Informationssicherheits- und Datenschutzleitlinie
1. Unternehmen
Die Access 2 Justice GmbH ist die führende Plattform für Studienfinanzierung in Deutschland und mit meinBafög.de sowie dasElterngeld.de seit 2017 das führende Legal-Tech Start-Up bei der Digitalisierung von Gesetzen auf öffentliche Leistungen. Das Ziel der Access 2 Justice GmbH ist hierbei, Studierenden und Eltern über meinBafög.de und dasElterngeld.de die Möglichkeit zu geben, einen BAföG-Antrag bzw. Elterngeld-Antrag vollständig digital zu erstellen. Bei der Erstellung werden die Nutzer und Nutzerinnen durch verschiedene Abfragen geleitet, deren juristische Texte auf ein verständliches Sprachniveau übersetzt sind.
Bei der Ermittlung des Finanzierungsbedarf kann der BAföG-Antrag als Ankerprodukt bei der Ermittlung des Finanzierungsbedarfs der Studierenden gesehen werden. Das Ziel der Access 2 Justice GmbH ist dabei, den Studierenden auf Basis der vorliegenden Informationen bei größerem Finanzierungsbedarf mit weiteren Produkten zu helfen. Eines dieser Produkte ist der KfW-Studienkredit, bei dem die Access 2 Justice GmbH akkreditierter digitaler Vertriebspartner ist.
2. Anwendungsbereich der Leitlinie
Diese Informationssicherheits- und Datenschutzleitlinie gilt für die gesamte Access 2 Justice GmbH und ist verbindlich für alle Mitarbeitende.
3. Informationssicherheits- und Datenschutzziele
Die generellen Zielvorgaben des Informationssicherheits- und Datenschutzmanagementsystems von Access 2 Justice sind die folgenden:
- Verbesserung des Images am Markt
- Einhaltung von Sicherheitsanforderungen seitens der Kunden und Partner
- Reduktion der Schäden durch Sicherheitsvorfälle
Einhaltung der datenschutzrechtlichen Vorgaben (DSGVO, LDSG)
Diese Ziele stimmen mit den Geschäftszielen, der Strategie und den Geschäftsplänen der Organisation überein. Alexander Rodosek (Leiter Finanzen und Recht) ist für die Überprüfung dieser generellen ISMS-Zielvorgaben und für die Definition neuer Zielvorgaben verantwortlich.
Damit diese Ziele erreicht werden können, strebt die Access 2 Justice GmbH die Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen an. Insbesondere die Vertraulichkeit von Kundendaten und anderen personenbezogenen Daten muss gewährleistet sein.
4. Informationssicherheits- und Datenschutzmanagementorganisation
Die Access 2 Justice GmbH hat eine externe Datenschutzbeauftragte und einen externen Informationssicherheitsbeauftragten. Diese beraten und unterstützen die Geschäftsleitung und alle sonstigen Beteiligten beim Aufbau und der Pflege eines integrierten Informationssicherheits- und Datenschutzmanagementsystems.
Alle Mitarbeitenden haben die Verpflichtung, die internen Sicherheits- und Datenschutzvorgaben einzuhalten und werden diesbezüglich regelmäßig unterrichtet und geschult. Des Weiteren haben sie die Pflicht, alle Informationssicherheits- und Datenschutzvorfälle, Schwachstellen und Störungen zu melden.
Die Basis für Entscheidungen bildet das interne Risikomanagement für den Datenschutz und die Informationssicherheit.
Diese Informationssicherheits- und Datenschutzleitlinie gilt für die gesamte Access 2 Justice GmbH und ist verbindlich für alle Mitarbeitende.
Access 2 Justice hält sich an die gesetzlichen Vorgaben zum Datenschutz, zum Arbeitsrecht und an weitere Compliance-Anforderungen. Insbesondere pflegt Access 2 Justice ein Verzeichnis von Verarbeitungstätigkeiten, schließt Auftragsverarbeitungsverträge und Service Level Agreements mit externen Dritten und informiert transparent über die Verarbeitung von personenbezogenen Daten.
5. Verbesserung der Informationssicherheit und der Datenschutzprozesse
Die Organisation und die Ziele zum Datenschutz und zur Informationssicherheit werden kontinuierlich überprüft und verbessert. Die Access 2 Justice GmbH bewertet und misst daher regelmäßig die Performance des Informationssicherheits- und Datenschutzmanagementsystems.
Die Geschäftsleitung ist verantwortlich für die Festlegung der Methode, der Erfüllungsgrad der Zielvorgaben gemessen wird. Die Bewertung/Messung wird mindestens einmal jährlich durchgeführt. Hierzu werden u.a. interne Audits und Tests durchgeführt, um geeignete Verbesserungsmaßnahmen zu identifizieren und umzusetzen.
6. Erklärung
Hiermit erklärt die Geschäftsleitung, dass die ISMS-Implementierung und deren kontinuierliche Weiterverbesserung mit geeigneten Ressourcen unterstützt werden, um alle in dieser Leitlinie genannten Zielvorgaben zu erfüllen.
Dieses Dokument ist gültig ab 10.08.2023.
Du kannst die Leitlinie hier als PDF herunterladen.