Handlungsleitlinie zu Datenschutz und Informationssicherheit

Nur auf­grund ih­rer ver­trag­li­chen Auf­ga­ben sind die von Exxeta be­auf­trag­ten Un­ter­neh­men, de­ren Mit­ar­bei­ter und die als Selb­stän­di­ge für Exxeta tä­ti­gen Per­so­nen (im Fol­gen­den zu­sam­men­ge­fasst als „Auf­trag­neh­mer“ be­zeich­net) be­fugt, die In­for­ma­tio­nen und IT-Res­sour­cen der Exxeta oder ih­rer Kun­den zu nut­zen. Alle von Exxeta be­auf­trag­ten Auf­trag­neh­mer sind des­halb durch den ge­schlos­se­nen Ein­zel­ver­trag zur Ein­hal­tung die­ser Hand­lungs­leit­li­nie ver­pflich­tet und müs­sen si­cher­stel­len, dass auch ihre Mit­ar­bei­ter, Ver­rich­tungs- und Er­fül­lungs­ge­hil­fen (im Fol­gen­den zu­sam­men­ge­fasst als „Mit­ar­bei­ter“ be­zeich­net) vor Auf­nah­me ih­rer Tä­tig­keit in­for­miert wur­den und ent­spre­chend ver­pflich­tet sind. 

Die in die­ser Hand­lungs­leit­li­nie do­ku­men­tier­ten Re­geln kön­nen in wei­te­ren kon­kre­ti­sier­ten Hand­lungs­an­wei­sun­gen de­tail­liert und er­wei­tert wer­den. Die hier de­fi­nier­ten Re­geln sind als Min­dest­stan­dard ein­zu­hal­ten. So­weit der Auf­trag­neh­mer Zu­griff auf Da­ten, In­for­ma­tio­nen, Sys­te­me oder ei­nen Zu­gangs­aus­weis zu den Ge­schäfts­räu­men der Exxeta oder ih­rer Kun­den er­hält, kön­nen dem Auf­trag­neh­mer wei­te­re Ver­pflich­tungs­er­klä­run­gen vor­ge­legt wer­den, die von ihm und ggf. sei­nen Mit­ar­bei­tern per­sön­lich zu un­ter­zeich­nen sind. Der Auf­trag­neh­mer wird Exxeta die ent­spre­chend un­ter­zeich­ne­ten For­mu­la­re un­ver­züg­lich vor­le­gen. Ein Ein­satz von Per­so­nen, die die­se Ver­pflich­tungs­er­klä­run­gen nicht un­ter­zeich­net ha­ben, ist un­zu­läs­sig. 

Kun­den schlie­ßen mit Exxeta re­gel­mä­ßig zu­sätz­li­che Ver­ein­ba­run­gen zu Da­ten­schutz und In­for­ma­ti­ons­si­cher­heit, die so­wohl Exxeta als auch ihre Auf­trag­neh­mer ver­pflich­ten. In die­sem Fall ge­hen die Re­ge­lun­gen je­ner Ver­ein­ba­rung im Fall von Wi­der­sprü­chen den Re­ge­lun­gen in die­ser Richt­li­nie vor. 

Der Auf­trag­neh­mer darf bei der Er­fül­lung des Ver­tra­ges nur Per­so­nen ein­set­zen, die auf Ein­hal­tung der Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten im Sin­ne des Art. 4 Nr.1 DS­GVO vor­ver­pflich­tet und be­lehrt sind so­wie die im Rah­men der Be­auf­tra­gung Da­ten­schutz­be­stim­mun­gen und Da­ten­si­cher­heits­maß­nah­men be­ach­ten. Ins­be­son­de­re müs­sen die­se Per­so­nen dar­über in­for­miert sein, per­so­nen­be­zo­ge­ne Da­ten nur in­ner­halb der über­tra­ge­nen Auf­ga­ben zu ver­ar­bei­ten und per­so­nen­be­zo­ge­ne Da­ten nicht un­be­fugt zu er­he­ben, zu ver­ar­bei­ten, be­kannt­zu­ge­ben, zu über­mit­teln, zu­gäng­lich zu ma­chen oder sonst zu ver­wen­den. Bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten sind dar­über hin­aus die Be­stim­mun­gen der DS­GVO ein­zu­hal­ten. 

