Technische und organisatorische Maßnahmen (TOM) von Arthrex
1. Zugangskontrolle zu Einrichtungen
Der Begriff „Zugangskontrolle“ bezieht sich auf den physischen Zugang von Personen zu Gebäuden und Einrichtungen, in denen IT-Systeme zur Verarbeitung personenbezogener Daten betrieben und genutzt werden. Dazu gehören zum Beispiel Rechenzentren, in denen Webserver, Anwendungsserver, Datenbanken, Mainframes und Speichersysteme betrieben werden, sowie Büroräume, in denen Mitarbeitende Desktop-Computer verwenden.
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
| • Zur Sicherung der Sicherheitsbereiche und ihrer Zugänge werden geeignete technische Maßnahmen ergriffen, wie z. B. Einbrucherkennungssysteme, Ein-Personen-Sicherheitszugangssysteme und Schließsysteme |
• Der Schutzbedarf eines Gebäudes oder eines Raumes richtet sich nach den darin befindlichen Datenverarbeitungssystemen
• Es wird eine Personengruppe mit allgemeiner Zugangsberechtigung definiert und die Berechtigungen für den Zutritt zu sicherheitsrelevanten Bereichen werden auf das absolut Notwendige beschränkt („Prinzip der Minimalbefugnis“); Unbefugten wird der Zugang verwehrt
• Es existiert ein Verfahren für die Beantragung, Genehmigung, Ausgabe, Verwaltung und Rücknahme von Zutrittsmitteln oder den Entzug von Zutrittsrechten (einschließlich der Verwaltung von Schlüsseln, visuellen IDs, Transpondern, Chipkarten usw.); alle Schlüssel sind registriert
• Ein Prozess wurde für die Regelung des Zugangs unternehmensfremder Personen festgelegt, wie z. B. für Gäste und Lieferanten; externe Besucher:innen werden registriert; sollte ein Bedarf nach stärkerem Schutz bestehen, sollte unternehmensfremdes Personal während der Ausübung seiner Aufgaben begleitet und beaufsichtigt werden |
2. Zugangskontrolle für Hardware
Maßnahmen zur Verhinderung des Zugangs oder der Nutzung von Hardware zur Verarbeitung personenbezogener Daten durch Unbefugte:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
|
• Der Zugang zu Datenverarbeitungssystemen, auf denen personenbezogene Daten verarbeitet werden, ist nur möglich, nachdem die autorisierte Person anhand modernster Sicherheitsmaßnahmen identifiziert und erfolgreich authentifiziert wurde (z. B. mit einem Benutzernamen und Passwort oder einer Chipkarte / PIN)
• Eine starke Authentifizierung basiert immer auf mehreren (mindestens 2) Faktoren, z. B. Eigentum, Kenntnisse oder ein einmaliger Faktor, der für Benutzer:innen spezifisch ist (in der Regel biometrische Verfahren); zu den Beispielen zählen:
• Chipkarte mit Zertifikaten und PIN
• Einmalpasswörter (OTP-Generator, SMS-TAN, Chip-TAN) und Benutzerpasswort
• Sicherheitsfragen
• Alle erfolgreichen und abgelehnten Zugangsversuche werden protokolliert (Benutzer-ID, Computer, verwendete IP-Adresse) und in revisionssicherer Form 1 Jahr lang archiviert; um eine unsachgemäße Verwendung zu erkennen, werden regelmäßige Auswertungen durch Stichprobenentnahmen durchgeführt
• Authentifizierungsdaten (wie Benutzer-ID und Passwort) dürfen niemals ungeschützt über das Netzwerk übertragen werden
• Der Zugang wird nach wiederholten falschen Authentifizierungsversuchen gesperrt; ein Prozess wurde eingerichtet für das Zurücksetzen oder Entsperren gesperrter Zugangs-IDs sichergestellt; Benutzer-IDs, die über einen längeren Zeitraum nicht verwendet werden
• (höchstens 180 Tage), werden automatisch gesperrt und der Status wird auf „inaktiv“ gesetzt
|
• Die Personengruppe mit Zugang zu IT-Systemen muss auf das absolute Minimum beschränkt werden, das für die Erfüllung der spezifischen Aufgaben oder Funktionen der betreffenden Person innerhalb der laufenden betrieblichen Einrichtung erforderlich ist
• Passwörter müssen angemessenen Mindestregeln entsprechen (z. B. eine Passwort-Mindestlänge und -Komplexität); Passwörter müssen regelmäßig geändert werden; Initialpasswörter müssen sofort geändert werden; die Umsetzung der Anforderungen bezüglich Passwortlänge, Passwortkomplexität und Gültigkeit werden durch technische Einstellungen |
3. Datenzugangskontrolle (begrenzter Zugang)
3.1. Eingeschränkte Zugangsrechte
Maßnahmen zur Sicherstellung des Zugangs zu Systemen und Daten, die auf autorisiertes Personal beschränkt sind:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
• Die zum Zugang zu den Daten berechtigte Person muss sich außerdem anhand eindeutiger, überprüfbarer Faktoren wie ID und Passwort gegenüber dem Datenverarbeitungssystem identifizieren und authentifizieren
