Datenschutzkonzept

Präambel

Die RiskSecure GmbH ist als technologieorientiertes Sicherheits- und Beratungsunternehmen tätig. Der Schwerpunkt unserer Leistungen liegt in der Konzeption, dem Betrieb und der Bewertung moderner Sicherheitslösungen, insbesondere im Umfeld von Notruf- und Serviceleitstellen (NSL/ARC), digitalen Leitstellenarchitekturen, technischen Sicherheitslösungen sowie normnahen Prüf- und Bewertungsmodellen (u. a. ROA-Standard).

Der Schutz personenbezogener Daten besitzt für RiskSecure einen besonders hohen Stellenwert. Unsere Dienstleistungen bewegen sich regelmäßig in sicherheitskritischen, teilweise KRITIS-nahen Umfeldern. Entsprechend verstehen wir Datenschutz nicht als formale Pflicht, sondern als integralen Bestandteil von Informationssicherheit, Vertrauensschutz und unternehmerischer Verantwortung.

Ziel dieses Datenschutz- und Informationssicherheitskonzeptes ist es, die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität personenbezogener und geschäftskritischer Daten über alle Phasen der Informationsverarbeitung hinweg risikobasiert und architekturabhängig sicherzustellen. Neben der Einhaltung der Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) werden technische und organisatorische Maßnahmen implementiert, die dem hohen Sicherheitsanspruch von RiskSecure gerecht werden.

1. Einordnung und Selbstverständnis

Dieses Datenschutzkonzept beschreibt das Datenschutz- und Informationssicherheitsverständnis der RiskSecure GmbH in einer auditfesten, zugleich aber bewusst nicht konzernhaften Struktur.

RiskSecure ist kein klassischer Bewachungs- oder Sicherheitskonzern. Das Unternehmen agiert als technologiegetriebener Sicherheitsarchitekt, Bewertungsinstanz und Betreiber moderner Leitstellen- und Sicherheitsmodelle. Datenschutz wird daher nicht isoliert als Compliance-Thema verstanden, sondern als integraler Bestandteil der Sicherheitsarchitektur.

Das Datenschutzkonzept ist so aufgebaut, dass es sowohl den Anforderungen von Aufsichtsbehörden und Auditoren genügt als auch die neue Leitstellen- und Sicherheitsdenke von RiskSecure widerspiegelt.

2. Datenschutz als Sicherheitsprinzip

RiskSecure betrachtet Datenschutz als Teil eines ganzheitlichen Schutzmodells, das sich an realen Bedrohungslagen, Angriffsflächen und Betriebsmodellen orientiert.

Zentrale Schutzziele sind:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Authentizität
  • Nachvollziehbarkeit

Datenschutzmaßnahmen werden risikobasiert definiert und nicht pauschal oder schematisch angewendet.

3. Datenarten im RiskSecure-Kontext

3.1 Personenbezogene Daten

  • Beschäftigten- und Bewerberdaten
  • Kunden- und Ansprechpartnerdaten
  • Kommunikations- und Kontaktdaten
  • Protokoll- und Zugriffsdaten

3.2 Sicherheits- und betriebsrelevante Daten

  • Leitstellen- und Betriebsarchitekturen
  • Alarm-, Ereignis- und Prozessdaten
  • Bewertungen, Audits und Sicherheitsanalysen
  • Technische Dokumentationen und Konzepte

Diese Daten unterliegen regelmäßig einem erhöhten Schutzbedarf, da ein Missbrauch erhebliche sicherheitsrelevante oder wirtschaftliche Schäden verursachen kann.

4. Betriebsmodelle und Datenschutzlogik

RiskSecure berücksichtigt unterschiedliche Betriebs- und Organisationsmodelle:

4.1 Zentrale Betriebsmodelle

Datenschutzmaßnahmen orientieren sich an klar abgegrenzten Systemen, Zugriffsrollen und physischen Schutzmaßnahmen.

4.2 Technisch substituierte Modelle

Bauliche oder organisatorische Maßnahmen werden teilweise durch technische Sicherheitsmechanismen ersetzt (z. B. Verschlüsselung, starke Authentifizierung, Systemhärtung).

4.3 Dezentrale und hybride Modelle

Dezentrale Arbeitsplätze und verteilte Operatoren werden durch:

  • rollenbasierte Zugriffskonzepte
  • Mehrfaktor-Authentifizierung
  • Geräte- und Arbeitsplatzfreigaben
  • kontinuierliche Überwachung und Protokollierung abgesichert.

5. Datenschutz-Grundsätze (DS-GVO-konform)

Die Verarbeitung personenbezogener Daten erfolgt nach folgenden Grundsätzen:

  • Rechtmäßigkeit, Transparenz und Fairness
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Diese Grundsätze werden funktional umgesetzt und regelmäßig überprüft.

6. Rechte der betroffenen Personen

RiskSecure gewährleistet die vollständige Umsetzung der Betroffenenrechte gemäß Art. 15–22 DS-GVO. Anfragen werden strukturiert, nachvollziehbar und fristgerecht bearbeitet.

7. Organisation, Rollen und Verantwortlichkeiten

  • Geschäftsführung: Gesamtverantwortung
  • Datenschutzkoordination / Datenschutzbeauftragter (intern oder extern): Beratung, Überwachung, Schnittstelle zu Behörden
  • Fachverantwortliche: Umsetzung in den jeweiligen Prozessen

Zugriffe erfolgen strikt nach dem Need-to-know-Prinzip.

8. Datenschutz-Folgenabschätzung und Risikobewertung

Verarbeitungstätigkeiten mit erhöhtem Risiko werden vor Einführung bewertet. Datenschutz-Folgenabschätzungen werden dokumentiert und regelmäßig überprüft.

9. Schulung und Sicherheitsbewusstsein

Alle Mitarbeitenden werden regelmäßig sensibilisiert und geschult. Der Fokus liegt auf sicherheitskritischen Rollen, insbesondere im Umfeld von Leitstellen, Bewertungen und technischen Analysen.

10. Schutzklassifizierung

Daten werden anhand ihres Schadenspotenzials klassifiziert. Maßgeblich sind Auswirkungen auf:

  • Betroffene Personen
  • Kunden und Auftraggeber
  • Sicherheitsniveau und Betriebsfähigkeit
  • Reputation und wirtschaftliche Stabilität

11. Wirksamkeitskontrolle und Weiterentwicklung

Das Datenschutz- und Informationssicherheitskonzept wird regelmäßig überprüft und fortgeschrieben. Erkenntnisse aus Audits, Projekten und neuen Bedrohungslagen fließen kontinuierlich ein.

Stand: 14.12.2025