Datenschutz ist ein gesellschaftlich breit diskutiertes Thema, das mit fortschreitender Digitalisierung immer wichtiger wird. Seit 2018 ist die Datenschutz-Grundverordnung (DSGVO) der EU in Kraft, die den sorgsamen Umgang von personenbezogenen Daten regelt. Bei EVVA hat es noch nie Beschwerdeverfahren oder Verstöße gegen den Datenschutz gegeben, auch nicht im aktuellen Berichtszeitraum.

Vorsorgemaßnahmen

Unser Unternehmen setzt zahlreiche präventive Maßnahmen, um den Datenschutz für Kunden, Beschäftigte und andere Stakeholder sicherzustellen:

• Zwei eigene Datenschutzkoordinatoren (aus IT und Rechtsabteilung) im Unternehmen sowie ein externer Datenschutzbeauftragter
   
• Kunden- und Produktionsaufträge sind immer voneinander getrennt; Geheimhaltungsvereinbarungen mit Kunden
   
• Alle sicherheitsrelevanten und persönlichkeitsrechtlichen Daten werden bei EVVA selbstverständlich DSGVO-konform verwahrt
   
• Die „Datenschutzerklärung für EVVA-Mitarbeiter/-innen“ – aktualisiert und überreicht im Zuge der DSGVO Anfang 2018 – informiert alle Beschäftigte über ihre Datenschutz-Rechte, aber auch welche Pflichten sie haben, um die Rechte von anderen wie z.B. Kunden zu wahren
   
• Zusätzlich wurden und werden laufend Datenschutz-Schulungen abgehalten. Die EVVA-Rechtsabteilung hat im Berichtszeitraum eine „Datenschutz-Leitlinie für Mitarbeiter:innen“ erarbeitet, die die Grundbegriffe des Datenschutzrechts anschaulich erklärt (z.B. was personenbezogene Daten sind) und Handlungsanleitungen empfiehlt. Warum ist Datenschutz wichtig? Wer haftet bei Verstößen? Wie verhalte ich mich bei einer möglichen Datenschutzverletzung? Welche Rechte und Pflichten habe ich? Die neue Leitlinie beantwortet diese Fragen. Sie ist der Begleiter für datenschutzkonformes Verhalten
   
• Das verwendete Bewerbermanagementsystem gewährleistet, dass die Daten aller Bewerber/-innen bei EVVA richtlinienkonform eingesetzt werden  

• Unser elektronisches Zutrittssystem AirKey hatte schon lange vor 2018, als die DSGVO erst rechtswirksam wurde, diese Vorgaben voll erfüllt. AirKey ist vor allem für Kunden interessant, die ihren Zutritt über das Smartphone regeln wollen und keine eigene IT-Infrastruktur haben oder aufsetzen wollen. Die Berechtigungsdaten werden in einem ISO27001-zertifizierten Rechenzentrum verwahrt. Die EVVA-Verschlüsselungsverfahren (doppelte Verschlüsselung über ECDSA und AES) gehören zu den sichersten der Welt 


• Daten sind im Rechenzentrum mit den hohen rechtlichen Sicherheitsstandards anonym und mehrfach ausfallssicher in verschiedenen Serverräumen gespeichert. Dies schützt die digitalen Schlüssel viel besser, als es mit einer einzelnen individuellen Schutzmaßnahme möglich wäre
   
• Der sichere Datentransport zwischen Internetbrowser und EVVA-Rechenzentrum erfolgt über eine geschützte https-Verbindung – so sicher wie Online-Banking
   
• Zusätzliche zertifizierte Secure Elements (= hochsichere Speicherelemente, die aktiv ver- und entschlüsseln) befinden sich in den Schließkomponenten und den Identifikationsmedien
   
• Gefahren frühzeitig blocken. EVVA setzt ein KI-Programm ein, das bei einer aufgerufenen Webseite prüft, zu welchen Servern in welchen Ländern sie ihre Links weiterleitet. Und ob eine Gefahr davon ausgeht. Das entscheidet, ob diese Webseite aufgerufen werden darf oder nicht. In diese Kategorie fällt auch der bei EVVA installierte erweiterte Spamschutz für E-Mails. Das Tool checkt, wohin die Links in den E-Mails verweisen. Werde ich hier auf eine unsichere Seite weitergeleitet? Dieser Extra-Spamschutz hat nachweislich bereits Phishing-Mails unterbunden
   

Herausforderungen

Genauso wie konventionelle Einbrecher bewährte Sicherheitslösungen immer wieder auf die Probe stellen und daher führende Hersteller wie EVVA laufend innovative Zutrittssysteme entwickeln, muss sich jedes Unternehmen auch auf das stark zunehmende Cyber-Crime vorbereiten.

• In den letzten Jahren hat sich die Gefahr erhöht, dass Cyberkriminelle potenziell gefährliche Viren/Trojaner in Unternehmen einschleusen. Auch bei EVVA hat es diese Versuche gegeben (indem sie z.B. als Rechnungen getarnt wurden), die jedoch alle unterbunden werden konnten. Die EVVA-IT hat entsprechende Schutzmechanismen implementiert. Darüber hinaus informiert sie die Mitarbeiter/-innen laufend über kriminelle Cyber-Crime-Methoden und klärt auf, woran man z.B. verdächtige Mails erkennt
   
• EVVA schafft eine einheitliche IT-Infrastruktur an allen Standorten, um schnittstellenintensive Einzellösungen zu vermeiden (Näheres unter Digitalisierung). Außerdem gibt es fixe Update/Upgrade-Zyklen für alle sicherheitsrelevanten Systeme und Firewalls
   
• EVVA simuliert in Abstimmung mit externen IT-Partnern Hackerangriffe, um mögliche Sicherheitslücken aufzuspüren. Diese Simulationen führt EVVA regelmäßig durch. Außerdem sorgt EVVA mit getrennten Netzwerken Angriffen vor
   
• Ab 2021 hat EVVA ein neues Sicherheitssystem implementiert, dass die Gefahr von Cyber-Attacken weiter minimiert. Ein Schutzschirm kontrolliert die Internetkommunikation noch bevor Daten ins Netzwerk geladen werden. Eine KI prüft alle Verlinkungen und das Verhalten. Handelt es sich um eine Phishing-Seite? Versucht eine vorhandene Schadsoftware mit einem Heimat-Server zu kommunizieren? Das und vieles mehr wird ständig überprüft