TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOMS)
Zur Gewährleistung einer angemessenen Datensicherheit muss die Sonio AG bzw. ihre jeweiligen Abteilungen als Verantwortliche und
Auftragsbearbeiterin (je nach Rolle) den Schutzbedarf der Personendaten[1] bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
Der Schutzbedarf der Personendaten wird nach der Art der bearbeiteten Daten und dem Zweck, Art, Umfang und Umstände der Bearbeitung beurteilt.
Das Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person wird nach den Ursachen des Risikos, den hauptsächlichen Gefahren, den ergriffenen oder vorgesehenen Massnahmen (um das Risiko zu verringern), der Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen beurteilt.
Bei der Festlegung der technischen und organisatorischen Massnahmen werden zudem der Stand der Technik und die Implementierungskosten berücksichtigt.
Der Schutzbedarf der Personendaten, das Risiko und die technischen und organisatorischen Massnahmen sind über die gesamte Bearbeitungsdauer hinweg zu überprüfen. Dies kann getan werden mittels regelmässigen Datenschutzaudits, regelmässiger Sensibilisierung der Mitarbeiter durch Schulungen, mittels Durchführung von Datenschutz-Folgeabschätzungen, Einsatz von internen und externen Datenschutzbeauftragten, etc. Die Massnahmen sind nötigenfalls anzupassen.
Stand: Oktober 2023
1. Vertraulichkeit
1.1 Zugriffskontrolle
Massnahmen, die gewährleisten, dass berechtigte Personen nur auf diejenigen Personendaten Zugriff haben, die sie zur Erfüllung ihrer Aufgaben benötigen.
Technische Massnahmen
Organisatorische Massnahmen
☒ Akten Schredder im Einsatz
☒ Einsatz Berechtigungskonzepte
☒ Protokollierung von Zugriffen auf Anwendungen
☒ Verwaltung Benutzerrechte durch Administratoren
☒ Degausser, Vernichtung von Datenträgern
1.2 Zugangskontrolle
Massnahmen, die gewährleisten, dass nur berechtigte Personen Zugang zu den Räumlichkeiten und Anlagen haben, in denen sich
Personendaten bearbeitet werden.
Technische Massnahmen
Organisatorische Massnahmen
☒ Alarmanlage
☒ Schlüsselregelung/Liste
☒ Automatisches Zugangskontrollsystem
☒ Empfang/Rezeption/Pförtner
☒ Biometrische Zugangssperren
☒ Besucherbuch/Protokoll der Besucher
☒ Chipkarten/Transpondersysteme
☒ Mitarbeiter/Besucherausweis
☒ Manuelles Schliesssystem
☒ Besucher in Begleitung durch Mitarbeiter
☒ Sicherheitsschlösser
☐ Sorgfalt bei Auswahl des Wachpersonals
☒ Schliesssystem mit Codesperre
☐ Sorgfalt bei Auswahl Reinigungsdienste
☒ Absicherung der Gebäudeschächte
☒ Türen mit Knauf Aussenseite
☒ Klingelanlage mit Kamera
☒ Videoüberwachung der Eingänge
1.3 Benutzerkontrolle
Massnahmen, die gewährleisten, dass unbefugte Personen automatisierte Datenbearbeitungssysteme nicht mittels Einrichtungen zur Datenübertragung benutzen können.
Technische Massnahmen
Organisatorische Massnahmen
☒ Login mit Benutzername und Passwort
☒ Verwalten von Benutzerberechtigungen
☐ Login mit biometrischen Daten
☒ Erstellen von Benutzerprofilen
☒ Anti-Viren-Software Server
☒ Zentrale Passwortvergabe
☒ Anti-Virus-Software Clients
☒ Richtlinie "Sicheres Passwort"
☐ Anti-Virus-Software mobile Geräte
☒ Richtlinie "Clean Desk"
☒ Firewall
☒ Allg. Richtlinie Datenschutz und/oder Sicherheit
☒ Intrusion Detection Systeme
☒ Mobile Device Policy
☒ Mobile Device Management
☒ Anleitung "manuelle Desktopsperre"
☒ Einsatz VPN bei Remote-Zugriffen
☒ Verschlüsselung Smartphone
☐ Gehäuseverriegelung
☒ BIOS Schutz (separates Passwort)
☐ Sperre externer Schnittstellen (USB)
☐ Automatische Desktopsperre
☒ Verschlüsselung von Notebooks/Tablets
2. Vertraulichkeit
2.1 Transportkontrolle
Massnahmen, die gewährleisten, dass unbefugte Personen bei der Bekanntgabe von Personendaten oder beim Transport von Datenträgern Personendaten nicht lesen, kopieren, verändern, löschen oder vernichten können.
