„Wir konnten uns erneut davon überzeugen, dass das BKMS® System durch ein besonders hohes Maß an Datensicherheit und sehr differenzierte Zugriffsrechte den Schutz und die Vertraulichkeit der personenbezogenen Daten sicherstellt. Mit der Auszeichnung erfüllt die autarke Anwendung bereits die strengen rechtlichen Anforderungen der Datenschutzgrundverordnung.“

– Sebastian Meissner, Leiter der EuroPriSe-Zertifizierungsstelle

„Mit dem BKMS® System ist es der Business Keeper AG gelungen, unter Berücksichtigung der Datenschutzinteressen aller Beteiligten eine gleichsam intelligente wie datenschutzkonforme Lösung zum Whistleblowing bereitzustellen, wie in der EuroPriSe-Zertifizierung bestätigt werden konnte. Ich würde es begrüßen, wenn mehr Unternehmen das Engagement und den Mut zeigen, sich dem Thema Datenschutz so proaktiv zu verschreiben wie es die Business Keeper AG tut.“

– Kirsten Bock, damalige Referatsleiterin, Unabhängiges Landeszentrum für Datenschutz (ULD)

„Der Business Keeper AG ist es gelungen, ein Hinweisgebersystem zu etablieren, welches nicht nur den europäischen Rahmenbedingungen, sondern auch den strengen deutschen Datenschutzvorgaben Rechnung trägt. Mit den getroffenen Maßnahmen zum Datenschutz hebt sich das BKMS® System aus unserer Sicht deutlich von anderen Hinweisgebersystemen ab.“

– Dr. Irene Karper, Sachverständige (Recht), datenschutz cert GmbH

„Die Transparenz der Datenverarbeitung, die technisch-organisatorischen Maßnahmen und der Schutz des Hinweisgebers sind durch die Business Keeper AG über eine Datenschutzfunktion und umfangreiche, Vertrauen schaffende Informationen hierzu in vorbildlicher Weise umgesetzt worden.“

– Dr. Thilo Weichert, damaliger Leiter des ULD

„Die Auszeichnung des BKMS® Systems mit dem europäischen Datenschutzsiegel ist ein deutliches Signal an unsere Kunden sowie die Hinweisgeber selbst, dass wir den Datenschutz bei einem so sensiblen Thema wie der Meldung von Missständen und Korruptionsvorfällen sehr ernst nehmen. Das EuroPriSe-Siegel ergänzt die bereits vorhandenen technischen Sicherheitszertifikate, die für das BKMS® System vorliegen, in vortrefflicher Weise unter Berücksichtigung der datenschutzrechtlichen Gesichtspunkte.“

– Kenan Tur, Gründer und Vorstand der Business Keeper AG
kontakt

Datenschutz und Informationssicherheit

Datenschutz und Informationssicherheit sind die Grundpfeiler des BKMS® Compliance Systems.

Für uns hat der Schutz von Daten und Anwendern des BKMS® Compliance Systems oberste Priorität. Dabei haben wir nachweislich zu keinem Zeitpunkt interpretierbaren Zugriff auf die Meldungs- und Falldaten unserer Kunden und ihrer Hinweisgeber. Hierzu stellen wir uns freiwillig regelmäßigen externen Überprüfungen durch unabhängige Stellen. Neben der datenschutzfreundlichen Ausgestaltung des BKMS® Compliance Systems, einschließlich vieler Funktionen zur Umsetzung datenschutzrechtlicher Anforderungen, unterstützen wir unsere Kunden mit Best Practice Informationen zum datenschutzkonformen Einsatz des Hinweisgebersystems.

Die folgenden Zertifizierungen bestätigen das herausragende Datenschutz- und Informationssicherheitsniveau des BKMS® Compliance Systems. Sie stehen sinnbildlich für die besonders hohen Anforderungen, die wir an unser Unternehmen und das BKMS® Compliance System stellen.

EuroPriSe-Siegel

Das European Privacy Seal (EuroPriSe) bescheinigt die Konformität mit europäischem Datenschutzrecht. In einem mehrstufigen Evaluierungs- und Zertifizierungsprozess durch unabhängige IT- und Rechtsgutachter wurde die Datenschutzkonformität des BKMS® Systems mit den geltenden, öffentlich einsehbaren Kriterien unter Berücksichtigung der Anforderungen der EU-Datenschutzgrundverordnung (EU-DSGVO) abgeglichen.

Im Rahmen des Zertifizierungsverfahrens wurde festgestellt, dass die getroffenen technisch-organisatorischen Maßnahmen zur Datensicherheit und zum Datenschutz die gesetzlichen Anforderungen übertreffen.

Das Siegel ist zwei Jahre gültig und beinhaltet ein regelmäßiges Monitoring im Abstand von acht Monaten. Seit der 2013 durchgeführten Erst-Zertifizierung wird das BKMS® System alle zwei Jahre erfolgreich rezertifiziert. Dabei wurden Weiterentwicklungen im BKMS® System durch die unabhängigen IT- und Rechtsgutachter sowie die EuroPriSe-Zertifizierungsstelle überprüft. Das BKMS® System ist das erste Hinweisgebersystem weltweit, welches nach den strengen EuroPriSe Kriterien zertifiziert ist.

ULD-Datenschutz-Gütesiegel

Durch das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) wird bestätigt, dass die Vereinbarkeit des BKMS® Systems mit den Vorschriften hinsichtlich des Datenschutzes und der Datensicherheit in einem förmlichen Verfahren festgestellt wurde. Auf dieser Grundlage empfiehlt das ULD den Einsatz des Produktes bei öffentlichen Stellen des Landes. Auch andere Bundesländer befürworten den Einsatz von Produkten mit dem staatlichen Datenschutz-Gütesiegel.

Nach Abschluss des mehrstufigen Verfahrens gemäß Datenschutzgütesiegelverordnung (DSGSVO) bescheinigt das ULD dem BKMS® System die vorbildliche Erfüllung der Kriterien Datenvermeidung, Datensparsamkeit sowie Umsetzung von Betroffenenrechten. Die Ergebnisse der Erst-Zertifizierung aus dem Jahr 2013 konnten durch die in den Jahren 2015 und 2017 erfolgreich absolvierten Rezertifizierungen bestätigt werden. Seit der Anwendung der DSGVO ist es dem ULD leider nur noch möglich, Zertifizierungen für Unternehmen und Behörden mit Sitz in Schleswig-Holstein zu erteilen.

ISO 27001-Zertifizierung

Das Informationssicherheitsmanagementsystem (ISMS) der Business Keeper AG wurde gemäß ISO 27001 zertifiziert. Der Geltungsbereich der Zertifizierung ist der sichere Betrieb des BKMS® Compliance Systems. Besonderes Augenmerk wurde dabei auf die sichere Softwareentwicklung sowie den hochverfügbaren Betrieb des BKMS® Compliance Systems gelegt. Damit erfüllt das BKMS® Compliance nachweislich wesentlich höhere Anforderungen an die Datensicherheit verglichen mit Systemen anderer Anbieter, bei denen in der Regel nur das ISMS des Hochsicherheitsrechenzentrums gemäß ISO 27001 zertifiziert ist.

Der international etablierte Standard ISO 27001 legt Anforderungen an ein umfassendes Informationssicherheitsmanagementsystem in Organisationen fest, mit dem Verfügbarkeit, Integrität und Vertraulichkeit von Informationen sichergestellt werden sollen. Ausgangspunkt ist die Analyse möglicher Bedrohungen für IT-Systeme und Informationen. Im Anschluss daran werden die notwendigen technisch-organisatorischen Schutzmaßnahmen definiert und umgesetzt. Die getroffenen Sicherheitsmechanismen zur Aufrechterhaltung und fortlaufenden Verbesserung der IT-Sicherheit der Organisation werden regelmäßig kontrolliert und aktualisiert.

Sicherheitsmodul

Das Sicherheitsmodul des BKMS® Systems wird von einem unabhängigen öffentlich bestellten und vereidigten Sachverständigen regelmäßig zertifiziert. Gegenstand der Überprüfung sind umfangreiche physikalische und programmtechnische Analysen, welche die Wirksamkeit der im System verwendeten Verschlüsselung nachweisen.

