneben existiert eine Feuertreppe, die über eine verschlossene Nebeneingangstür zu erreichen ist. Es existiert eine dokumentierte Schlüsselvergabe für alle Mitarbeiter. Es existiert ein dokumentierter Prozess für den Fall des Schlüsselverlustes. In jedem Fall ist die Geschäftsführungsassistenz zu informieren, die die weiteren Schritte einleitet.

 

Externe Personen

Besucher müssen sich per Sprechanlage vor dem Gebäude anmelden und können nach Bestätigung des Empfangs den Aufzug benutzen. Das Büro ist durch einen Empfang besetzt, bei dem sich alle Besucher vom Montag bis Freitag im Zeitraum von 09:00 bis 17:00 Uhr anmelden müssen. Besucher können sich im Wartebereich aufhalten und werden dort von den jeweils zuständigen Mitarbeitern abgeholt. Handwerker und Personal von Reinigungs- und Wartungsunternehmen werden für Tätigkeiten in den Büroräumen von GPP-AG-Mitarbeitern eingewiesen und betreut.

 

Videoüberwachung

Der Zugang zum Treppenhaus wird durch eine Videoanlage überwacht, die durch den Hauseigentümer betrieben wird. Entsprechende Beschilderungen finden sich im Umfeld der Kameras.

Zugangskontrolle

Es sind Maßnahmen zu treffen, die verhindem, dass IT-Systeme von Unbefugten genutzt werden können.

 

Passwortverfahren

Die Grundeinstellungen der Arbeitsplatz-PCs sind i. d. R. per Passwort gegen Änderungen geschützt. Um Angriffe mit automatisierten Werkzeugen wie bspw. Brute-Force- oder Wörterbuch-Attacken zu erschweren, werden Arbeitsplatz-PCs und Laptops überwiegend nach zehnmaliger falscher Eingabe des Anmeldepasswortes gesperrt. Der Zugang zu IT-Systemen ist nur über eine benutzerindividuelle, passwortgestützte Identifizierung und Authentifizierung möglich. Anforderungen innerhalb der gesamten Infrastruktur werden über Richtlinien umgesetzt. Je nach Schutzbedarfsklasse sind unterschiedliche Anforderungen an Passwörter definiert. 

Die Passwortverfahren müssen dabei folgende Kriterien erfüllen:

 

  • Mindestlänge der Passwörter (8 Zeichen, in Ausnahmefällen auch weniger)

  • Passwortkomplexität: 3 Faktoren (Zahlen, Buchstaben mit Groß-/Kleinschreibung, Sonderzeichen) müssen gleichzeitig erfüllt sein

  • Häufigkeit des Passwortwechsels (90 Tage, in Ausnahmefällen auch weniger)

  • Anzahl der Passwörter, bevor ein verwendetes Passwort wieder benutzt werden darf (mind. 3 Passwörter, in Ausnahmefällen auch weniger)

  • Anmeldeprozedur bei erstmaliger Nutzung nach der Benutzeranlage

  • Benutzerkonten müssen eindeutig einer Person zugeordnet werden können (Ausnahmen sind Sammelkonten und Systemkonten)

Administratoren

Sämtliche Administratoren sind ausschließlich für das Unternehmen tätig. Administrationszugänge dürfen nur für Administrationszwecke und nicht für Sachbearbeitungsvorgänge genutzt werden. Weitere Berechtigungen und Tätigkeiten der Administratoren werden je nach System individuell festgelegt.

Netzwerk-Infrastruktur

Die Arbeitsplatz-PCs sind über Kabel oder per WLAN mit dem Netzwerk verbunden. Wichtige Komponenten der Netzwerki-Infrastruktur wie bspw. Router und Switche sind in extra dafür bereitgestellten, abschließbaren Schränken untergebracht.
Zum Betrieb von Laptops werden drahtlose Netzwerke (WLAN) eingesetzt. Diese sind physisch an das Firmennetzwerk gekoppelt, jedoch logisch anhand von „Virtual Local Area Networks“ (VLAN) getrennt. VLANs trennen ein physisch vorhandenes Netzwerk in mehrere virtuelle Netzwerke auf, die untereinander keine Daten austauschen können. Als Verschlüsselung wird „Wi-Fi Protected Access 2“ (WPA2) in der Enterprise-Variante eingesetzt. WPA2 stellt den aktuellen Sicherheitsstandard für Funknetzwerke dar.
Unabhängig hiervon werden in U-WLANs die Daten auf Netzwerkebene über „Transport Layer Security“ (TLS) und auf Anwendungsebene teilweise über „HyperText Transfer Protocol Secure“ (HTTPS) verschlüsselt. TLS und HTTPS sind Protokolle, die auf unterschiedlichen Ebenen der Datenverarbeitung eine abhörsichere Verbindung auch über potentiell unsichere Netzwerke ermöglichen. Alle WLAN-Accesspoints/Zugriffspunkte werden durch einen zentralen Controller konfiguriert und gesteuert. Änderungen an der Konfiguration sind ausschließlich über diesen zentralen Controller möglich. Davon vollständig separat existiert ein Gäste-WLAN.