So­weit der Auf­trag­neh­mer auf­ga­ben­be­dingt an der Er­brin­gung von Te­le­kom­mu­ni­ka­ti­ons- dienst­leis­tun­gen mit­wirkt, wird er ge­mäß Te­le­kom­mu­ni­ka­ti­ons­ge­setz das Fern­mel­de­ge­heim­nis (§ 88 TKG) wah­ren und nie­man­dem eine Kennt­nis­nah­me von Ge­sprächs­da­ten bzw. -in­hal­ten er­mög­li­chen oder ver­schaf­fen und die­se un­be­fugt ver­wen­den.
Da­ten­schutz­recht­lich re­le­van­te Vor­komm­nis­se sind um­ge­hend an Da­ten­schutz@Exxeta.com zu mel­den. 

Ziel der In­for­ma­ti­ons­si­cher­heit ist es, den Ge­schäfts­be­trieb der Exxeta bzw. ih­rer Kun­den si­cher­zu­stel­len und das Ri­si­ko ei­nes Scha­dens durch die Ver­hü­tung von Si­cher­heits­vor­fäl­len und die Re­du­zie­rung ih­rer po­ten­zi­el­len Aus­wir­kun­gen zu mi­ni­mie­ren. Die Ge­samt­heit al­ler Maß­nah­men dient dem Er­halt von Ver­trau­lich­keit, In­te­gri­tät und Ver­füg­bar­keit der In­for­ma­tio­nen. Es ist des­halb von ent­schei­den­der Be­deu­tung, dass sich je­der Mit­ar­bei­ter des Auf­trag­neh­mers sei­ner Pflich­ten in Be­zug auf In­for­ma­ti­ons­si­cher­heit und Da­ten­schutz be­wusst ist. 

Die Ein­hal­tung der Si­cher­heits­richt­li­nie stellt si­cher, dass: 

• Informationen gegen alle nicht autorisierten Zugriffe geschützt werden, 

• die Vertraulichkeit und Integrität der Informationen geschützt werden, www.exxeta.com/lieferanten 

• die Verfügbarkeit von Informationen für Geschäftsprozesse gewährleistet ist, 

• alle tatsächlichen oder vermuteten Informationssicherheitsverletzungen dem Informations-
  sicherheitsbeauftragten gemeldet und gründlich untersucht werden 

• und gesetzliche Auflagen eingehalten werden.
  Informationen sind insbesondere, aber nicht ausschließlich 

• sämtliche nicht-öffentlichen Informationen (interne, vertrauliche und streng vertrauliche Informationen) 

• ausgedruckte und elektronische Dokumente sowie Kopien 

• Konzepte, Pläne und Arbeitsergebnisse 

• Verfahrensweisen und Quellcodes 

• sonstige Geheimnisse
  Der Auftragnehmer verpflichtet sich, sämtliche Informationen zu schützen, sofern diese nicht- öffentlicher Natur sind. Zu diesem Zweck wird der Auftragnehmer Informationen, die er im Laufe der Zusammenarbeit direkt oder indirekt erhalten hat, vertraulich behandeln, für keinen anderen Zweck als zur Erfüllung der im Vertrag festgelegten Pflichten verwenden und vor unerlaubter Vervielfältigung, Verbreitung oder Nutzung zu schützen. Solche Informationen sind mit derselben Sorgfalt zu behandeln, mit der eigene vertrauliche Informationen bzw. vertrauliche Informationen eines ordentlichen Kaufmanns behandelt werden. Der Auftragnehmer hat insbesondere angemessene Vorkehrungen zu treffen, um die Informationssicherheit innerhalb seines Zuständigkeitsbereichs zu gewährleisten. Auf Anfrage der Exxeta wird der Auftragnehmer entsprechende Maßnahmen schriftlich nachweisen.
  Der Auftragnehmer gewährleistet, dass seine Mitarbeiter entsprechende Trainings zu Datenschutz und Informationssicherheit erhalten, um sicherzustellen, dass sie über angemessene Kenntnisse und Fähigkeiten verfügen, um Informationen im erforderlichen Umfang zu schützen. Der Auftragnehmer wird sie über die Folgen bei einem Verstoß gegen die Regelungen in dieser Richtlinie und die geltenden Sicherheitsanforderungen informieren
  Der Auftragnehmer hat EXETA bzw. ihren Kunden sofort und ohne schuldhafte Verzögerung über jede unrechtmäßige Offenlegung, Verwendung oder Missbrauch von Informationen ungeachtet der Person zu informieren.

4.1 Der Auf­trag­neh­mer be­nennt Exxeta min­des­tens eine ver­ant­wort­li­che Per­son, die ent­schei­dungs­be­fugt für IT-si­cher­heits­re­le­van­te Fra­ge­stel­lun­gen ist. 

