Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

3A2 Datenschutz- und IT-Sicherheitskonzept

Facility Management: Security » Ausschreibung » Bewachungsvertrag » 3A2 Datenschutz- und IT-Sicherheitskonzept

Datenschutz- und IT-Sicherheitskonzept

Datenschutz- und IT-Sicherheitskonzept

Deckblatt & Identifikation

Identifikation

Dienstleister (vollständiger rechtlicher Name): [Name des Dienstleisters]

Eingetragene Geschäftsadresse: [Straße, Postleitzahl, Ort]

Kontakt (Telefon, E-Mail): [Telefonnummer; E-Mail-Adresse]

Datum der Einreichung: [TT.MM.JJJJ]

Ausschreibungsreferenznummer: [Referenznummer]

Unterschrift des bevollmächtigten Vertreters: __________________________

Firmenstempel: __________________________

Zweck und Zielsetzung

Dieses Dokument beschreibt das Datenschutz- und IT-Sicherheitskonzept des Dienstleisters. Ziel ist es, sämtliche technischen und organisatorischen Maßnahmen darzulegen, mit denen personenbezogene, geschäftskritische und vertrauliche Daten wirksam geschützt werden. Das Konzept stellt sicher, dass alle IT-Systeme und digitalen Kommunikationskanäle, die zur Leistungserbringung eingesetzt werden, vor unbefugtem Zugriff, Missbrauch und Cyberbedrohungen geschützt sind. Ferner gewährleistet es die vollständige Einhaltung aller relevanten vertraglichen Verpflichtungen, gesetzlichen Anforderungen und Branchenstandards in Bezug auf Datenschutz und IT-Sicherheit.

Geltungsbereich des Konzepts

Der Geltungsbereich dieses Konzepts umfasst alle Daten und IT-Systeme, die bei der Erbringung der vertraglich vereinbarten Sicherheitsdienstleistungen genutzt werden. Dies schließt sowohl die im Auftrag des Kunden verarbeiteten Daten als auch die internen Daten des Dienstleisters ein, soweit diese der Vertragserfüllung dienen. Das Konzept gilt für alle Einsatzumgebungen – vor Ort beim Kunden, in den Geschäftsräumen des Dienstleisters, im mobilen Einsatz sowie in allen im Rahmen der Leistungserbringung genutzten Cloud-Plattformen.

Rechtliche und regulatorische Konformität

Der Dienstleister beachtet alle anwendbaren Datenschutzgesetze und -vorschriften. Insbesondere werden die Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) strikt eingehalten. Zudem richtet sich das Unternehmen nach anerkannten Informationssicherheitsstandards (z. B. ISO/IEC 27001), um ein hohes Schutzniveau sicherzustellen. Vertragsklauseln zum Datenschutz und mit dem Kunden vereinbarte Vertraulichkeitsvereinbarungen werden gewissenhaft befolgt.

Darüber hinaus verfügt der Dienstleister über sämtliche behördlichen Genehmigungen und Lizenzen, die für die Durchführung von Sicherheitsdienstleistungen erforderlich sind. Insbesondere erfüllt er die Anforderungen des § 34a der Gewerbeordnung (GewO), die nachweisliche Fachkunde und Zuverlässigkeit im Bewachungsgewerbe verlangen. Sämtliche Mitarbeiter sind gemäß diesen gesetzlichen Vorgaben geschult und zertifiziert.

Datenschutzrichtlinie und Datenverarbeitung

Der Dienstleister unterhält eine interne Datenschutzrichtlinie, die den sorgfältigen Umgang mit allen Informationsarten regelt. Sämtliche Daten werden nach einem festgelegten Schema klassifiziert (z. B. öffentlich, intern, vertraulich, streng vertraulich) und es bestehen spezifische Handlungsanweisungen sowie Zugriffsbeschränkungen je Klassifikationsstufe.

Klare Prozesse bestehen für jede Phase des Datenlebenszyklus – von der Erhebung und Speicherung über die Verarbeitung bis zur endgültigen Löschung. Personenbezogene Daten werden nur im für den jeweiligen Zweck erforderlichen Umfang erhoben (Datenminimierung) und ausschließlich zweckgebunden verarbeitet. Die Aufbewahrung erfolgt nur so lange, wie es zur Erfüllung der vertraglichen Verpflichtungen und gemäß den gesetzlichen Aufbewahrungsfristen erforderlich ist. Nach Wegfall des Zwecks oder Ablauf der Fristen werden die Daten gemäß festgelegten Verfahren sicher gelöscht oder anonymisiert.

Zugriffskontrollen sind nach dem Need-to-know-Prinzip ausgestaltet. Praktisch bedeutet dies, dass nur autorisierte Personen im Rahmen ihrer Rolle auf die für ihre Aufgaben erforderlichen Informationen zugreifen dürfen, gemäß dem Prinzip der minimalen Rechte. Zudem werden alle sensiblen Daten nach dem Stand der Technik verschlüsselt – sowohl bei der Übertragung („Data in Transit“, z. B. via SSL/VPN) als auch bei der Speicherung („Data at Rest“).

IT-Sicherheitsmaßnahmen

  • Netzwerksicherheit: Einsatz von Firewalls zur Filterung und Absicherung des Netzwerkverkehrs sowie von Intrusion-Detection- und Intrusion-Prevention-Systemen (IDS/IPS) zur frühzeitigen Erkennung und Abwehr von Angriffen. Netzwerksegmentierung zum Schutz kritischer Systeme.

  • Endgeräteschutz: Ausrüstung aller Server und Arbeitsstationen mit aktueller Anti-Virus- und Anti-Malware-Software. Mobile Geräte (z. B. Laptops) sind durch vollständige Festplattenverschlüsselung und Mobile-Device-Management-Policies gesichert. Nur von der IT-Abteilung freigegebene gehärtete Geräte sind zugelassen.

  • Sicherer Fernzugriff: Fernzugriffe erfolgen ausschließlich über sichere VPN-Verbindungen mit Multi-Faktor-Authentifizierung.

  • Patch- und Update-Management: Regelmäßige Installation von Sicherheitsupdates und Patches für alle Systeme; kritische Updates werden unverzüglich eingespielt. Veraltete, nicht mehr unterstützte Software wird zeitnah ersetzt.

Incident-Management

  • Erkennung und Meldung: Etablierte Verfahren zur Systemüberwachung und Vorfallerkennung; Meldepflicht für alle Mitarbeiter; Einsatz automatisierter Monitoring-Tools.

  • Rollen und Verantwortlichkeiten: Benennung eines Incident-Response-Teams mit klar definierten Aufgaben.

  • Klassifizierung und Eskalation: Bewertung und Einstufung gemeldeter Vorfälle nach Schweregrad, Eskalation an das Management und ggf. externe Experten.

  • Kommunikation und Reporting: Unverzügliche Information des Kunden bei relevanten Vorfällen; Meldung an die Aufsichtsbehörde bei meldepflichtigen Datenschutzverletzungen innerhalb von 72 Stunden gemäß DSGVO; lückenlose Dokumentation.

Datensicherung und Wiederherstellung

  • Regelmäßige Backups: Tägliche inkrementelle und wöchentliche Vollsicherungen kritischer Daten.

  • Speicherort und Redundanz: Gesicherte, externe und georedundante Speicherung

  • Wiederanlaufziele (RTO/RPO): Definition tolerierbarer Ausfall- und Datenverlustzeiten.

  • Tests und Integrität: Regelmäßige Wiederherstellungsübungen zur Sicherstellung der Backup-Funktionalität.

Physische Sicherheit der IT-Infrastruktur

  • Zutrittskontrolle: Zugang zu Serverräumen nur für autorisiertes Personal mit elektronischer Zutrittskontrolle und Protokollierung.

  • Videoüberwachung: Überwachung kritischer IT-Bereiche, inkl. Besucherprotokoll.

  • Umgebungsbedingungen: Klima- und Stromversorgungsschutz, USV.

  • Brandschutz: Brandfrüherkennung und geeignete Löschsysteme.

Schulung und Sensibilisierung

  • Grundlagenschulung: Verpflichtende Datenschutz- und IT-Sicherheitsschulungen für alle Mitarbeiter.

  • Awareness-Maßnahmen: Regelmäßige Kampagnen zu aktuellen Bedrohungen.

  • Auffrischungsschulungen: Wiederholung in definierten Intervallen, mit Dokumentation der Teilnahme.

Management von Drittparteien und Lieferanten

  • Vertragsauflagen: AV-Verträge nach Art. 28 DSGVO; ggf. NDAs.

  • Compliance-Überprüfung: Regelmäßige Prüfung, Nachweise wie Zertifikate oder Auditberichte.

  • Sicherer Datenaustausch: Nur über verschlüsselte Kanäle; Prinzip der Datenminimierung.

Monitoring und kontinuierliche Verbesserung

  • Audits und Tests: Interne und externe Prüfungen, Penetrationstests, Schwachstellenanalysen.

  • Review und Aktualisierung: Anpassung nach Vorfällen oder Gesetzesänderungen.

  • Kennzahlen und KVP: Erfassung relevanter KPIs zur Leistungsbewertung und Verbesserung.

Unterschrift und Genehmigung

Name: __________________________

Position: __________________________

Unterschrift: __________________________

Datum: __________________________

Firmenstempel: __________________________