 

Externe Zugänge zu IT-Systemen

Externe Zugänge sind ausschließlich über verschlüsselte Verbindungen möglich. Die dabei eingesetzte Verschlüsselungstechnologie entspricht dem jeweils aktuellen Stand der Technik.
Einzelne Mitarbeiter erhalten externen Zugang auf das Unternehmensnetzwerk. Dies geschieht über eine verschlüsselte Virtual- Private- Network-Verbindung (VPN) an einem hierfür bereitgestellten VPN-Einwahlserver.

 

Sperrung von Computern

Die Arbeitsplatz-PCs sind so eingestellt, dass sie sich nach 15 Minuten Inaktivität automatisch sperren. Bei Linux-Anwendern wird per Arbeitsanweisung gesondert auf die Durchsetzung dieser Maßnahme hingewiesen. Außerdem kann der Benutzer den Arbeitsplatz-PC jederzeit manuell per Tastenkombination sperren. In diesem Zustand können keine Dokumente eingesehen oder Programme gestartet werden. Zur Entsperrung wird das Passwort des angemeldeten Benutzers oder eines Administrators benötigt.
Als alternative Sicherheitsmaßnahme verfügt ein Teil der Laptops über biometrische Fingerabdrucksensoren, um Zugang zum Gerät zu gewähren.

Datenträgerverschlüsselung

Die Festplatten der Laptops sind mittels Bitlocker (Windows) und FileVault (Mac) verschlüsselt, um ein unbefugtes Auslesen der Festplatte zu verhindern. Linux-Festplatten werden mittels Linux-Unified-Key-Setup-Verschlüsselungstechnologie (LUKS) verschlüsselt. “LUKS” erfüllt alle durch FIPS 140-2 gesetzten Standards. “Bitlocker” und “FileVault“ sind gemäß FIPS 140 beziehungsweise FIPS 140-2 und „Common Criteria for Information Technology Security Evaluation“ (Common Criteria) zertifiziert. Die Common Criteria sind ein internationaler Standard über die Bewertung und Zertifizierung der Sicherheit von Computersystemen im Hinblick auf Datensicherheit.

Firewall

Die gesamte Infrastruktur wird durch mehrfach redundante Hardware-Firewall-Systeme nach außen hin abgesichert, um unbefugte Übermittlungen zu verhindern bzw. zu erschweren. Diese werden bei Bedarf aktualisiert.

Die Arbeitsplatz-PCs werden zusätzlich über die Bitdefender-Software-Firewalls des Herstellers Bitdefender GmbH geschützt. Diese erhalten mehrfach täglich Updates.

Virenscanner

Auf den Arbeitsplatz-PCs und Laptops werden unterschiedliche Virenscanner eingesetzt, die bekannte und unbekannte Computerviren, Computerwürmer und Trojanische Pferde (Schadsoftware) aufspüren, blockieren und gegebenenfalls beseitigen oder in ein Havarie-Archiv verschieben.


Die Virenscanner werden mehrfach täglich automatisch aktualisiert. So wird sichergestellt, dass sie ihre Wirkung entfalten können.
Wird innerhalb des Unternehmensnetzwerks versucht, eine unerwünschte Anwendung auszuführen, wird dieser Vorgang unterbunden und in einer gesonderten Datenbank protokolliert. Unerwünschte Anwendungen sind bspw. Schadsoftware, Software zum Aufdecken von Passwörtern oder nicht zugelassene Fernsteuerungssoftware.

Sicherheitsupdates

Auf den Arbeitsplatz-PCs und Laptops werden zentralseitig monatlich Sicherheitsupdates eingespielt. Diese umfassen Aktualisierungen für das Betriebssystem und verwendete Anwendungen.