4.2 Der Auf­trag­neh­mer stellt si­cher, dass die von Exxeta oder ih­rem Kun­den vor­ge­ge­be­nen Ent­wick­lungs­richt­li­ni­en und Si­cher­heits­vor­schrif­ten ein­ge­hal­ten wer­den. 

4.3 Auf Grund des ho­hen Schutz­be­dürf­nis­ses der Da­ten ist der Zu­griff und die Ver­ar­bei­tung und Nut­zung al­ler Da­ten nur mit von Exxeta oder ih­rem Kun­den da­für vor­ge­se­he­nen tech­ni­schen Mit­teln er­laubt. Der Auf­trag­neh­mer sorgt da­für, dass ein Zu­griff auf IT-Sys­te­me von Exxeta oder de­ren Kun­den im Rah­men der Leis­tungs­er­brin­gung nur von mit ent­spre­chen­den Zu­griffs­be­rech­ti­gun­gen aus­ge­stat­te­ten Per­so­nen er­folgt. Die Wei­ter­ga­be von Zu­gangs­da­ten (z.B. Pass­wör­ter) zum Zu­griff auf sol­che IT-Sys­te­me an Drit­te ist nur mit schrift­li­cher vor­he­ri­ger Zu­stim­mung von Exxeta zu­läs­sig. So­bald ein Mit­ar­bei­ter nicht mehr mit der Auf­trags­er­fül­lung be­fasst ist, hat der Auf­trag­neh­mer dies Exxeta un­ver­züg­lich an­zu­zei­gen. Ab die­sem Zeit­punkt ist eine Zu­stim­mung im Sin­ne die­ser Vor­schrift für sei­ne Per­son eben­falls er­for­der­lich. Eine Zu­griffs­be­rech­ti­gung be­steht in­des nicht mehr. 

4.4 Alle IT-/​EDV-Ge­rä­te, -Da­ten­trä­ger und -Soft­ware, die dem Auf­trag­neh­mer zur Ver­fü­gung ge­stellt wer­den sind nur zur de­fi­nier­ten Auf­ga­ben­er­fül­lung be­stimmt. Wei­ter­hin sind die­se vor un­be­fug­tem Zu­griff (durch Sper­ren, Ab­sper­ren und/​oder Ver­schlüs­seln) stets zu schüt­zen. Hard­ware darf nur nach vor­he­ri­ger Zu­stim­mung und in Ab­stim­mung mit Exxeta oder ih­rem Kun­den aus de­ren Räum­lich­kei­ten ent­fernt wer­den. Sie dür­fen nur von den Mit­ar­bei­tern be­nutzt wer­den, für die sie aus­ge­ge­ben bzw. in­stal­liert wur­den. Dies gilt nur so­lan­ge der Mit­ar­bei­ter an der Auf­ga­ben­er­fül­lung be­tei­ligt ist. Jede Ände­rung an den EDV-Ge­rä­ten ist un­zu­läs­sig. Si­cher­heits­up­dates für Be­triebs­sys­te­me und An­wen­dungs­pro­gram­me sind un­ver­züg­lich zu in­stal­lie­ren. Bei Smart­pho­nes oder Ta­blets sind SIM-Kar­te und Ge­rät vor frem­dem Zu­griff zu schüt­zen. 

4.5 So­fern der Auf­trag­neh­mer zur Er­brin­gung der Leis­tung ei­ge­ne IT-Sys­te­me, Ge­rä­te oder Da­ten­trä­ger ein­setzt, in de­nen Da­ten Exxetas bzw. des­sen Kun­den ver­ar­bei­tet wer­den, so sind für die Au­then­ti­sie­rung von Be­nut­zern am Ge­rät, Da­ten­trä­ger, Netz­werk bzw. an dem re­le­van­ten IT-Sys­tem des Auf­trag­neh­mers an­ge­mes­se­ne Pass­wör­ter zu be­nut­zen. Ins­be­son­de­re sind durch den Auf­trag­neh­mer die Pass­wort­län­ge (min­des­ten zehn Zei­chen), die An­zahl der zu nut­zen­den Zei­chen­ty­pen, die ma­xi­ma­le Gül­tig­keit und die Kom­ple­xi­tät der Pass­wör­ter zu re­geln. Da­ten­spei­cher sind ent­spre­chend den Vor­ga­ben von Exxeta bzw. des Kun­den zu ver­schlüs­seln. 