• Alle Computer- und Gerätebildschirme befinden sich im automatischen, passwortgeschützten Bildschirmschonermodus
• Sofern Daten mehrerer Parteien in derselben Datenbank gespeichert sind oder mit demselben Datenverarbeitungssystem verarbeitet werden, sind logische Zugangsbeschränkungen vorgesehen, die ausschließlich auf die Verarbeitung der Daten für die betreffende Partei abzielen (Multi-Tenancy)
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
• Ein Berechtigungskonzept (Benutzer- und Administrationsrechte) stellt sicher, dass der Zugang zu den Daten im System nur in dem Maße ermöglicht wird, wie es für die Benutzer:innen erforderlich ist, um die jeweiligen Aufgaben gemäß ihrer internen Aufgabenverteilung und Funktionstrennung zu erledigen; Regeln und Verfahren zur Erstellung, Änderung und Löschung von Berechtigungsprofilen und Benutzerrollen in Übereinstimmung mit Datenschutzbestimmungen sind definiert; Zuständigkeiten sind geregelt
• Die Zugangsrechte werden auf mehreren Ebenen entsprechend einer schriftlichen Richtlinie für die Zugangsrechte auf einer Bedarfsbasis eingeschränkt
• Unabhängig von technischen Einschränkungen sind die Mitarbeitenden angewiesen, nicht auf Daten zuzugreifen, die sie nicht für ihre Funktion benötigen
• Passwörter müssen angemessenen Mindestregeln entsprechen (z. B. eine Passwort-Mindestlänge und -Komplexität); Passwörter müssen regelmäßig geändert werden; Initialpasswörter müssen sofort geändert werden; die Umsetzung der Anforderungen bezüglich Passwortlänge, Passwortkomplexität und Gültigkeit werden durch technische Einstellungen sichergestellt
• Daten und Dateien werden regelmäßig gemäß einer Richtlinie zur Aufbewahrung und Löschung von Daten so vernichtet oder gelöscht, dass eine Rekonstruktion nicht oder nur mit unverhältnismäßigem Aufwand möglich ist; die Vernichtung und Löschung werden protokolliert; solche Protokolle enthalten keine personenbezogenen Daten, sondern lediglich Verweise auf Aktenordner oder Dateien
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
3.2. Datenträgerkontrolle
Maßnahmen zum Schutz vor unberechtigtem Zugriff auf Datenträger:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
• Daten werden verschlüsselt oder passwortgeschützt transportiert, vertrauliche Daten werden ebenfalls verschlüsselt oder passwortgeschützt verwendet
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
• Es gibt Aufzeichnungen über alle Datenträger
• Datenträger werden außerhalb der Geschäftszeiten in verschlossenen Schränken aufbewahrt
• Datenträger werden auf sichere Weise transportiert
• Datenträger und Dokumente werden gemäß DIN 66399 intern oder durch einen zertifizierten Dienstleister entsorgt
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
3.3. Änderungskontrolle
Maßnahmen zum Schutz vor unberechtigtem Zugang zu oder Verarbeitung von Daten:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
• Der Datenzugang wird protokolliert; Musterprotokolldateien werden regelmäßig überprüft
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
Folgendes wird aufgezeichnet:
• Änderungen von Passwörtern / Zugangsberechtigungen / Rollen
• Schreibzugriff mit den folgenden Informationen: Benutzer:in, Daten, Datei und Software
• Für vertrauliche Daten auch Lesezugriff
• Es besteht eine schriftliche Richtlinie über den Umfang und die Art der Protokollierung sowie die Aufbewahrung und Überprüfung von Protokollen • Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten
|
3.4. Exportkontrolle
Maßnahmen zum Schutz vor unberechtigtem Export von Daten aus den IT-Systemen:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
• Das interne Netzwerk wird durch die Implementierung von Sicherheits-Gateways an den Netzwerkübergabepunkten gesichert, z. B. durch eine Firewall,
Virenschutz und Intrusion Detection (IDS))
• Daten werden nur per E-Mail oder verschlüsselt (VPN, SSL) übertragen
• E-Mails werden sicher protokolliert
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
• Die Verwendung von Clouds oder anderen Verarbeitungsdiensten setzt voraus, dass eine Verarbeitungsvereinbarung abgeschlossen und der Datenverarbeiter geprüft wurde
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
4. Übertragungs- und Transportkontrolle
Um sicherzustellen, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports oder während der Aufzeichnung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Ebenso soll es möglich sein, festzustellen und zu überprüfen, an welche Stellen personenbezogene Daten mit Hilfe von Datenübertragungseinrichtungen übermittelt werden sollen.
4.1. Übertragungskontrolle
Maßnahmen zur Sicherstellung, dass die Empfänger aller Datenexporte erfasst werden:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
| • Maßnahmen gemäß den vorgenannten Abschnitten |
• Alle Zugangsberechtigungen und Übertragungen werden in Aufzeichnungen über die Verarbeitungstätigkeiten dokumentiert
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
4.2. Transportkontrolle
Maßnahmen zur Sicherstellung des Schutzes von Daten bei der Übertragung und beim Transport:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
• Wenn personenbezogene Daten an externe Systeme übermittelt werden, ist eine Verschlüsselung unbedingt erforderlich
• Maßnahmen gemäß den vorgenannten Abschnitten |
• Maßnahmen gemäß den vorgenannten Abschnitten |
5. Verarbeitungsprotokolle
Maßnahmen zur Sicherstellung der Protokollierung jeglicher Aufzeichnung oder Veränderung von personenbezogenen Daten:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
| • Maßnahmen gemäß den vorgenannten Abschnitten |
• Maßnahmen gemäß den vorgenannten Abschnitten |
6. Kontrolle der Einhaltung von Vorschriften durch den Datenverarbeiter
Maßnahmen zur Sicherstellung, dass Datenverarbeiter oder Zusatzverarbeiter die Daten nur gemäß den Anweisungen des für die Datenverarbeitung Verantwortlichen verarbeiten:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
• Physische oder logische Trennung von Daten
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
• Schulung der Mitarbeitenden, die Mitarbeitenden müssen formale Verpflichtungen unterzeichnen
• Schriftliche Dokumentation von Anweisungen
• Auswahl von (Unter-)Auftragsverarbeitern und Ausarbeitung von (Unter-)Verträgen mit Sorgfaltsprüfung; erstmalige und regelmäßige Prüfung der technischen und organisatorischen Maßnahmen
• Externe Dienstleistende müssen bei der Arbeit an IT-Systemen kontinuierlich überwacht werden
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
7. Schadenskontrolle
7.1. Verfügbarkeitskontrolle
Maßnahmen zur Sicherstellung, dass die Daten vor Zerstörung oder Verlust geschützt sind:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
• Alle Serverräume sind klimatisiert, verfügen über Rauchmelder und Feuerlöscher und die Temperatur und Luftfeuchtigkeit werden regelmäßig überprüft
• Alle Server verfügen über eine unterbrechungsfreie Stromversorgung (USV) und sind gegen elektrische Überspannung geschützt; alle Server sind so konfiguriert, dass sie sich bei einem längeren Stromausfall automatisch abschalten
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
• Der Schutz bei der Sicherung und Wiederherstellung sowie Benutzer:innen, Protokolldateien und Virenscans der Server werden täglich überprüft
• Folgendes wird regelmäßig überprüft:
die unterbrechungsfreie Stromversorgung, die Schlösser der Serverräume
• Es besteht ein Notfallwiederherstellungs- und Geschäftskontinuitätsplan, um den Betrieb im Falle eines vorhersehbaren Zwischenfalls (Strom, Feuer, Wasser usw.) fortzusetzen
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten
|
7.2. Systemwiederherstellung
Maßnahmen zur Sicherstellung einer schnellen Wiederherstellung der Systeme nach einem Zwischenfall:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
• Alle Daten werden regelmäßig gesichert
• Wichtige Sicherungskopien werden extern aufbewahrt
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
• Es besteht eine schriftliche Sicherungsrichtlinie, die den Umfang, die Intervalle und Methoden der Sicherung, die Nummer der Generation, die Datenträger, den Transport und die Aufbewahrung sowie die internen Verantwortlichkeiten in Bezug auf die Sicherungsverfahren festlegt
• Sicherungskopien werden regelmäßig überprüft
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
7.3. Zuverlässigkeit
Maßnahmen zur Sicherstellung, dass alle Systeme ordnungsgemäß funktionieren und Fehler erkannt werden:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
• Die Systeme führen automatische Plausibilitäts- und Integritätsprüfungen (z. B. Prüfsummenverfahren) zur Fehlererkennung durch
• Die Systeme protokollieren Fehler und Überlastungen von Anwendungen (z. B. Speicherprobleme oder abgebrochene Prozesse)
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
• Sämtliche Software wird vor der Installation von der IT-Abteilung geprüft und genehmigt
• Es findet eine regelmäßige manuelle Überprüfung von Systemen, Datenattributen und Prozessinformationen sowie anderen Materialkonfigurationen zur Fehlererkennung statt
• Es gibt Richtlinien, die verlangen, dass alle Fehler im IT- oder Kommunikationssystem gemeldet und dokumentiert werden (mit Ausnahme von Fehlern, die vom System automatisch erkannt und korrigiert werden)
• Es besteht eine Richtlinie, die vorschreibt, dass Fehler nur von IT-Mitarbeitenden korrigiert werden dürfen und dass größere Änderungen vor der Implementierung in einem Testsystem getestet werden
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
7.4. Datenintegrität
Maßnahmen zur Sicherstellung, dass Daten nicht durch Fehlfunktionen des Systems verfälscht werden:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
• Datenintegritätsprüfungen sind in der Sicherungsstrategie und im Toolset enthalten und standardmäßig aktiviert
• Penetrationstests und Sicherheitsprüfungen werden durchgeführt
• Maßnahmen gemäß den vorgenannten Abschnitten |
• Bestehende Sicherheitsrichtlinien und -verfahren
• Schulungen für Mitarbeitende zu den Regeln für die Eingabe und Pflege von Daten
• Maßnahmen gemäß den vorgenannten Abschnitten |
8. Trennungskontrolle
Maßnahmen zur Sicherstellung, dass für verschiedene Zwecke gesammelte Daten klar getrennt werden:
|
Technische Maßnahmen
|
Organisatorische Maßnahmen
|
• Physische oder logische Trennung von Daten
• Die Unternehmensdateien sind nach bestimmten Speicherorten getrennt, sowohl vor Ort als auch in der Cloud
• Die Speicherorte sind nur für Personen sichtbar und/oder zugänglich, die eine Berechtigung zum Zugang zu den jeweiligen Daten haben
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
• Bestehende Sicherheitsrichtlinien und -verfahren
• Zusätzliche Maßnahmen gemäß den vorgenannten Abschnitten |
9. Allgemeine Organisation
- Im Rahmen der gesetzlichen Bestimmungen wurde ein:e Datenschutzbeauftragte:r ernannt. Eine oder mehrere Personen in der Geschäftsleitung oder direkt der Geschäftsleitung unterstellte Personen haben die Verantwortung für die Einhaltung des Datenschutzes und der Datensicherheit übernommen. Eine oder mehrere Personen innerhalb der IT-Abteilung haben die Verantwortung für die Umsetzung aller technischen und organisatorischen Maßnahmen einschließlich der laufenden Aktualisierung der entsprechenden Richtlinien übernommen. Es gibt klare Vorschriften über die jeweiligen Verantwortlichkeiten innerhalb der IT-Abteilung.
- Es liegt eine schriftliche, dokumentierte Risikobewertung und Festlegung geeigneter Maßnahmen in Bezug auf den Datenschutz (inkl. Datenschutz durch Technikgestaltung) und die Datensicherheit für alle Systeme und Prozesse vor.
- Zusätzlich zu den oben genannten Anforderungen bestehen schriftlich dokumentierte Richtlinien und Vorschriften zur Sicherstellung, dass die gesamte Verarbeitung den Grundsätzen der Rechtmäßigkeit, Fairness und Transparenz, der Zweckbindung, der Datenminimierung, der Genauigkeit, der Speicherbegrenzung und der Integrität und Vertraulichkeit der Verarbeitung entspricht. Der Datenverarbeiter erfüllt alle gesetzlichen Rechenschafts- und/oder Dokumentationspflichten.
- Alle Mitarbeitenden sind über die grundlegenden Anforderungen des Datenschutzes und der Datensicherheit belehrt und geschult worden und haben sich zu deren Einhaltung verpflichtet.
- Es bestehen schriftlich dokumentierte Verfahren zur Sicherstellung, dass (a) betroffene Personen ihre gesetzlichen Rechte in Bezug auf ihre Daten ausüben können und (b) Vorfälle oder Verstöße umgehend gemeldet werden.
- Die IT-Abteilung führt in Zusammenarbeit mit dem/der Datenschutzbeauftragten regelmäßig, mindestens einmal pro Jahr, eine vollständige Risiko- und Sicherheitsanalyse aller technischen und organisatorischen Maßnahmen durch und legt der Geschäftsleitung einen schriftlichen Bericht vor. Die Geschäftsleitung kann bei Bedarf zusätzliche Prüfungen anordnen. Falls Verstöße festgestellt werden, werden auch Maßnahmen zur Behebung der Verstöße dokumentiert