Technische Massnahmen
Organisatorische Massnahmen
☒ E-Mail-Verschlüsselung
☐ Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen
☒ Einsatz von VPN
☒ Übersicht regelmässiger Abruf- und Übermittlungsvorgänge
☒ Protokollieren der Zugriffe und Abrufe
☒ Weitergabe in anonymisierter oder pseudonymisierter Form
☐ Sichere Transportbehälter
☐ Sorgfalt bei Auswahl von Transportpersonal und Fahrzeugen
☒ Bereitstellung über verschlüsselte
Verbindungen wie sftp, https
☒ Persönliche Übergabe mit Protokoll
2.2 Datenträger- und Speicherkontrolle
Massnahmen, die gewährleisten, dass unbefugte Personen Datenträger nicht lesen, kopieren, verändern, verschieben, löschen oder vernichten können und/oder Speicher nicht speichern, lesen, ändern, löschen oder vernichten können.
Technische Massnahmen
Organisatorische Massnahmen
☒ Technische Protokollierung der Eingabe;
Änderung und Löschung von Daten
☐ Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
☐ Manuelle oder automatisierte Kontrolle der Protokolle
☐ Nachvollziehbarkeit von Eingabe,
Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
☒ Vergabe von Rechten zur Eingabe,
Änderung und Löschung von Daten auf Basis eines Berechtigungskonzeptes
☒ Aufbewahrung von Formularen, von denen Daten in automatisierten Verarbeitungen übernommen wurden
2.3 Wiederherstellungskontrolle
Massnahmen, die gewährleisten, dass die Verfügbarkeit der Personendaten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.
Technische Massnahmen
Organisatorische Massnahmen
☒ Feuer- und Rauchmeldeanlagen
☒ Backup und Recovery-Konzept ausformuliert
☒ Feuerlöscher Serverraum
☒ Kontrolle des Sicherungsvorgangs
☒ Serverraumüberwachung: Temperatur und Feuchtigkeit
☒ Regelmässige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse
☒ Serverraum klimatisiert
☒ Aufbewahrung der Sicherungsmedien an einem sicheren Ort ausserhalb des Serverraums
☒ Schutzsteckdosenleisten Serverraum
☒ Existenz eines Notfallplans
(z.B. BSIIT Grundschutz 100-4)
☐ Datenschutztresor (S60DIS, S120DIS oder andere geeignete Normen mit Quelldichtung etc.)
☒ Getrennte Partitionen für Betriebssystem und Daten
☒ Videoüberwachter Serverraum
☐ Alarmmeldung bei unberechtigtem Zutritt zu Serverraum
2.4 Systemsicherheit
Massnahmen, die gewährleisten, dass Betriebssysteme und Anwendungssoftware stets auf dem neuesten Sicherheitsstand gehalten und bekannte kritische Lücken geschlossen werden.
Technische Massnahmen
Organisatorische Massnahmen
☒ Einsatz von Firewall und regelmässige Aktualisierung
☒ Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen/
Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
☒ Einsatz von Spamfilter und regelmässige Aktualisierung
☒ Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
☒ Einsatz von Virenscanner und regelmässige Aktualisierung
☒ Einbindung von Datenschutzbeauftragten und Head ICT in Sicherheitsvorfälle und Datenpannen
☒ Intrusion Detection System (IDS)
☒ Dokumentation von Sicherheitsvorfällen
und Datenpannen z.B. via Ticketsystem
☒ Intrusion Prevention System (IPS)
☐ Formular Prozess und Verantwortlichkeiten zur Nachbearbeitung von
Sicherheitsvorfällen und Datenpannen
☒ Einsatz eines Security operation Center (Soc)
2.5 Datenintegrität
Massnahmen, die gewährleisten, dass alle Funktionen des automatisierten Datenbearbeitungssystems zur Verfügung stehen (Verfügbarkeit), Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte Personendaten nicht durch Fehlfunktionen des Systems beschädigt werden können.