Zugriffskontrolle

Es sind Maßnahmen zu treffen, die gewährleisten, dass die zur Benutzung eines IT-Systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Berechtigungskonzept

Es existiert ein Berechtigungskonzept, welches mittels Active Directory Benutzerprofile und Funktionsrollen definiert, die im gesamten Netzwerk gelten. Active Directory ermöglicht es, ein Netzwerk entsprechend der realen Struktur des Unternehmens oder seiner räumlichen Verteilung zu gliedern. Jeder Mitarbeiter wird verschiedenen Gruppen zugeordnet, die seine Berechtigung zum Zugriff auf Dateien, Ordner und andere Netzwerk- bzw. Systemressourcen festlegen. Einzelne benötigte Berechtigungen können zusätzlich hinzugefügt werden.
Hierdurch wird sichergestellt, dass Nutzer ausschließlich die Daten lesen, kopieren, verändern oder entfernen können, die sie zur Erfüllung ihrer Aufgaben benötigen.

Vergabe und Verwaltung von Berechtigungen

Der Systemadministrator setzt neue Berechtigungen technisch um und verwaltet die vorhandenen. Die vergebenen Berechtigungen werden einmal im Jahr überprüft.


Wenn ein neuer Mitarbeiter eingerichtet werden soll, wird anhand eines eigenen Formulars definiert, welche Berechtigungen für welche Ressourcen freigeschaltet werden sollen. Organisatorisch ist sichergestellt, dass das Formular vom Vorgesetzten des Mitarbeiters unterschrieben und zum Zwecke der Dokumentation aufbewahrt wird.

Besondere Aufgaben – Zugriff auf E-Mail-Konten

Die Nutzung des dienstlichen E-Mail-Kontos ist ausschließlich zu dienstlichen Zwecken gestattet. Die Mitarbeiter sind hierauf hingewiesen worden. Sollte ein Zugriff durch einen anderen als den betroffenen Mitarbeiter auf das E-Mail-Postfach notwendig sein (z. B. bei längerer Abwesenheit), sieht der hierfür vorgesehene Prozess wie folgt aus:

 

  • Der Antragsteller beantragt die Freigabe beim Systemadministrator.

  • Der Antragsteller gibt einen Zeitraum und eine Begründung an.

  • Der betroffene Mitarbeiter zeichnet den Zugriff frei. Sollte der Mitarbeiter nicht verfügbar sein (z. B. durch Krankheit), erfolgt die Freigabe durch den Datenschutzbeauftragten.

  • Der Vorgesetzte des betroffenen Mitarbeiters zeichnet frei. 

  • Der Systemadministrator zeichnet frei und gewährt dem Antragsteller Zugriff auf das entsprechende E-Mail-Postfach.

  • Der betroffene Mitarbeiter wird von diesem Vorgang benachrichtigt.

 

Der Zugriff auf ein E-Mail-Postfach wird nur für begründete Ausnahmefälle (bspw. Austritt aus dem Unternehmen, Stellvertretung bei längerer Abwesenheit) und nur für eine begrenzte Zeit gewährt.

Internetnutzung

Zur Nutzung von Internetdiensten und Browserapplikationen werden die Browser Safari, Mozilla Firefox, Google Chrome und Microsoft Internet Explorer verwendet. Diese werden in regelmäßigen Abständen aktualisiert.

Wiedergabekontrolle

Es sind Maßnahmen zu treffen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Verschlüsselung

Personenbezogene Daten werden ausschließlich verschlüsselt auf GPP-AG-Systeme übertragen. Alle Schnittstellen zu externen Stellen, über die personenbezogene Daten automatisiert übertragen werden, sind nach aktuellen Standards gesichert, z.B. durch SSL-Verschlüsselung. Ein Zugriff auf personenbezogene Daten erfolgt nur über authentifizierte Kanäle. Es erfolgt eine Protokollierung der Zugriffe auf die Systeme.

Entsorgung und Vernichtung

Festplatten sind nach aktuellem Stand der Technik verschlüsselt.
„Weiche Datenträger“ wie bspw. CDs, Magnetbänder oder USB-Sticks sind direkt bei der IT abzugeben. In regelmäßigen Abständen wird ein zertifizierter Dienstleister mit der Vernichtung beauftragt.
Für Papierunterlagen, die vernichtet werden sollen, stehen Aktenvernichter, die der Sicherheitsstufe 3 gemäß DIN 66399 entsprechen, zur Verfügung.

Eingabekontrolle

Es sind Maßnahmen zu treffen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in IT-Systeme eingegeben, verändert oder entfernt wurden.


Es werden Protokollierungs- und Protokollauswertungssysteme eingesetzt, die Eingaben, Veränderungen und Löschungen an personenbezogenen Daten in IT-Systemen dokumentieren. Zugriffe aller Nutzer werden von den Servern der jeweiligen Systeme protokolliert. Das Berechtigungskonzept regelt die Möglichkeiten der Eingabe, Veränderung und Löschung von Daten.


Für bestimmte, insbesondere datenschutzkritische Aufgaben wie bspw. Zugriff auf dienstliche E-Mail-Konten von Mitarbeitern oder administrative Zugriffe auf kritische Systeme, gibt es standardisierte Formulare. Diese stellen organisatorisch sicher, dass der Grundsatz des Vier-Augen-Prinzips eingehalten und das Missbrauchsrisiko minimiert wird.

Auftragskontrolle

Es sind Maßnahmen zu treffen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

 

Datenverarbeitung im Auftrag

Im Rahmen der Wahrnehmung seiner Aufgaben wird das Unternehmen sowohl als Auftragnehmer als auch als Auftraggeber von Datenverarbeitungen im Auftrag (DViA) nach § 11 BDSG tätig. Für diese Auftragsverhältnisse sind die erforderlichen DViA-Verträge nach § 11 BDSG geschlossen. In den DViA-Verträgen wird dem Auftraggeber insbesondere ein umfassendes Weisungsrecht gegenüber dem Auftragnehmer eingeräumt. Die Muster- und geschlossenen DViA-Verträge werden in regelmäßigen Abständen überprüft und ggf. angepasst, um tatsächliche und rechtliche Änderungen zeitnah abbilden zu können.

Selbstauskunft Auftragnehmer

Anhand standardisierter Checklisten geben potentielle Auftragnehmer einer DViA vor Beginn der Datenverarbeitung eine Selbstauskunft über die eigenen technischen und organisatorischen Maßnahmen ab. Hieran wird das vorhandene Datenschutzniveau beim Auftragnehmer vorab überprüft. Die Listen orientieren sich an den Maßnahmen der Anlage zu § 9 Satz 1 BDSG.

Auditierung bei Auftragnehmern

Werden Unternehmen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, werden diese bei Bedarf vor Beginn der Datenverarbeitung unter Zuhilfenahme der beschriebenen Checkliste auditiert. Bei längerfristigen Datenverarbeitungen erfolgt darüber hinaus eine regelmäßige Auditierung. Hierdurch wird sichergestellt, dass die beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen den im DViA-Vertrag festgelegten Ansprüchen an die Datenverarbeitung entsprechen.

Verfügbarkeitskontrolle

Es sind Maßnahmen zu treffen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.


Zerstörte oder verlorene Daten können mit Hilfe eines Datensicherungsverfahrens wiederhergestellt werden. Hierzu wird von allen Netzlaufwerken und wichtigen Systemen in regelmäßigen Abständen ein Abbild erstellt und gespeichert. Die Wiederherstellungsprozedur wird regelmäßig getestet. Um die Sicherheit zu erhöhen, werden Festplatten wichtiger Systeme lokal und räumlich getrennt in einem Ausfallrechenzentrum permanent gespiegelt.


Die Büro-IT-Infrastruktur wird durch mehrfach redundante Firewall- und Virenschutz-Systeme vor Risiken durch Schadsoftware und unbefugtem Eindringen geschützt. Um die Verfügbarkeit der Produktivsysteme zu gewährleisten, werden zusätzliche Entwicklungs- und Testsysteme eingesetzt. Somit wird sichergestellt, dass die Produktivsysteme auch nach Einspielung von Softwareaktualisierungen und -erweiterungen funktionsfähig bleiben.

Trennungsgebot

Es sind Maßnahmen zu treffen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.


Global Payment Processing AG verwaltet Daten mit eindeutiger Partnerkennung, sodass die Daten jederzeit einem individuellen Partnerunternehmen von Global Payment Processing AG zugeordnet werden können. Im Rahmen von Schulungsmaßnahmen wurden die Mitarbeiter darauf sensibilisiert, personenbezogene Daten nur für den eigentlichen Zweck zu verwenden (Grundsatz der Zweckbindung).
Des Weiteren stellt Global Payment Processing AG eine strikte Trennung von Produktiv- und Testsystemen sicher (siehe Verfügbarkeitskontrolle)

Ready to get started?

Contact us and together we will create a solution tailored to your individual needs and requirements.

Global Payment Processing AG

An den Treptowsers 1, 12435 Berlin

© 2018 Global Payment Processing AG. All Rights Reserved.