4.6 Soft­ware­pro­duk­te dür­fen, so­fern im Ein­zel­fall nichts an­de­res be­kannt ge­ge­ben wird, nur an dem Ge­rät be­nutzt wer­den, für das sie zur Ver­fü­gung ge­stellt bzw. an dem sie in­stal­liert wur­den und dür­fen nur für die Zwe­cke ge­nutzt wer­den, für die sie be­an­tragt und ge­neh­migt wur­den. Ko­pie­ren ist nur im Sin­ne der Da­ten- und Pro­gramm­si­che­rung - und nur un­ver­än­dert - er­laubt. 

4.7 Frem­de Da­ten­trä­ger sind vor dem erst­ma­li­gen Ver­wen­den auf Vi­ren zu prü­fen. Ver­däch­ti­ge Mails und An­ru­fe sind um­ge­hend ge­mäß Ka­pi­tel 6 zu mel­den und do­ku­men­tie­ren. Bei Auf­tre­ten ei­nes Vi­rus muss der IT-Si­cher­heits­be­auf­trag­te un­ver­züg­lich in­for­miert wer­den, be­vor am Sys­tem wei­ter­ge­ar­bei­tet wer­den darf. Das Um­ge­hen die­ser Schutz­maß­nah­men ist ver­bo­ten. 

4.8 Für Re­mo­te-Zu­gän­ge müs­sen ver­schlüs­sel­te VPN Ver­bin­dun­gen ge­nutzt wer­den. Für Zu­gang zum Exxeta Netz­werk darf dies nur durch von Exxeta frei­ge­ge­be­ne Hard­ware er­fol­gen. 

4.9 Der Auf­trag­neh­mer hat da­für Sor­ge zu tra­gen, dass sei­ne Mit­ar­bei­ter die Be­suchs­be­din­gun­gen und Haus­ord­nung der Exxeta oder ih­rem Kun­den be­ach­ten. Schwe­re Ver­stö­ße ge­gen die Be­suchs­be­din­gun­gen oder die Haus­ord­nung be­rech­ti­gen zur Ver­hän­gung ei­nes Haus­ver­bots ge­gen ein­zel­ne Mit­ar­bei­ter des Auf­trag­neh­mers. 

4.10 Der Auf­trag­neh­mer ist zum Schutz des Ei­gen­tums Exxetas und ih­res Kun­den ver­pflich­tet. Zum Ei­gen­tum zäh­len alle Sach- und Ver­mö­gens­wer­te, das geis­ti­ge Ei­gen­tum so­wie die In­ha­ber­schaft von Rech­ten. Bei Ver­lust oder Dieb­stahl von IT-Ge­rä­ten ist Exxeta un­ver­züg­lich zu in­for­mie­ren. 

4.11 Bei Ver­trags­en­de müs­sen alle Ge­rä­te um­ge­hend zu­rück­ge­ge­ben wer­den; dies hat an der Aus­ga­be­stel­le zu er­fol­gen, al­ter­na­tiv in den gro­ßen Exxeta-Stand­or­ten beim Emp­fang, sonst per ver­si­cher­tem Pa­ket. 

4.12 Beim Trans­port von Hard­ware per Auto darf die­se nicht über Nacht im Auto ver­blei­ben. Eben­falls darf die Hard­ware nicht sicht­bar im Auto lie­gen ge­las­sen wer­den. 

4.13 Für die Ent­sor­gung von sen­si­blen Un­ter­la­gen sind die von Exxeta bzw. ih­rem Kun­den zur Ver­fü­gung ge­stell­ten Ak­ten­ver­nich­ter bzw. Da­ten­schutz­ton­nen zu ver­wen­den. 

5.1 Jede schuld­haft er­mög­lich­te Nut­zung der durch Exxeta oder ih­res Kun­den zur Ver­fü­gung ge­stell­ten Kom­mu­ni­ka­ti­ons­mit­tel (bspw. E-Mail, Te­le­fon, In­ter­net), die ge­eig­net ist, dem In­ter­es­se und dem An­se­hen Exxetas oder ih­rer Kun­den in der Öffent­lich­keit zu scha­den, die In­for­ma­ti­ons­si­cher­heit zu ge­fähr­den oder ge­gen gel­ten­de Rechts­vor­schrif­ten so­wie vor­han­de­ne An­wei­sun­gen, Richt­li­ni­en oder Ver­ein­ba­run­gen ver­stößt, ist un­zu­läs­sig. 

5.2 Nicht er­laubt ist dar­über hin­aus: 

• Das Abrufen, Verbreiten oder Speichern von illegalen Inhalten, die gegen persönlichkeitsrechtliche, urheberrechtliche oder strafrechtliche Bestimmungen verstoßen; 

• Das Abrufen, Verbreiten oder Speichern von beleidigenden, übel nachredenden, verleumderischen, verfassungsfeindlichen, rassistischen, sexistischen, Gewalt verherrlichenden oder pornografischen Äußerungen oder Abbildungen;

• Die private Nutzung der geschäftlichen E-Mail-Adresse (falls von Exxeta oder ihrem Kunden zur Verfügung gestellt);

• Der Einsatz von Funktastaturen und Funkmäusen, sofern diese nicht mindestens eine 128-Bit- AES Verschlüsselung und die aktuelle Firmware des Herstellers verwenden. Es dürfen nur durch Exxeta oder ihrer Kunden gestellte Eingabegeräte genutzt werden;

• Das Kopieren und/oder Installieren von Software, für die keine gültige Lizenz vorliegt. Sofern Software für den geschäftlichen Gebrauch eingesetzt werden soll, ist hierfür in Abstimmung mit Exxeta bzw. ihrem Kunden eine Lizenz anzufordern;

• Das Speichern von privaten Daten auf Servern von Exxeta oder ihrer Kunden; Personenbezogene Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu erheben, zu verarbeiten, zugänglich zu machen oder sonst zu nutzen. Diese Verpflichtung besteht über den Anstellungszeitraum hinaus;

• Die Vermischung oder Verbindung von geschäftlichen und privaten Daten. Sofern Exxeta oder ihr Kunde für die Auftragserfüllung es vorschreibt, ist dessen MDM-Lösung einzusetzen; Ohne Absprache mit Exxeta bzw. ihres Kunden Veränderungen an der Konfiguration des Virenscanners, der Firewall und der Festplattenverschlüsselung bei dienstlich bereitgestellten Geräten vorzunehmen;

• Ohne Absprache das vorinstallierte Betriebssystem von dienstlich bereitgestellten Geräten zu entfernen; dies verbietet auch "rooten" und "jailbreak";

• Die Übermittlung, Verarbeitung und Speicherung von geschäftlichen, personenbezogenen Daten Dritter außerhalb des Verantwortungsbereichs von Exxeta bzw. des Kunden (z.B. Hochladen von personenbezogenen Daten zu einem nicht von Exxeta freigegebenen externen Cloud-Anbieter wie Apple iCloud oder Google Drive oder Dropbox);

• Der Gebrauch von Hilfsprogrammen, die fähig sein könnten, System- und Anwendungsschutzmaßnahmen zu umgehen, ist nur nach Freigabe durch Exxeta oder ihres Kunden zulässig. Hierzu zählen beispielsweise Netzwerksniffer;

• Die Weitergabe von Passwörtern, Zugangsdaten, Zertifikaten und WLAN-Schlüsseln (außer Gäste-WLAN) an Dritte;

• Die Aufnahme privater Geräte in das Netzwerk der Exxeta oder ihres Kunden ohne Absprache mit der IT / dem Netzwerkadministrator;
  Für Mitarbeiter in sensiblen Abteilungen lokalen Administrationsrechte zu vergeben. Vorhandene Berechtigungen sind zu entziehen. 

Wenn der Ver­dacht be­steht, dass die Ver­trau­lich­keit oder die In­te­gri­tät ei­nes zur Er­brin­gung der Leis­tung be­tei­lig­ten IT-Sys­tems ver­letzt wor­den ist bzw. die Ver­füg­bar­keit ei­nes sol­chen IT-Sys­tems auf­grund ei­nes ex­ter­nen oder in­ter­nen An­grif­fes be­ein­träch­tigt wor­den ist, ist Exxeta bzw. ihr Kun­den grund­sätz­lich und schnellst­mög­lich durch den Auf­trag­neh­mer zu be­nach­rich­ti­gen. Mel­dun­gen an Exxeta sind per E-Mail an in­fo­sec@exxeta.com zu schi­cken. 

Fahr­läs­si­ge und vor­sätz­li­che Ver­stö­ße ge­gen die Vor­schrif­ten zu Da­ten­schutz und In­for­ma­ti­ons­si­cher­heit kön­nen ggf. mit Geld­bu­ße, Geld­stra­fe oder Frei­heits­stra­fe nach den ge­setz­li­chen Vor­schrif­ten ge­ahn­det wer­den. Ent­steht ei­ner be­trof­fe­nen Per­son durch die un­zu­läs­si­ge Ver­ar­bei­tung ih­rer per­so­nen­be­zo­ge­nen Da­ten ein ma­te­ri­el­ler oder im­ma­te­ri­el­ler Scha­den, kann ein Scha­den­er­satz­an­spruch ent­ste­hen.

Download Handlungsleitlinie