Technische Massnahmen
Organisatorische Massnahmen
☒ Einsatz von Firewall und regelmässige Aktualisierung
☒ Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen/
Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
☒ Einsatz von Spamfilter und regelmässige Aktualisierung
☒ Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
☒ Einsatz von Virenscanner und regelmässige Aktualisierung
☒ Einbindung von Datenschutzbeauftragten und Head ICT in Sicher-
heitsvorfälle und Datenpannen
☒ Intrusion Detection System (IDS)
☒ Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem
☒ Intrusion Prevention System (IPS)
☐ Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von
Sicherheitsvorfällen und Datenpannen
3. Nachvollziehbarkeit
3.1 Eingabekontrolle
Geeignete Massnahmen, damit geprüft werden kann, welche Personendaten zu welcher Zeit und von welcher Person im automatisierten Datenbearbeitungssystem eingegeben oder verändert werden.
Technische Massnahmen
Organisatorische Massnahmen
☐ Software-Lösungen für Datenschutz-Management im Einsatz
☐ Interne Datenschutzbeauftragte
☒ Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum
Datenschutz mit Zugriffsmöglichkeit fü Mitarbeiter nach Bedarf/Berechtigung
(Betriebshandücher)
☒ Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet
☒ Sicherheitszertifizierung nach ISO 27001, BSI IT-Grundschutz oder ISIS12
☒ Regelmässige Sensibilisierung der Mitarbeiter mindestens 4x jährlich
☒ Anderweitiges dokumentiertes Sicherheitskonzept
☐ Interner/externer Informationssicherheitsbeauftrage
☒ Eine Überprüfung der Wirksamkeit der technischen Schutzmassnahmen wird
mind. jährlich durchgeführt
☒ Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
☐ Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
☐ Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens
Betroffener ist vorhanden
3.2 Bekanntgabekontrolle
Geeignete Massnahmen, damit überprüft werden kann, wem Personendaten mit Hilfe von Einrichtungen zur Datenübertragung bekanntgegeben werden.
Technische Massnahmen
Organisatorische Massnahmen
☐ Software-Lösungen für Datenschutz-Management im Einsatz
☐ Interne Datenschutzbeauftragte
☒ Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum
Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf/Berechtigung
(z.B. Wiki, Intranet…)
☒ Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet
☒ Sicherheitszertifizierung nach ISO 27001, BSI IT-Grundschutz oder ISIS12
☒ Regelmässige Sensibilisierung der Mitarbeiter mindestens 4x jährlich
☒ Anderweitiges dokumentiertes Sicherheitskonzept
☐ Interner/externer Informationssicherheitsbeauftrage
☒ Eine Überprüfung der Wirksamkeit der technischen Schutzmassnahmen wird
mind. jährlich durchgeführt
☒ Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
3.3 Erkennung und Beseitigung
Geeignete Massnahmen, damit Verletzungen der Datensicherheit rasch erkannt (Erkennung) und Massnahmen zur Minderung oder Beseitigung der Folgen ergriffen werden können.
Technische Massnahmen
Organisatorische Massnahmen
☒ Einsatz von Firewall und regelmässige Aktualisierung
☒ Dokumentierter Prozess zur Erkennung Meldung von Sicherheitsvorfällen/Datenpannen (auch im Hinblick auf
Meldepflicht gegenüber Aufsichtsbehörde)
☒ Einsatz von Spamfilter und regelmässige Aktualisierung
☒ Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
☒ Einsatz von Virenscanner und regelmässige Aktualisierung
☐ Einbindung von Datenschutzbeauftragten und Head ICT in Sicherheitsvor-
fälle und Datenpannen
☒ Intrusion Detection System (IDS)
☒ Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem
☒ Intrusion Pretention System (IPS)
☒ Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von
Sicherheitsvorfällen und Datenpannen
[1] Personendaten sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie Name, Adresse, E-Mailadresse, IP-Adresse, AHV-Nummer, biometrische Daten wie Fingerabdrücke, Lebensläufe, Telefonlisten, Arztzeugnisse, psychologische Gutachten etc.