Obwohl die Business Keeper AG keinen inhaltlichen Zugriff auf die Meldungen ihrer Kunden hat, gilt sie im Sinne des § 11 BDSG als Auftragsdatenverarbeiter für ihre Kunden. Daher erfüllt die Business Keeper AG alle technischen und organisatorischen Maßnahmen, die gemäß Anlage zu § 9 Satz 1 BDSG für die Auftragsdatenverarbeitung gefordert werden:
Zutrittskontrolle: Die gesamte interne Server-Technik der Business Keeper AG befindet sich in verschlossenen Server-Schränken, die wiederum in einem verschlossenen Server-Raum aufgestellt sind. Zutritt zu diesem abgeschlossenen Bereich haben ausschließlich autorisierte firmeninterne Mitarbeiter, die für die Technik verantwortlich sind. Der Bereich ist Alarm gesichert und durch automatische Verschlusssysteme abgeschottet.
Zugangskontrolle: Die Systeme der Business Keeper AG sind durch spezifische Benutzerkennungen und Passwortregelungen geschützt. Für die Passwortvergabe existieren Komplexitäts- und Wiederverwendungsrichtlinien, die einen erhöhten Schutz gewährleisten. Entwicklungs- und Bürokommunikationssysteme sind physikalisch und logisch voneinander getrennt.
Zugriffskontrolle: Jeder Mitarbeiter der Business Keeper AG hat ausschließlich auf die für seinen Verantwortungsbereich relevanten Daten Zugriff. Autorisierungs- und Zugriffsregelungen verhindern in Kombination mit den Zugangskontrollen den unberechtigten Zugriff. Alle Systemzugriffe auf interne Systeme der Business Keeper AG werden protokolliert, soweit nicht autorisierte Zugriffsversuche stattfinden, wird nach mehrfachen Fehlversuchen der Zugriff für den Anwender gesperrt. Die Mitarbeiter der Business Keeper AG sind vertraglich zur Verschwiegenheit verpflichtet und haben sich im Rahmen des Arbeitsverhältnisses den Regeln des Datengeheimnisses (§ 5 BDSG) unterworfen. Es werden regelmäßig Schulungsmaßnahmen und Fortbildungen für den Themenkomplex durchgeführt und die Mitarbeiter sind zu Sorgfalt und Achtsamkeit angehalten.
Weitergabekontrolle: Für alle Mitarbeiter gilt ein strenges Mitnahmeverbot interner Daten. Soweit betriebliche Belange die Mitnahme von Daten erfordern, werden diese durch Passwörter geschützt und nach Gebrauch gelöscht. Die Vernichtung von Datenträgern erfolgt zentralisiert und jeder Vorgang wird protokolliert.
Eingabekontrolle: Die Erfassung und Verarbeitung von Auftragsdaten wird ausschließlich in einem mit dem jeweiligen Kunden vertraglich festgelegten Verfahren durchgeführt.
Auftragskontrolle: Die Business Keeper AG stellt sicher, dass die Datenverarbeitung in ihren Systemen entsprechend den gesetzlichen Regelungen und den vertraglichen Vereinbarungen mit dem Kunden geschieht. Zu diesem Zweck werden mit dem Kunden Festlegungen über die vertraglichen Leistungen geschlossen.
Verfügbarkeitskontrolle: Die Business Keeper AG betreibt ein mehrstufig ausgelegtes Sicherheitskonzept, das regelmäßig kontrolliert und protokolliert wird. Dafür sind alle serverseitigen Datenverarbeitungssysteme redundant ausgelegt und es werden tägliche Sicherungsmaßnahmen mit anschließender Überprüfung und Archivierung durchgeführt. Weiterhin erfolgt eine wöchentliche Vollsicherung, die sicherstellt, dass im Notfall eine schnellstmögliche Wiederherstellung gesichert ist. Die Servertechnik ist durch ausreichende Notstromversorgung abgesichert. Alle Systeme der Business Keeper AG unterliegen der geregelten Kontrolle und Wartung durch eigenes Fachpersonal und durch vertraglich gebundene Servicetechniker. Die Verpflichtungen zur Verfügbarkeit der im Kundenauftrag betriebenen Systeme werden individuell im Einzelfall vertraglich geregelt.
Trennungskontrolle: Im Rahmen der betrieblich veranlassten Datenverarbeitung sind Entwicklungs-, Test- und Produktionsdatenverarbeitung voneinander getrennt. Damit wird dem Trennungsgebot des BDSG Rechnung getragen. Die Verarbeitung der für den Kunden betriebenen Systeme erfolgt datentechnisch separiert. Umfangreiche Verschlüsselungsmechanismen ergänzen die Trennung, so dass eine unrechtmäßige Verquickung der Daten ausgeschlossen werden kann.
Datenschutzhinweise zum BKMS® System finden Sie hier.
Datenschutzhinweise zu unserer Website finden Sie hier.