Das ausführliche Gutachten mit Zertifikat (G16 0601 1) bestätigt im Einzelnen:

  • die Anonymität des Hinweisgebers ist geschützt,
  • die Entschlüsselung oder Interpretation der Meldungen durch Dritte oder die Business Keeper AG selbst ist nicht möglich.

Es ist nur autorisierten Bearbeitern des Kunden möglich, die für ihn bestimmten Meldungen nach einem mehrstufigen Anmeldeverfahren unter Verwendung sicherer Passwörter zu entschlüsseln.

Penetrationstest

Zur Qualitätssicherung werden regelmäßig Penetrationstests von externen und international bekannten Sicherheitsdienstleistern durchgeführt. Diese bestätigen, dass keine bekannten sicherheitsrelevanten Schwachstellen im BKMS® Compliance System existieren. Eine aktuelle Bestätigung der regelmäßigen Überprüfung ist jederzeit öffentlich einsehbar.

 

Weitere Sicherheitsmaßnahmen im BKMS® Compliance System

Hochsicherheitsrechenzentrum

Das BKMS® Compliance System wird ausschließlich in einem Hochsicherheitsrechenzentrum der Swisscom AG mit der Sicherheitsklasse Tier IV in der Schweiz betrieben. Das Rechenzentrum ist nach den internationalen Standards ISO/IEC 27001:2013 und ISAE 3402 Typ 2 zertifiziert. Speicherort der Daten ist ausschließlich die Schweiz. Die Administration und Pflege der BKMS®-Server obliegt ausschließlich den internen IT-Experten der Business Keeper AG.

Serverzertifikat

Der BKMS®-Server besitzt ein erweitertes Servervalidierungszertifikat, mit dem eine eindeutige, sichere Legitimation gewährleistet wird. Damit ist sichergestellt, dass alle Meldungen und Korrespondenzen über eine eindeutige TLS-Verbindung stattfinden. TLS sichert die Kommunikation zwischen dem Browser des Kunden sowie des Hinweisgebers und dem BKMS®-Server durch standardisierte kryptographische Mechanismen.

Sichere Datenübertragung und Datenhaltung

Die sicherheitskritische Datenübertragung zwischen Hinweisgeber bzw. Hinweisbearbeiter und dem BKMS® System ist durch eine https-Verbindung geschützt. Hinweisgeber- und Bearbeiterbereich sind auf dem Server strikt getrennt; die Verarbeitung der für Kunden betriebenen Systeme erfolgt datentechnisch separiert. Die starke Verschlüsselung im BKMS® Compliance System ergänzt diese Trennung, sodass eine unrechtmäßige Verquickung der Daten ausgeschlossen werden kann.

Protokollierung und Cookies

Es werden keine IP-Adressdaten, Zeitstempel oder Metadaten bei der Nutzung des BKMS® Systems durch Hinweisgeber protokolliert.

Während der Benutzung des BKMS® Systems hat der Server keine Möglichkeit, den Client (Computer des Anwenders) eindeutig zu erkennen. Um während einer Session einen Client eindeutig zuordnen zu können, wird von der Anwendung ein Null-Cookie auf den Anwendercomputer übertragen. Dieses ausschließlich für die aktuelle Verbindung genutzte Null-Cookie enthält lediglich eine Identifikationsnummer für die laufende Session und wird durch Schließen des Browsers ungültig. Diese Sessionnummer hat keinen Bezug zum Hinweisgeber oder zu den Meldungsdaten und ist nur aus technischen Gründen notwendig.

Auftragsverarbeitung für unsere Kunden

Obwohl wir keinen inhaltlichen Zugriff auf die Meldungen einschließlich möglicher Dateianhänge unserer Kunden haben, sind wir Auftragsverarbeiter im Sinne des Art. 28 EU-DSGVO. Daher erfüllen wir alle technischen und organisatorischen Maßnahmen, die gemäß Art. 32 EU-DSGVO von Verantwortlichen und Auftragsverarbeitern zur Sicherheit der Verarbeitung gefordert werden. Unser Datenschutz und IT-Sicherheitsteam unterstützt Kunden bei der Erfüllung datenschutzrechtlicher Anforderungen aus der Auftragsverarbeitung.

Bei uns sind Ihre Daten sicher

ISO 27001-Zertifikat
BKMS® Compliance System
Datenschutz-Gütesiegel BKMS® System