Technische und organisatorische Massnahmen

gemäss nDSG Art. 8

Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Massnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Massnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Churcholution in der Rolle als Auftragsbearbeiter veröffentlicht hiermit die Massnahmen, welche das geforderte Schutzniveau für den Umgang mit personenbezogenen Daten gewährleisten. Zu beachten ist, dass unsere Subunternehmer in einem Unterauftragsverhältnis eigene technische und organisatorische Massnahmen treffen und publizieren. Churcholution selbst betreibt kein eigenes Datacenter, sondern bezieht Dienstleistungen für das Hosting von Serversystemen und Anwendungen bei den deklarierten Subunternehmern.

1. Vertraulichkeit

Das Gewährleistungsziel Vertraulichkeit bezeichnet die Anforderung, dass keine unbefugte Person personenbezogene Daten zur Kenntnis nehmen oder nutzen darf.

1.1. Zutrittskontrolle

Massnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Technische Massnahmen

  • Elektronisches Schliesssystem mit Zutrittsprotokollierung für Gebäude-Eingänge
  • Manuelles Schliesssystem für Büroräumlichkeiten (bei Abwesenheiten immer verschlossen)

Organisatorische Massnahmen

  • System für die Schlüsselverwaltung inkl. Protokollierung der Schlüsselausleihe/-rücknahme an Mitarbeiter sowie Verlustregelung
  • Das Betreten von Büroräumlichkeiten durch Besucher ist nur in Begleitung berechtigter Mitarbeiter gestattet.

1.2. Zugangskontrolle

Massnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.

Technische Massnahmen

  • Anmeldung an IT-Systemen über individuelle Zugangsdaten (Passwort mit Mindestlänge und Komplexitätsanforderung), Zwei-Faktor-Authentifizierung wo immer möglich, ggf. auch biometrische Überprüfung
  • Anti-Viren-Software für Server und Clients, stets aktualisiert und regelmässig überprüft
  • Firewall für Server und Clients, wobei nur die effektiv genutzten Ports für die zugelassenen Quelle(n) geöffnet sind
  • Remotezugriff auf Firmennetzwerk nur über einen verschlüsselten VPN-Zugang
  • Administrativer Zugriff auf Serversysteme nur über einen verschlüsselten VPN-Zugang und nach Möglichkeit mit expliziter IP-Einschränkung
  • Festplattenverschlüsselung für sämtliche Clients im Firmennetzwerk
  • Automatische Bildschirmsperre für sämtliche Clients im Firmennetzwerk
  • Personalisierte Accounts werden nach dem Ausscheiden eines Mitarbeiters deaktiviert / gelöscht
  • Für nicht personalisierte Accounts wird nach dem Ausscheiden befugter Mitarbeiter ein neues Passwort gesetzt.
  • Automatische Erkennung und Unterbindung unberechtigter Zugriffe, insbesondere durch ein Intrusion-Prevention-System

Organisatorische Massnahmen

  • Mitarbeiter müssen ihre Passwörter bei der Erstanmeldung selbständig setzen (soweit systembedingt möglich)
  • Speicherung von Passwörtern und sensiblen Informationen in vorgegebenem Password Manager (persönlicher Tresor für jeden Mitarbeiter)
  • Passwortrichtlinie (Mindestlänge, Komplexität)
  • Verwaltung von Berechtigungen auf Team- und Mitarbeiterebene
  • Richtlinie «Clean Desk»
  • Richtlinie für die Löschung / Vernichtung von Dokumenten
  • Allgemeine Richtlinie für Datenschutz und Datensicherheit
  • Prozess für Onboarding/Offboarding von Mitarbeitern

1.3. Zugriffskontrolle

Massnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Technische Massnahmen

  • Aktenschredder (Stufe 3, Cross-Cut)
  • Physische Löschung von Datenträgern
  • Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten
  • Individuelle Benutzerkonten, keine Gruppenkonten
  • Rollenbasierte Berechtigungssteuerung
  • Erteilung der Genehmigung zum Zugriff auf Systeme/Daten nur durch die Geschäftsleitung, wobei dieser nur erfolgt, wenn sie für eine Tätigkeit zwingend erforderlich ist (ggf. auch nur zeitweise Freigabe)

Organisatorische Massnahmen

  • Berechtigungskonzepte zur Freigabe von Daten nur an berechtigte Personen
  • Regelmässige Überprüfung auf Aktualität der Berechtigungen
  • Minimale Anzahl an Administratoren
  • Verwaltung Benutzerrechte durch Administratoren

1.4. Trennungskontrolle

Massnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.

Technische Massnahmen

  • Trennung von Produktiv-, Entwicklungs- und Testumgebung
  • Logische Mandantentrennung (softwareseitig) und Verwendung separater Datenbanken für die Trennung von Kundendaten
  • Sandboxing
  • Instanziierung in Datenbanken

Organisatorische Massnahmen

  • Steuerung über Berechtigungskonzept
  • Festlegung von Datenbankrechten
  • Datensätze sind mit Zweckattributen versehen

1.5. Pseudonymisierung

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Massnahmen unterliegen.

Technische Massnahmen

  • Verwendung der Kunden-Nr. bzw. der Benutzer-ID für unternehmensinterne Kommunikation
  • Gesonderte Aufbewahrung der Zuordnungsdatei

Organisatorische Massnahmen

  • Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren

2. Integrität

Integrität bezeichnet insbesondere die Eigenschaft, dass die zu verarbeitenden Daten unversehrt, vollständig, richtig und aktuell bleiben. Abweichungen von diesen Eigenschaften müssen ausgeschlossen werden oder zumindest feststellbar sein, damit sie berücksichtigt und korrigiert werden können.

2.1. Weitergabekontrolle

Massnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Technische Massnahmen

  • Remoteverbindungen zur Serverinfrastruktur nur über verschlüsseltes VPN
  • Protokollierung der Zugriffe und Abrufe
  • Bereitstellung von Anwendungen/Serversystemen nur über verschlüsselte Verbindungen wie HTTPS, SFTP oder SSH
  • Datenübermittlungen zum Projekt-/Supportzweck nur über Sicherheitslink mit Benutzeridentifizierung und Ende-zu-Ende-Verschlüsselung

Organisatorische Massnahmen

  • Dokumentation aller Datenübermittlungen
  • Weitergabe in anonymisierter oder pseudonymisierter Form
  • Mobile Datenträger sind untersagt.
  • Informationssicherheits-Strategie und IT-Sicherheitsrichtlinie

2.2. Eingangskontrolle

Massnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Technische Massnahmen

  • Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Manuelle oder automatisierte Kontrolle der Protokolle
  • Timeout nach Ablauf von Sitzungen
  • Nachvollziehbarkeit der Nutzereingaben durch Zeitstempel

Organisatorische Massnahmen

  • Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
  • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden
  • Klare Zuständigkeiten für Löschungen

3. Verfügbarkeit und Belastbarkeit

3.1. Verfügbarkeitskontrolle

Massnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Technische Massnahmen

  • Tägliche Sicherung der Serverinfrastruktur
  • Tägliche Sicherung jeder einzelnen Kundendatenbank
  • Aufbewahrung von Sicherungen verschlüsselt und physisch getrennt
  • Skalierbare Cloud-Infrastruktur mit Mehrfachredundanz zur Gewährleistung einer hohen Verfügbarkeit und Belastbarkeit
  • Isolierte Bereitstellung von Anwendungen zur Lastverteilung und zum Ausschluss der Performance-Beeinflussung durch andere Kunden
  • Umfangreiches Monitoring für Serversysteme und einzelne Dienste zur Erkennung von Trends und Lastspitzen
  • Kritische Softwareänderungen werden vor deren Anwendung auf Testsystemen geprüft
  • Firewall, Virenschutz, (D)DoS-Schutz und WAF sind stets auf aktuellem Stand
  • Netzwerksegmentierung / Netzwerkisolierung

Organisatorische Massnahmen

  • Backup- und Recovery-Konzept
  • Kontrolle der Sicherungsvorgänge
  • Regelmässige Tests zur Datenwiederherstellung
  • Möglichkeiten zur schnellen Wiederherstellung einzelner Datenbestände

4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

4.1. Datenschutz-Massnahmen

Technische Massnahmen

  • Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung
  • Eine Überprüfung der Wirksamkeit der technischen Schutzmassnahmen wird mind. jährlich durchgeführt

Organisatorische Massnahmen

  • Alle Mitarbeiter sind geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet
  • Regelmässige Sensibilisierung der Mitarbeiter, mindestens jährlich
  • Regelmässige Aktualisierung der TOM
  • Regelmässige Evaluierung und ggf. Anpassung der Richtlinien, Dokumente und Prozesse

4.2. Incident-Response-Management

Unterstützung bei der Reaktion auf Sicherheitsverletzungen

Technische Massnahmen

  • Einsatz von Firewall, Virenscanner und Spamfilter mit regelmässige Aktualisierung
  • Intrusion Detection System
  • Intrusion Prevention System

Organisatorische Massnahmen

  • Erkennung und Meldung von Datenschutzverletzungen (Richtlinien, Schulung und Verpflichtung der Mitarbeiter)
  • Dokumentation von Sicherheitsvorfällen und Datenpannen via Ticketsystem

4.3. Datenschutzfreundliche Voreinstellungen

Privacy by design / Privacy by default

Technische Massnahmen

  • Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.
  • Nutzung von Tools, die es dem Betroffenen ermöglichen, die zu seiner Person gespeicherten Daten einzusehen
  • Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Massnahmen

4.4. Auftragskontrolle (Outsourcing an Dritte)

Massnahmen, die gewährleisten, dass personenbezogene Daten, die Churcholution im Auftrag verarbeitet, nur entsprechend den Weisungen des Kunden verarbeitet werden können.

In der Rolle als Auftragsbearbeiter

  • Kein Zugriff auf Kundendaten, solange kein Vertrag über die Auftragsbearbeitung mit dem Kunden abgeschlossen ist
  • Grundsätzliche Protokollierung von Erfassungen, Änderungen und Löschung personenbezogener Daten, die im Auftrag bearbeitet werden
  • Information an den Kunden bei Datenschutzvorfällen
  • Unterstützung in Bezug zur Geletendmachung von Betroffenenrechten und bei Datenschutzverletzungen
  • Regelmässige Kontrollen von Subunternehmer im Unterauftragsverhältnis

In der Rolle als Verantwortlicher

  • Vorherige Prüfung der vom Subunternehmer getroffenen Sicherheitsmassnahmen und deren Dokumentation
  • Auswahl des Subunternehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit)
  • Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standardvertragsklauseln
  • Schriftliche Weisungen an den Subunternehmer
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags