1. Einleitung
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlichte am 23. Januar 2024 einen aktualisierten Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes (TOM) (Link). Die Zielgruppe des Leitfadens sind in erster Linie Personen, die für Informationssysteme zuständig sind und sich direkt mit der Verwaltung von Personendaten beschäftigen. Der EDÖB stellt Massnahmen vor, die als generelle Richtlinien zu verstehen und einzelfallbezogen auf das Projekt und die Organisation anzupassen sind. Dieser Newsletter trägt die wichtigsten Take-aways in Bezug auf private Verantwortliche aus dem Leitfaden zusammen.
2. Infrastruktur
Ein wichtiger Aspekt des Leitfadens betrifft die Datenumgebung, insbesondere die Infrastruktur und das Verhalten der Personen, die mit der Datenbearbeitung betraut sind. Es ist entscheidend, den physischen Ort der Daten sorgfältig auszuwählen. Der Leitfaden äussert sich zur Sicherheit der Räumlichkeiten im Allgemeinen, jene der Serverräume im Besonderen und ebenfalls zur Sicherheit der Arbeitsplätze. Dies verdeutlicht, dass die im Einsatz stehende Infrastruktur stufenweise zu überprüfen und umzusetzen ist, bis im Ganzen eine adäquate Datensicherheit erreicht wird.
2.1 Sicherheit der Räumlichkeiten
Die Räumlichkeiten umfassen die Büros der Personen, die das System nutzen und Zugriff auf die Daten haben. Nur berechtigte Personen dürfen das Gebäude oder die Büros betreten. Die Authentifizierung für den Zugang ist z.B. mittels eines Badges oder Zugangscodes zu regeln. Die Zugangsberechtigung hat sich dabei natürlich an der Funktion des Berechtigten zu orientieren.
Sind mehrere Organisationen in einem Gebäude einquartiert, so können ihre Datenschutzbedürfnisse variieren, was einzelfallspezifische Anpassungen erfordert.
Jeder Bereich des Gebäudes, der für eine bestimmte Organisation vorgesehen ist, sollte mit einer elektronischen Zugangskontrolle ausgestattet werden.
Zusätzlich ist für Besucherinnen und Besucher der Zugang zu regeln und sicherzustellen, dass diese sich nicht frei im Gebäude bewegen können. Übersicht bietet hierzu eine obligatorische An- und Abmeldung beim Empfang. Weiter wird empfohlen, Büros ausserhalb der Arbeitszeiten abzuschliessen. U.E. ist dies auch während den gewöhnlichen Arbeitszeiten ratsam, sofern keine Personen empfangen werden müssen. Selbstverständlich ist auch die Installation eines Alarmsystems in Erwägung zu ziehen. Der EDÖB rät dazu in Bezug auf heikelste Räume, was sicherlich ein Mindeststandard darstellen sollte. Je nach Unternehmen und Sensibilität der zu bearbeitenden Daten ist aber eine in sämtlichen Bereichen zu prüfen.
2.2 Sicherheit der Serverräume
Das Herzstück vieler Unternehmen ist dessen Server. Die Serverräume sind aber besonders gefährdet, da sie die physische Speicherung der Daten beherbergen. Es ist wichtig festzulegen, wer Zutritt zu diesen Räumen haben darf. Nur ausgewähltes technisches Personal soll zutrittsberechtigt sein. Es ist zudem sinnvoll, immer die gleichen vertrauenswürdigen Personen mit der Reinigung dieses Raumes zu betrauen. Ferner ist der Zutritt zu den Serverräumen laut dem EDÖB zu protokollieren. Des Weiteren sollte der Raum mit einem Alarmsystem ausgestattet sein, das ständig in Betrieb ist. Das Alarmsystem sollte automatisch auf Naturereignisse wie Feuer oder Überschwemmung reagieren können. Eine Positionierung des Serverraums in einem Untergeschoss erlaubt auch, Eindringlingen den Weg zu erschweren.
Hierzu ist anzufügen, dass bei sehr sensitiven Daten in Ausnahmefällen auch weitergehende Sicherheitsmassnahmen wie z.B. Personenvereinzelungsanlage oder Iris-Scanner nötig werden können.
2.3 Sicherheit der Arbeitsplätze
Bekanntlich ist sicherzustellen, dass Mitarbeitende den Datenschutz mittragen und mitverantwortlich sind. Der EDÖB schlägt folgende Massnahmen in Bezug auf die Sicherheit der Arbeitsplätze vor:
– Bildschirme können nicht von der Tür aus eingesehen werden.
– Druckerzeugnisse liegen nicht unbeaufsichtigt beim Drucker herum. Eine Passworteingabe beim Drucker selbst, stellt sicher, dass gedruckte Dokumente gleich weiterbearbeitet werden.
– Eine Clean-Desk-Policy wird gelebt.
– Jeder PC verfügt über eine geupdatete Firewall.
– Die PCs müssen mindestens durch sichere Passwörter geschützt werden, die nur den jeweiligen Mitarbeitenden bekannt sind.
– Vorgeschlagen wird, Notebooks gegen unbefugte Entwendung physisch anzuketten, was ausser unserer Sicht nur ausnahmsweise Sinn ergibt, da viele Mitarbeitende ihre Geräte auch regelmässig nach Hause und zu Meetings etc. mitnehmen und die Gefahr insbesondere in solchen Situationen grösser ist, dass ein Gerät gestohlen werden könnte.
Diese Sicherheitsmassnahmen sollten auch auf die Mitarbeitenden im Homeoffice ausgedehnt werden, sofern dies sinnvoll und umsetzbar ist.
2.4 Cloud-Nutzung
Die Nutzung einer Cloud birgt datenschutzrechtliche Risiken. In einem ersten Schritt müssen die Bedürfnisse des Unternehmens, welches in die Cloud möchte, identifiziert werden. Zu überprüfen ist, ob eine Cloud wirklich notwendig ist und wenn ja, für welche Bereiche. Bei der Auswahl des Cloud-Typs (privat, öffentlich oder hybrid) sollte frühzeitig eine detaillierte Analyse der Datenschutzanforderungen durchgeführt werden. Besonders aufmerksam ist dabei auch der konkrete Anbieter auszuwählen. Aus unserer Sicht sollten in jeder unternehmensinternen Weisung Red-Flag-Kriterien definiert werden, welche einen Anbieter per se ausschliessen. Eine Auslagerung ist mit einer Risikoanalyse zu verbinden und danach muss die Entscheidung sorgfältig abgewogen werden.
3. Zugriff und Bearbeitung
Im Leitfaden wird als weiteren Schwerpunkt auch auf den Zugriff und Bearbeitungen eingegangen. Denn neben der Sicherung der Infrastruktur müssen auch Massnahmen auf der Ebene der Dateiverwendung und -verwaltung ergriffen werden.
3.1 Zugriffsverwaltung
Eine Zugriffsverwaltung regelt, wer auf die Daten zugreifen darf und in welchem Umfang diese bearbeitet werden dürfen (Need-to-know-Prinzip). Dies führt zu verschiedenen zu implementierenden Sicherheitsanforderungen. Vor unbefugtem Zugriff von aussen ist angemessen zu schützen (vgl. vorne)., Es sind sowohl physische als auch elektronische Zugriffe zu protokollieren. Besondere Anforderungen können sich für Zugänge ausserhalb der Organisation ergeben. In diesem Zusammenhang weisen wir darauf hin, dass insbesondere Zugriffe aus dem Ausland im Unternehmen zu regeln sind.
3.2 Identifizierung und Authentifizierung
Im Zusammenhang mit der Zugriffsverwaltung ist natürlich auch die Identifizierung und die Authentifizierung massgeblich. Identifizierung stellt die Identität einer Person fest, während die Authentifizierung überprüft, ob die Person tatsächlich die ist, die sie vorgibt zu sein; dies bedingt, dass jede Person über ein individuelles Benutzerkonto verfügt. Das kann durch Besitz (z. B. Smartcard), Kenntnis (z. B. Passwort) oder charakteristische Eigenschaften (z. B. Fingerabdruck) erfolgen. Multi-Faktor-Authentifizierung (MFA) bedeutet die gleichzeitige Nutzung von mindestens zwei dieser Methoden. Detaillierte Passwortrichtlinien äussern sich darüber, wie ein starkes Passwort herzustellen ist. Die Kriterien für die Einrichtung von Passwörtern berücksichtigen die Mindestlänge, Ablaufzeit, Verwendung von Sonderzeichen und Grossbuchstaben sowie die Anzahl von Falscheingaben vor einer etwaigen Sperrung.
4. Lebenszyklus der Daten
Der Leitfaden des EDÖB hält fest, dass die Unversehrtheit und Vertrauenswürdigkeit der Daten während des gesamten Lebenszyklus der entsprechenden Daten sicherzustellen sind. Dies verdeutlicht, dass der Datenschutz dynamisch ist.
4.1 Datenerfassung
Der Lebenszyklus beginnt im Zeitpunkt der erstmaligen Erfassung der Daten. Daher ist es wichtig, keine unvollständigen oder falschen Daten zu erfassen. Gemäss dem Leitfaden soll nur geschultes und befugtes Daten erfassen dürfen. Systeme sollen über Hilfsmechanismen verfügen, die Informationslücken erkennen. Datenerfassungen sind zu protokollieren.
4.2 Verschlüsselung
Eine Verschlüsselung der Daten verhindert unbefugtes Lesen und missbräuchliche Veränderungen, indem die Daten mithilfe eines Schlüssels in einen unverständlichen Code umgewandelt werden und nicht mehr in Klartext vorhanden sind. Es gibt verschiedene Ebenen der Verschlüsselung. Idealerweise sollten die gespeicherten Daten („at rest“) jederzeit verschlüsselt sein. Da für die Bearbeitung teilweise auch unverschlüsselte Daten benötigt werden, wird intern eine zusätzliche Verschlüsselungsebene empfohlen. Die Daten können in verschiedene Zonen unterteilt werden, die separat verschlüsselt sind und nur autorisierten Mitarbeitenden und Anwendungen den Zugriff auf unverschlüsselte Daten ermöglichen. Diese Ebene schützt vor unbefugten internen Zugriffen.
Vom EDÖB empfohlene Verschlüsselungsalgorithmen sind die folgendem:
· AES (mit Schlüssellängen von 128 oder 256 Bit) mit einem geeigneten Betriebsmodus (CCM, GCM oder EAX) oder ChaCha20 (im Poly-1305-Modus) für die symmetrische Verschlüsselung.
· RSA-OAEP, ECIES-KEM oder DLIES-KEM für die asymmetrische Verschlüsselung.
· SHA-256, SHA-512 oder SHA-3 als Hashfunktionen.
4.1 Sicherheit der Datenträger
Gemäss EDÖB ist auch der Umgang mit externen Datenträgern zu regulieren. Externe Datenträger mit besonders sensiblen Personendaten sollten verschlüsselt werden. Ferner müssen externe Datenträger sicher aufbewahrt werden.
4.2 Datensicherung
Eine Sicherungsstrategie ist in jedem Unternehmen zu implementieren. Sie richtet sich nach der Art der Daten, ihrer Menge und der Häufigkeit von Änderungen. Ferner werden die Sicherungsserver denselben Sicherheitsmassnahmen unterzogen wie die zentralen Server. Die Wiederherstellung von Daten obliegt ausgebildeten Personen.
4.3 Datenvernichtung
Es wird eine klare Löschstrategie festgelegt, um Personendaten schrittweise und vollständig zu entfernen, einschliesslich nicht mehr benötigter Datensicherungen. Spezialsoftware wird verwendet, um Daten sicher zu löschen und leeren Speicherplatz zu bereinigen. Papierdaten werden mit einem Aktenvernichter zerstört. In diesem Zusammenhang weisen wir darauf hin, etablierte Normen der Branche zu respektieren.
Bei CD-ROMs und anderen mobilen Datenträgern erfolgt die physische Zerstörung, wenn keine andere vollständige Bereinigung möglich sein sollte.
5. Datenaustausch und -übermittlung
Moderne Kommunikationstechnologien ermöglichen, über das Internet zu arbeiten und Informationen schnell und einfach auszutauschen. Der Datenschutz muss bei solchen Übermittlungsvorgängen ebenfalls gewährleistet sein.
5.1 Netzsicherheit
Der EDÖB schreibt vor, dass stets sichere Übertragungsprotokolle zu verwenden sind. Das TLS-Protokoll (Transport Layer Security) ermöglicht eine verschlüsselte Datenübertragung zwischen Client und Server. Dies erfolgt transparent und wird in den meisten Browsern durch ein Schlosssymbol angezeigt. Zusätzlich tragen VPN-Verbindungen zur Sicherung des Intranet-Zugangs bei. Über solche Verbindungen werden die zu übermittelnden verschlüsselten Daten eingekapselt. Richtigerweise hebt der EDÖB hervor, dass sämtliche Systeme upgedatet bleiben müssen. Entsprechend sollte man als Unternehmen einen professionellen IT-Partner auswählen.
5.2 Verschlüsselung von Mitteilungen
Es ist wichtig, nicht nur Festplatten und Dateien zu verschlüsseln, sondern auch die Mitteilungen an sich. Die Wahl der Verschlüsselungsmethode sollte dabei der Sensibilität der Daten und den Drittpersonen, mit denen die Organisation in Kontakt steht, angepasst werden.
Bezüglich Wahl der Verschlüsselungsmethode siehe vorne.
5.3 Digitales Unterzeichnen von Mitteilungen (signieren)
Es kann sein, dass der Adressat sicherstellen möchte, dass die Absenderin tatsächlich die Person ist, die sie vorgibt zu sein. Dies wird durch die digitale Unterschrift auf der Mitteilung erreicht.
5.4 Übergabe von Datenträgern
Die sichere Übertragung mobiler Datenträger ist kritisch, da ein Teil der Daten die Organisation physisch verlässt und an einen anderen Ort transportiert wird. Es ist entscheidend, dass diese Datenträger während ihres Transports so geschützt werden, dass die Daten bei Verlust oder Diebstahl für Dritte nicht lesbar sind.
5.5 Protokollierung des Datenaustauschs
Das Übermitteln von Daten via Internet und die Übergabe von mobilen Datenträgern sind zu protokollieren. Laut EDÖB ermöglicht dies die Nachverfolgung von Absendern, Empfängern sowie den Verlauf der Datenträgerübergabe. Im Falle von Missbrauch, falscher Verwendung oder Fehlmanipulation können diese Informationen den Weg der Daten vom Zeitpunkt der Übergabe bis zum Auftreten des Problems nachvollziehbar machen.
6. Fazit
Der aktualisierte Leitfaden des EDÖB bietet den Unternehmen eine praktische Handlungsanleitung für die systematische Implementierung von Massnahmen zur Gewährleistung der Datensicherheit. Die vorgesehenen Massnahmen entsprechen dem technischen Standard und deren Berücksichtigung befürworten wir. Selbstredend darf nicht vernachlässigt werden, dass kleinere Unternehmen bei Implementierung sämtlicher Massnahmen sich mit hohen Implementierungskosten konfrontiert sehen. Dem DSG entsprechend sind ja die Kosten ein Faktor, welcher bei der Festlegung der Datensicherheitsmassnahmen berücksichtigt werden kann. Dementsprechend muss auch nicht in jedem Fall die Maximallösung gewählt werden, um compliant zu sein.
