„Wir konnten uns erneut davon überzeugen, dass das BKMS® Compliance System durch ein besonders hohes Maß an Datensicherheit und sehr differenzierte Zugriffsrechte den Schutz und die Vertraulichkeit der personenbezogenen Daten sicherstellt. Mit der Auszeichnung erfüllt die autarke Anwendung bereits die strengen rechtlichen Anforderungen der Datenschutzgrundverordnung.“

– Sebastian Meissner, Leiter der EuroPriSe-Zertifizierungsstelle

„Mit dem BKMS® Incident Reporting ist es der Business Keeper AG gelungen, unter Berücksichtigung der Datenschutzinteressen aller Beteiligten eine gleichsam intelligente wie datenschutzkonforme Lösung zum Whistleblowing bereitzustellen, wie in der EuroPriSe-Zertifizierung bestätigt werden konnte. Ich würde es begrüßen, wenn mehr Unternehmen das Engagement und den Mut zeigen, sich dem Thema Datenschutz so proaktiv zu verschreiben wie es die Business Keeper AG tut.“

– Kirsten Bock, damalige Referatsleiterin, Unabhängiges Landeszentrum für Datenschutz (ULD)

„Der Business Keeper AG ist es gelungen, ein Hinweisgebersystem zu etablieren, welches nicht nur den europäischen Rahmenbedingungen, sondern auch den strengen deutschen Datenschutzvorgaben Rechnung trägt. Mit den getroffenen Maßnahmen zum Datenschutz hebt sich das BKMS® Incident Reporting aus unserer Sicht deutlich von anderen Hinweisgebersystemen ab.“

– Dr. Irene Karper, Sachverständige (Recht), datenschutz cert GmbH

„Die Transparenz der Datenverarbeitung, die technisch-organisatorischen Maßnahmen und der Schutz des Hinweisgebers sind durch die Business Keeper AG über eine Datenschutzfunktion und umfangreiche, Vertrauen schaffende Informationen hierzu in vorbildlicher Weise umgesetzt worden.“

– Dr. Thilo Weichert, damaliger Leiter des ULD

„Die Auszeichnung des BKMS® Compliance Systems mit dem europäischen Datenschutzsiegel ist ein deutliches Signal an unsere Kunden sowie die Hinweisgeber selbst, dass wir den Datenschutz bei einem so sensiblen Thema wie der Meldung von Missständen und Korruptionsvorfällen sehr ernst nehmen. Das EuroPriSe-Siegel ergänzt die bereits vorhandenen technischen Sicherheitszertifikate, die für das BKMS® Compliance System vorliegen, in vortrefflicher Weise unter Berücksichtigung der datenschutzrechtlichen Gesichtspunkte.“

– Kenan Tur, Gründer und Vorstand der Business Keeper AG
kontakt

Datenschutz und Informationssicherheit

Datenschutz und Informationssicherheit sind die Grundpfeiler des BKMS® Compliance Systems.

Für uns hat der Schutz von Daten und Anwendern des BKMS® Compliance Systems oberste Priorität. Dabei haben wir nachweislich zu keinem Zeitpunkt interpretierbaren Zugriff auf die Meldungs- und Falldaten unserer Kunden und ihrer Hinweisgeber. Hierzu stellen wir uns freiwillig regelmäßigen externen Überprüfungen durch unabhängige Stellen. Neben der datenschutzfreundlichen Ausgestaltung des BKMS® Compliance Systems, einschließlich vieler Funktionen zur Umsetzung datenschutzrechtlicher Anforderungen, unterstützen wir unsere Kunden mit Best Practice Informationen zum datenschutzkonformen Einsatz des Hinweisgebersystems.

Die folgenden Zertifizierungen bestätigen das herausragende Datenschutz- und Informationssicherheitsniveau des BKMS® Compliance Systems. Sie stehen sinnbildlich für die besonders hohen Anforderungen, die wir an unser Unternehmen und das BKMS® Compliance System stellen.

EuroPriSe-Siegel

Das European Privacy Seal (EuroPriSe) bescheinigt die Konformität mit europäischem Datenschutzrecht. In einem mehrstufigen Evaluierungs- und Zertifizierungsprozess durch unabhängige IT- und Rechtsgutachter wurde die Datenschutzkonformität des gesamten BKMS® Compliance Systems mit den geltenden, öffentlich einsehbaren Kriterien unter Berücksichtigung der Anforderungen der EU-Datenschutzgrundverordnung (EU-DSGVO) abgeglichen.

Im Rahmen des Zertifizierungsverfahrens wurde festgestellt, dass die getroffenen technisch-organisatorischen Maßnahmen zur Datensicherheit und zum Datenschutz die gesetzlichen Anforderungen übertreffen. Das Siegel ist zwei Jahre gültig und beinhaltet ein regelmäßiges Monitoring im Abstand von acht Monaten durch die unabhängigen IT- und Rechtsgutachter sowie die EuroPriSe-Zertifizierungsstelle. 

Seit der 2013 durchgeführten Erst-Zertifizierung wird das BKMS® Incident Reporting alle zwei Jahre erfolgreich rezertifiziert. Im Jahr 2020 konnte die Zertifizierung auf die Module BKMS® Translation, BKMS® VoiceIntake, BKMS® Case Management, BKMS® Third Party und BKMS® Business Approvals erfolgreich erweitert werden.

