Technisch-organisatorische Massnahmen (TOMs)
Der Organisation: Nine Internet Solutions AG
Stand: 10. August 2023
Organisationen, die selbst oder im Auftrag Personendaten erheben, bearbeiten oder nutzen, haben die technischen und organisatorischen Massnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Massnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.
Die oben genannte Organisation erfüllt diesen Anspruch durch folgende Massnahmen:
1. Vertraulichkeit
1.1 Zutrittskontrolle
Massnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
Die Nine Internet Solutions AG betreibt ihre Systeme in zwei unabhängigen Rechenzentren in Zürich (Schweiz):
- NTS: NTS Colocation AG
- NTT: NTT Global Data Centers Switzerland AG
| Technische Massnahmen | NTS | NTT |
|---|---|---|
| Personen und Warenschleuse mit biometrischer Zugangssperre | ✔️ | |
| Schliesssystem mit Schlüssel und Codesperre im Lager | ✔️ | |
| Klingelanlage mit Kamera | ✔️ | |
| Badge System mit vorheriger Identitätsprüfung durch Pförtner | ✔️ | |
| Alarmanlage und abgesicherte Gebäudeschächte | ✔️ | ✔️ |
| Videoüberwachung der Eingänge | ✔️ | ✔️ |
| Schliesssystem für Rackzugang mit eigenen Zylindern und Schlüsseln | ✔️ | ✔️ |
| Organisatorische Massnahmen | NTS | NTT |
|---|---|---|
| Protokoll aller Eintritte via Personen und Warenschleuse | ✔️ | |
| Sicherheitsdienst mit Pförtner | ✔️ | |
| Sorgfalt bei der Auswahl des Sicherheitspersonals | ✔️ | |
| Protokoll aller Eintritte nach Identitätsprüfung durch den Pförtner | ✔️ | |
| Schlüsselregelung / Liste | ✔️ | ✔️ |
| Mitarbeiter- / Besucher Badges | ✔️ | ✔️ |
| Gäste ohne permanenten Zugriff nur in Begleitung durch autorisierte Personen | ✔️ | ✔️ |
| Sorgfalt bei der Auswahl der Reinigungsdienste | ✔️ | ✔️ |
1.2 Zugangskontrolle
Massnahmen, die geeignet sind, den virtuellen Zugriff auf Datenverarbeitungssysteme durch Unbefugte zu verhindern.
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| ✔️ Login mit biometrischen Daten ✔️ Login mit SSH Schlüsseln ✔��️ Login mit Benutzername + Passwort ✔️ Anti-Virus-Software Clients ✔️ Firewall ✔️ Intrusion Detection System (IDS) ✔️ Intrusion Prevention System (IPS) ✔️ Einsatz VPN bei Remote-Zugriffen ✔️ Verschlüsselung von Datenträgern ✔️ Automatische Desktopsperre ✔️ Verschlüsselung von Notebooks / Tablet ✔️ Regelmässige Sicherheits Scans | ✔️ Allgemeine Richtlinie Datenschutz und Sicherheit ✔️ Verwalten von Benutzerberechtigungen ✔️ Erstellen von Benutzerprofilen ✔️ Zentrale Passwortvergabe ✔️ Richtlinie “Sicheres Passwort” ✔️ Richtlinie “Löschen / Vernichten“ ✔️ Richtlinie “Clean desk” ✔️ Mobile Device Policy |
1.3 Zugriffskontrolle
Massnahmen, die gewährleisten, dass die zur Benutzung eines Datenbearbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Personendaten bei der Bearbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| ✔️ Aktenschredder (Sicherheitsstufe P-4) ✔️ Physische Löschung von Datenträgern ✔️ Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten | ✔️ Einsatz Berechtigungskonzepte ✔️ Minimale Anzahl an Administratoren ✔️ Datenschutztresor ✔️ Verwaltung Benutzerrechte durch Administratoren |
1.4 Trennungskontrolle
Massnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt bearbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| ✔️ Trennung von Produktiv- und Testumgebung ✔️ Mandantenfähigkeit relevanter Anwendungen | ✔️ Steuerung über Berechtigungskonzept ✔️ Festlegung von Datenbankrechten |
1.5 Pseudonymisierung
Die Bearbeitung von Personendaten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Massnahmen unterliegen.
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| ✔️ Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrennten und abgesicherten System (verschlüsselt) | ✔️ Interne Anweisung, Personendaten im Falle einer Weitergabe, wenn möglich zu pseudonymisieren und nach Ablauf der gesetzlichen Löschfrist bzw. unseres Aufbewahrungsinteresses zu anonymisieren |
2. Integrität
2.1 Weitergabekontrolle
Massnahmen, die gewährleisten, dass Personendaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung von Personendaten durch Einrichtungen zur Datenübertragung vorgesehen ist.
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| ✔️ Email-Verschlüsselung (S/MIME / PGP) ✔️ Email-Signatur (S/MIME / PGP) ✔️ Einsatz von VPN ✔️ Protokollierung der Zugriffe und Abrufe ✔️ Sichere Transportbehälter ✔️ Bereitstellung über verschlüsselte Verbindungen wie sftp, https ✔️ Nutzung von Signaturverfahren | ✔️ Dokumentation und Protokollierung der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen ✔️ Übersicht regelmässiger Abruf- und Übermittlungsvorgängen ✔️ Weitergabe in anonymisierter oder pseudonymisierter Form wenn notwendig ✔️ Sorgfalt bei Auswahl von Transport-Personal und Fahrzeugen ✔️ Persönliche Übergabe mit Protokoll |
2.2 Eingabekontrolle
Massnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Personendaten in Datenbearbeitungssysteme eingegeben, verändert oder entfernt worden sind.
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| ✔️ Technische Protokollierung der Eingabe, Änderung und Löschung von Daten ✔️ Manuelle Kontrolle der Protokolle | ✔️ Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können ✔️ Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen) ✔️ Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts ✔️ Klare Zuständigkeiten für Löschungen |
3. Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle
Massnahmen, die gewährleisten, dass Personendaten gegen zufällige Zerstörung oder Verlust geschützt sind.
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| ✔️ Redundante Notstromsysteme mit Dieselgeneratoren und Batterien ✔️ Feuer- und Rauchmeldeanlagen ✔️ Gas-Feuerlöschanlage ✔️ Feuerlöscher Serverraum ✔️ Serverraum Überwachung Temperatur und Feuchtigkeit ✔️ Serverraum redundant klimatisiert ✔️ USV ✔️ Schutzsteckdosenleisten Serverraum ✔️ Datenschutztresor ✔️ RAID System / Festplattenspiegelung ✔️ Videoüberwachung Serverraum ✔️ Alarmmeldung bei unberechtigtem Zutritt zum Serverraum | ✔️ Backup & Recovery-Konzept (ausformuliert) ✔️ Kontrolle des Sicherungsvorgangs ✔️ Regelmässige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse ✔️ Aufbewahrung der Sicherungsmedien an einem sicheren Ort ausserhalb des Serverraums ✔️ Keine sanitären Anschlüsse im oder oberhalb des Serverraums ✔️ Existenz eines Notfallplans |
4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung
4.1 Datenschutz-Management
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| ✔️ Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung ✔️ ISO 27001 Informations Sicherheits Zertifizierung ✔️ ISO 9001 Qualitäts Zertifizierung ✔️ Eine Überprüfung der Wirksamkeit der technischen Schutzmassnahmen wird mind. jährlich durchgeführt | ✔️ Interner Datenschutzbeauftragter ✔️ Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet ✔️ Regelmässige Sensibilisierung der Mitarbeiter Mindestens jährlich ✔️ Interner Informationssicherheits-Beauftragter ✔️ Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt ✔️ Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach ✔️ Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden |
4.2 Incident-Response-Management
Unterstützung bei der Reaktion auf Sicherheitsverletzungen
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| ✔️ Einsatz von Firewall und regelmässige Aktualisierung ✔️ Einsatz von Spamfilter und regelmässige Aktualisierung ✔️ Einsatz von Virenscanner und regelmässige Aktualisierung ✔️ Intrusion Detection System (IDS) ✔️ Intrusion Prevention System (IPS) | ✔️ Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde) ✔️ Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen ✔️ Einbindung von DSB und ISB in Sicherheitsvorfälle und Datenpannen ✔️ Dokumentation von Sicherheitsvorfällen und Datenpannen via Ticketsystem ✔️ Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen |
4.3 Datenschutzfreundliche Voreinstellungen
Privacy by design / Privacy by default
| Technische Massnahmen |
|---|
| ✔️ Es werden nicht mehr Personendaten erhoben, als für den jeweiligen Zweck erforderlich sind ✔️ Einfache Ausübung des Widerrufsrechts des Betroffenen durch technische Massnahmen |
4.4 Auftragskontrolle (Outsourcing an Dritte)
Massnahmen, die gewährleisten, dass Personendaten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers bearbeitet werden können. Unter diesen Punkt fällt neben der Datenbearbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsbearbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.
| Organisatorische Massnahmen |
|---|
| ✔️ Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmassnahmen und deren Dokumentation ✔️ Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit) ✔️ Abschluss der notwendigen Vereinbarung zur Auftragsbearbeitung allenfalls inkl. angepasste EU Standard Vertragsklauseln ✔️ Schriftliche Weisungen an den Auftragnehmer ✔️ Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis ✔️Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht ✔️ Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer ✔️ Regelung zum Einsatz weiterer Subunternehmer ✔️ Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags ✔️ Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus |