TOM – Technisch-organisatorische Massnahmen

Die Vertragspartner sind verpflichtet, die technischen und organisatorischen Sicherheitsmassnahmen festzulegen.

Innerbetriebliche Organisation des Auftragnehmers

 Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind Massnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind.

Konkretisierung der Einzelmassnahmen

Im Einzelnen werden folgende Massnahmen bestimmt:

1. Vertraulichkeit

Zutrittskontrolle

Massnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Die Xelon AG betreibt ihre Systeme in zwei unabhängigen Rechenzentren in Zürich und Aargau (Schweiz):

  • GRN: Green Datacenter AG
  • NTT: NTT Global Data Centers Switzerland AG

 

Technische Massnahmen

GRN

NTT

Personen und Warenschleuse mit biometrischer Zugangssperre

✔️

 

Schliesssystem mit Schlüssel und Codesperre im Lager

 

✔️

Klingelanlage mit Kamera

✔️

✔️

Badge System mit vorheriger Identitätsprüfung

✔️

✔️

Alarmanlage und abgesicherte Gebäudeschächte

✔️

✔️

Videoüberwachung der Eingänge

✔️

✔️

 

Organisatorische Massnahmen

GRN

NTT

Protokoll aller Eintritte via Personen und Warenschleuse

✔️

✔️

Sicherheitsdienst

✔️

✔️

Sorgfalt bei der Auswahl des Sicherheitspersonals

✔️

✔️

Protokoll aller Eintritte nach Identitätsprüfung durch den Pförtner

✔️

✔️

Schlüsselregelung / Liste

✔️

✔️

Mitarbeiter- / Besucher Badges

✔️

✔️

Gäste ohne permanenten Zugriff nur in Begleitung durch autorisierte Personen

✔️

✔️

Sorgfalt bei der Auswahl der Reinigungsdienste

✔️

✔️

 

Zugangskontrolle

Massnahmen, die geeignet sind, den virtuellen Zugriff auf Datenverarbeitungssysteme durch Unbefugte zu verhindern.

 

Technische Massnahmen

Organisatorische Massnahmen

✔️ Login mit MFA
✔️ Login mit SSH-Schlüsseln
✔️ Login mit Benutzername und Passwort
✔️ Anti-Virus-Software Clients
✔️ Firewall
✔️ Intrusion Detection System (IDS)
✔️ Intrusion Prevention System (IPS)
✔️ Einsatz von VPN für remote Zugriff
✔️ Regelmässige Sicherheits Scans

✔️ Allgemeine Richtlinie Datenschutz und Sicherheit
✔️ Verwalten von Benutzerberechtigungen
✔️ Erstellen von Benutzerprofilen
✔️ Zentrale Passwortvergabe
✔️ Richtlinie “Sicheres Passwort”
✔️ Richtlinie “Löschen / Vernichten“
✔️ Richtlinie “Clean desk”
✔️ Mobile Device Policy

 

Zugriffskontrolle

Massnahmen, die gewährleisten, dass die zur Benutzung eines Datenbearbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Personendaten bei der Bearbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

 

Technische Massnahmen

Organisatorische Massnahmen

✔️ Aktenschredder (Sicherheitsstufe P-1)
✔️ Physische Löschung von Datenträgern
✔️ Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten

✔️ Einsatz Berechtigungskonzepte
✔️ Minimale Anzahl an Administratoren
✔️ Verwaltung Benutzerrechte durch Administratoren

 

 

 

Trennungskontrolle

Massnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt bearbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.

 

Technische Massnahmen

Organisatorische Massnahmen

✔️ Trennung von Produktiv- und Testumgebung
✔️ Mandantenfähigkeit relevanter Anwendungen

✔️ Steuerung über Berechtigungskonzept
✔️ Festlegung von Datenbankrechten

 
Pseudonymisierung

Die Bearbeitung von Personendaten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Massnahmen unterliegen.

 

Technische Massnahmen

Organisatorische Massnahmen

✔️ Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrennten und abgesicherten System (verschlüsselt)

✔️ Interne Anweisung, Personendaten im Falle einer Weitergabe, wenn möglich zu pseudonymisieren und nach Ablauf der gesetzlichen Löschfrist bzw. unseres Aufbewahrungsinteresses zu anonymisieren

2. Integrität

Weitergabekontrolle

Massnahmen, die gewährleisten, dass Personendaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Personendaten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Technische Massnahmen

Organisatorische Massnahmen

✔️ Einsatz von VPN
✔️ Protokollierung der Zugriffe und Abrufe
✔️ Sichere Transportbehälter
✔️ Bereitstellung über verschlüsselte Verbindungen wie SFTP, HTTPS
✔️ Nutzung von Signaturverfahren