Das BKMS® Compliance System ist mit seinen verschiedenen Modulen die umfassendste und erste Compliance Lösung weltweit, die nach den strengen EuroPriSe Kriterien zertifiziert ist.

ISO 27001-Zertifizierung

Das Informationssicherheitsmanagementsystem (ISMS) der Business Keeper AG wurde gemäß ISO 27001 zertifiziert. Der Geltungsbereich der Zertifizierung ist der sichere Betrieb des BKMS® Compliance Systems. Besonderes Augenmerk wurde dabei auf die sichere Softwareentwicklung sowie den hochverfügbaren Betrieb des BKMS® Compliance Systems gelegt. Damit erfüllt das BKMS® Compliance nachweislich wesentlich höhere Anforderungen an die Datensicherheit verglichen mit Systemen anderer Anbieter, bei denen in der Regel nur das ISMS des Hochsicherheitsrechenzentrums gemäß ISO 27001 zertifiziert ist.

Der international etablierte Standard ISO 27001 legt Anforderungen an ein umfassendes Informationssicherheitsmanagementsystem in Organisationen fest, mit dem Verfügbarkeit, Integrität und Vertraulichkeit von Informationen sichergestellt werden sollen. Ausgangspunkt ist die Analyse möglicher Bedrohungen für IT-Systeme und Informationen. Im Anschluss daran werden die notwendigen technisch-organisatorischen Schutzmaßnahmen definiert und umgesetzt. Die getroffenen Sicherheitsmechanismen zur Aufrechterhaltung und fortlaufenden Verbesserung der IT-Sicherheit der Organisation werden regelmäßig kontrolliert und aktualisiert.

Penetrationstest

Zur Qualitätssicherung werden regelmäßig Penetrationstests von externen und international bekannten Sicherheitsdienstleistern durchgeführt. Diese bestätigen, dass keine bekannten sicherheitsrelevanten Schwachstellen im BKMS® Compliance System existieren. Eine aktuelle Bestätigung der regelmäßigen Überprüfung ist jederzeit öffentlich einsehbar.

Haben Sie Fragen zu unseren Zertifizierungen?

Kontaktieren Sie uns

Weitere Sicherheitsmaßnahmen im BKMS® Compliance System

Hochsicherheitsrechenzentrum

Das BKMS® Compliance System wird auf autarken Servern in einem Hochsicherheitsrechenzentrum der Sicherheitsklasse Tier 3+ betrieben, das ein überdurchschnittlich hohes Niveau an physischer Sicherheit bietet. Das Rechenzentrum ist nach ISO 27001:2013 zertifiziert. Die Administration und Pflege der BKMS®-Server obliegt ausschließlich den internen IT-Experten der Business Keeper AG.

Serverzertifikat

Der BKMS®-Server besitzt ein erweitertes Servervalidierungszertifikat, mit dem eine eindeutige, sichere Legitimation gewährleistet wird. Damit ist sichergestellt, dass alle Meldungen und Korrespondenzen über eine eindeutige TLS-Verbindung stattfinden. TLS sichert die Kommunikation zwischen dem Browser des Kunden sowie des Hinweisgebers und dem BKMS®-Server durch standardisierte kryptographische Mechanismen.

Sichere Datenübertragung und Datenhaltung

Die sicherheitskritische Datenübertragung zwischen Hinweisgeber bzw. Hinweisbearbeiter und dem BKMS® Incident Reporting ist durch eine https-Verbindung geschützt. Hinweisgeber- und Bearbeiterbereich sind auf dem Server strikt getrennt; die Verarbeitung der für Kunden betriebenen Systeme erfolgt datentechnisch separiert. Die starke Verschlüsselung im BKMS® Compliance System ergänzt diese Trennung, sodass eine unrechtmäßige Verquickung der Daten ausgeschlossen werden kann.

Protokollierung und Cookies

Es werden keine IP-Adressdaten, Zeitstempel oder Metadaten bei der Nutzung des BKMS® Systems durch Hinweisgeber protokolliert.

Während der Benutzung des BKMS® Incident Reportings hat der Server keine Möglichkeit, den Client (Computer des Anwenders) eindeutig zu erkennen. Um während einer Session einen Client eindeutig zuordnen zu können, wird von der Anwendung ein Null-Cookie auf den Anwendercomputer übertragen. Dieses ausschließlich für die aktuelle Verbindung genutzte Null-Cookie enthält lediglich eine Identifikationsnummer für die laufende Session und wird durch Schließen des Browsers ungültig. Diese Sessionnummer hat keinen Bezug zum Hinweisgeber oder zu den Meldungsdaten und ist nur aus technischen Gründen notwendig.

Auftragsverarbeitung für unsere Kunden

Obwohl wir keinen inhaltlichen Zugriff auf die Meldungen einschließlich möglicher Dateianhänge unserer Kunden haben, sind wir Auftragsverarbeiter im Sinne des Art. 28 EU-DSGVO. Daher erfüllen wir alle technischen und organisatorischen Maßnahmen, die gemäß Art. 32 EU-DSGVO von Verantwortlichen und Auftragsverarbeitern zur Sicherheit der Verarbeitung gefordert werden. Unser Datenschutz und IT-Sicherheitsteam unterstützt Kunden bei der Erfüllung datenschutzrechtlicher Anforderungen aus der Auftragsverarbeitung.

Kontaktieren Sie uns jetzt für ein persönliches Gespräch:

Weitere Informationen finden Sie in unseren Datenschutzbestimmungen