✔️ Dokumentation und Protokollierung der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen
✔️ Übersicht regelmässiger Abruf- und Übermittlungsvorgängen
✔️ Weitergabe in anonymisierter oder pseudonymisierter Form wenn notwendig
✔️ Sorgfalt bei Auswahl von Transport-Personal und Fahrzeugen
✔️ Persönliche Übergabe mit Protokoll

 

Eingabekontrolle

Massnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Personendaten in Datenbearbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Technische Massnahmen

Organisatorische Massnahmen

✔️ Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
✔️ Manuelle Kontrolle der Protokolle

✔️ Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
✔️ Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen)
✔️ Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
✔️ Klare Zuständigkeiten für Löschungen

3. Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

Massnahmen, die gewährleisten, dass Personendaten gegen zufällige Zerstörung oder Verlust geschützt sind.

Technische Massnahmen

Organisatorische Massnahmen

✔️ Redundante Notstromsysteme mit Dieselgeneratoren und Batterien betrieben vom Rechenzentrum
✔️ Feuer- und Rauchmeldeanlagen
✔️ Gas-Feuerlöschanlage
✔️ Feuerlöscher Serverraum
✔️ Serverraum Überwachung Temperatur und Feuchtigkeit
✔️ Serverraum redundant klimatisiert
✔️ USV
✔️ Schutzsteckdosenleisten Serverraum
✔️ Datenschutztresor
✔️ RAID System / Festplattenspiegelung
✔️ Videoüberwachung Serverraum
✔️ Alarmmeldung bei unberechtigtem Zutritt zum Serverraum

✔️ Backup & Recovery-Konzept (ausformuliert)
✔️ Kontrolle des Sicherungsvorgangs
✔️ Regelmässige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse
✔️ Aufbewahrung der Sicherungsmedien an einem sicheren Ort ausserhalb des Serverraums
✔️ Keine sanitären Anschlüsse im oder oberhalb des Serverraums
✔️ Existenz eines Notfallplans

4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

Datenschutz-Management

Der Datenschutz umfasst alle Massnahmen zur Verhinderung einer unerwünschten Bearbeitung von Personendaten und deren Folgen.

Technische Massnahmen

Organisatorische Massnahmen

✔️ Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung
✔️ ISO 27001 Informations Sicherheits Zertifizierung
✔️ ISO 9001 Qualitäts Zertifizierung
✔️ Eine Überprüfung der Wirksamkeit der technischen Schutzmassnahmen wird mind. jährlich durchgeführt

✔️ Interner Datenschutzbeauftragter
✔️ Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet
✔️ Regelmässige Sensibilisierung der Mitarbeiter Mindestens jährlich
✔️ Interner Informationssicherheits-Beauftragter
✔️ Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
✔️ Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
✔️ Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden

 

Incident-Response-Management

Unterstützung bei der Reaktion auf Sicherheitsverletzungen

Technische Massnahmen

Organisatorische Massnahmen

✔️ Einsatz von Firewall und regelmässige Aktualisierung
✔️ Einsatz von Spamfilter und regelmässige Aktualisierung
✔️ Einsatz von Virenscanner und regelmässige Aktualisierung
✔️ Intrusion Detection System (IDS)
✔️ Intrusion Prevention System (IPS)

✔️ Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
✔️ Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
✔️ Einbindung von DSB und ISB in Sicherheitsvorfälle und Datenpannen
✔️ Dokumentation von Sicherheitsvorfällen und Datenpannen via Ticketsystem
✔️ Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen

 

Datenschutzfreundliche Voreinstellungen

Privacy by design / Privacy by default

Technische Massnahmen

✔️ Es werden nicht mehr Personendaten erhoben, als für den jeweiligen Zweck erforderlich sind
✔️ Einfache Ausübung des Widerrufsrechts des Betroffenen durch technische Massnahmen

 

Auftragskontrolle (Outsourcing an Dritte)

Massnahmen, die gewährleisten, dass Personendaten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers bearbeitet werden können. Unter diesen Punkt fällt neben der Datenbearbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsbearbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.

Organisatorische Massnahmen

✔️ Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmassnahmen und deren Dokumentation
✔️ Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit)
✔️ Abschluss der notwendigen Vereinbarung zur Auftragsbearbeitung allenfalls inkl. angepasste EU Standard Vertragsklauseln
✔️ Schriftliche Weisungen an den Auftragnehmer
✔️ Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis
✔️ Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht
✔️ Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
✔️ Regelung zum Einsatz weiterer Subunternehmer
✔️ Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
✔️ Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus

PDF Download