EAO Informationssicherheit und Datenschutz bei der EAO AG.

Wir nehmen Sicherheit ernst – und gestalten sie gemeinsam mit Ihnen.

Liebe Geschäftspartner,

Vertrauen ist die Grundlage jeder erfolgreichen Zusammenarbeit. Bei der EAO AG haben wir uns daher verpflichtet, höchste Standards bei der Informationssicherheit und dem Datenschutz nicht nur zu erfüllen, sondern aktiv zu leben. Dieses Whitepaper gibt Ihnen einen Überblick über die Sicherheitsstandards, die bei uns standortübergreifend gelten.

1. UNSERE VISION: SICHERHEIT ALS FUNDAMENT DES VERTRAUENS

Bei EAO verstehen wir Informationen und IT-Assets als wertvolle geschäftliche Ressourcen. Der Schutz dieser Ressourcen ist für uns kein lästiges Regelwerk, sondern gelebte Unternehmenskultur. Wir möchten, dass Sie sich bei der Zusammenarbeit mit uns sicher fühlen – und das beginnt mit Transparenz über unsere Standards.

2. UNSERE MANAGEMENTSYSTEME: STRUKTUR MIT SYSTEM

2.1 Informationssicherheitsmanagementsystem (ISMS)

Über alle EAO-Standorte hinweg leben wir ein professionelles Informationssicherheitsmanagementsystem, orientiert am Standard ISO 27001. Dieses System stellt sicher, dass Ihre Daten und Informationen systematisch geschützt werden – durch technische Maßnahmen, organisatorische Prozesse und geschulte Mitarbeitende.

2.2 TISAX-Zertifizierung am Standort Auerbach

Unser Standort in Auerbach ist nach TISAX zertifiziert – dem anerkannten Standard der Automobilindustrie für Informationssicherheit. Diese Zertifizierung bestätigt unabhängig, dass wir die hohen Anforderungen der Automotive-Branche erfüllen und kontinuierlich überwachen.

2.3 Datenschutzmanagementsystem (DSMS)

Parallel zu unserem ISMS betreiben wir ein umfassendes Datenschutzmanagementsystem, das sicherstellt, dass personenbezogene Daten im Einklang mit der DSGVO und anderen geltenden Datenschutzvorschriften verarbeitet werden.

3. UNSERE SCHUTZZIELE: WAS UNS WICHTIG IST

Wir orientieren uns an klaren Schutzzielen, die sowohl die Informationssicherheit als auch den Datenschutz umfassen:

3.1 Integrität

Informationen werden vor unbefugter und unbemerkter Änderung geschützt.

3.2 Vertraulichkeit

Informationen werden vor unbefugter Offenlegung geschützt – nur berechtigte Personen haben Zugriff.

3.3 Verfügbarkeit

Die Funktionsfähigkeit unserer Systeme und die Nutzbarkeit von Informationen sind jederzeit gewährleistet.

3.4 Authentizität

Die Echtheit von Informationen und die Identität der Kommunikationspartner werden nachgewiesen.

3.5 Zurechenbarkeit

Verantwortlichkeiten für Handlungen und Entscheidungen sind klar definiert und werden dokumentiert.

3.6 Datenschutz

Personenbezogene Daten werden besonders geschützt und ausschließlich rechtmäßig verarbeitet.

4. UNSERE ORGANISATIONSSTRUKTUR: KLARE VERANTWORTLICHKEITEN

Um diese hohen Standards umzusetzen, haben wir klare Rollen und Verantwortlichkeiten definiert:

4.1 Chief Information Security Officer (CISO)

Verantwortlich für die strategische Ausrichtung und Überwachung der Informationssicherheit im gesamten EAO-Konzern.

4.2 Datenschutzbeauftragter (DPO)

Ihr Ansprechpartner für alle Fragen rund um den Datenschutz – intern wie extern. Der DPO überwacht die Einhaltung der Datenschutzvorschriften und berät bei datenschutzrelevanten Projekten.

4.3 Information Security Delegates (ISD)

An jedem EAO-Standort gibt es einen ISD, der als lokaler Ansprechpartner für Informationssicherheitsfragen fungiert und die Umsetzung der Sicherheitsrichtlinien vor Ort koordiniert.

4.4 Informationssicherheitszirkel

Regelmäßig tagt unser Informationssicherheitszirkel, in dem CISO, DPO und alle ISDs zusammenkommen, um Vorfälle zu besprechen, Audit-Ergebnisse zu bewerten und kontinuierliche Verbesserungen voranzutreiben.

5. WAS WIR VON EXTERNEN PARTNERN ERWARTEN

Als externer Partner sind Sie ein wichtiger Teil unseres Sicherheitskonzepts. Deshalb möchten wir Sie bitten, folgende Grundsätze zu beachten:

5.1 Vertraulichkeit

Behandeln Sie alle EAO-Informationen vertraulich. Geben Sie Informationen nur an Personen weiter, die Sie für die Aufgabenerfüllung benötigen. Beschränken Sie den Zugang zu EAO-Informationen konsequent auf das sogenannte Need-to-know-Prinzip: Zugriff erhalten nur diejenigen Personen, die die jeweiligen Informationen zur Erfüllung ihrer Aufgaben tatsächlich benötigen.

5.2 Geheimhaltungsvereinbarung

Als Grundlage unserer vertrauensvollen Zusammenarbeit bitten wir Sie, die EAO-Geheimhaltungsvereinbarung zu lesen und zu unterzeichnen. Sie dokumentiert damit, dass Sie Informations- und IT-Sicherheit mit derselben Ernsthaftigkeit behandeln wie wir.

5.3 Weitergabe innerhalb Ihrer Organisation

Informationssicherheit entsteht nur dann, wenn sie in der gesamten Organisation gelebt wird. Wir bitten Sie daher, unsere Sicherheitsanforderungen aktiv in Ihrem Unternehmen zu kommunizieren – insbesondere an alle Mitarbeitenden, die mit EAO-Informationen in Berührung kommen.

Konkrete Schritte, die sich bewährt haben:

• Aufnahme der Anforderungen in interne Richtlinien und Arbeitsanweisungen
• Durchführung von Schulungs- und Sensibilisierungsmaßnahmen
• Nutzung verschiedener Kommunikationskanäle (z. B. Intranet, Onboarding, Team-Meetings)
• Regelmäßige Überprüfung der Wirksamkeit durch Feedback oder interne Audits
• Vorbildfunktion der Führungsebene durch aktives Vorleben der Sicherheitsstandards

5.4 Datensparsamkeit

Erheben und verarbeiten Sie nur die Daten, die für die Erfüllung Ihrer Aufgaben tatsächlich erforderlich sind. Sollten Sie dabei Unterstützungsbedarf feststellen, empfehlen wir Ihnen, professionelle Beratung in Anspruch zu nehmen. Wir stehen Ihnen hierfür gerne als Ansprechpartner zur Verfügung.

5.5 IT-Sicherheit

Informationsschutz gelingt nur dort, wo der aktuelle Stand der Technik eingehalten wird. Gemeinsam mit unseren Partnern wollen wir diesen Standard leben.

5.6 Meldepflicht bei Vorfällen

Sollten Sie einen Sicherheitsvorfall oder Datenschutzverstoß bemerken, informieren Sie uns bitte UNVERZÜGLICH. Dies ermöglicht es uns, schnell zu reagieren und Schäden zu begrenzen.

5.7 Auftragsverarbeitung

Wenn Sie in unserem Auftrag personenbezogene Daten verarbeiten, erfolgt dies auf Basis eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO, der alle erforderlichen Sicherheitsmaßnahmen und Ihre Pflichten detailliert regelt.

6. DATENSCHUTZ: DSMS und Transparenz

Datenschutz wird bei uns zentral bearbeitet und dokumentiert.

Unter anderem dokumentieren wir alle Datenverarbeitungsvorgänge in einem Verzeichnis gemäß Art. 30 DSGVO und führen bei Bedarf Datenschutz-Folgenabschätzungen durch. Sämtliche Tätigkeiten werden aufgezeichnet und regelmäßig evaluiert, um das Datenschutzniveau bei der EAO AG kontinuierlich zu verbessern.

7. AWARENESS-KAMPAGNEN UND REGELMÄSSIGE SCHULUNGEN

Durch regelmäßige Awareness-Kampagnen und Updates des Datenschutzbeauftragten und CISO halten wir das Bewusstsein für Sicherheitsthemen wach und informieren über aktuelle Bedrohungen.

Alle EAO-Mitarbeitende nehmen regelmäßig an Schulungen zu Informationssicherheit und Datenschutz teil. Dabei setzen wir insbesondere auch auf mehrmals jährlich durchgeführte Kurzschulungen. Die Schulungsinhalte werden kontinuierlich aktualisiert und an neue Bedrohungen angepasst.

8. INCIDENT MANAGEMENT: WENN DOCH ETWAS PASSIERT

Trotz aller Vorsichtsmaßnahmen können Sicherheitsvorfälle nie vollständig ausgeschlossen werden. Deshalb haben wir klare Prozesse für den Umgang mit Incidents:

8.1 Schnelle Reaktion

Jeder Vorfall wird umgehend dem IT Service Desk und dem zuständigen ISD gemeldet. Der DPO und CISO werden sofort informiert.

8.2 Strukturierte Bearbeitung

1. Meldung und Erstbewertung
2. Kategorisierung und Eskalation nach definiertem Eskalationsplan
3. Eindämmung und Korrekturmaßnahmen
4. Dokumentation und Grundursachenanalyse
5. Incident-Bericht und Lessons Learned
6. Vorstellung im Informationssicherheitszirkel

8.3 Meldepflichten

Bei Datenschutzverletzungen prüfen DPO und CISO unverzüglich, ob eine Meldepflicht gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) oder eine Benachrichtigungspflicht gegenüber Betroffenen (Art. 34 DSGVO) besteht.

9. KONTINUIERLICHE VERBESSERUNG: SICHERHEIT IST EIN PROZESS

9.1 Audits und Reviews

Wir führen jährlich interne Audits zu Datenschutz und Informationssicherheit durch und lassen uns extern überprüfen (einschließlich TISAX-Rezertifizierung), um sicherzustellen, dass unsere Standards aktuell bleiben und eingehalten werden.

9.2 Risikomanagement

Risiken werden gemäss der EAO Risk Policy systematisch identifiziert, bewertet und behandelt. Alle Verarbeitungsvorgänge werden einer Risikobewertung unterzogen, bei hohem Risiko erfolgt eine Datenschutz-Folgenabschätzung.

9.3 Change Management

Alle Änderungen an IT-Systemen und -Prozessen werden durch einen formalen IT Change Management Prozess kontrolliert, getestet und dokumentiert. Notfalländerungen erfordern die Genehmigung des Head of IT oder System Engineer IT Security

9.4 Monitoring und Logging

Unsere Systeme werden kontinuierlich überwacht, um Anomalien frühzeitig zu erkennen. Das Monitoring umfasst Netzwerk-IT-Systeme, Netzwerkverkehr und Benutzeraktivitäten unter Wahrung der Rechte der Mitarbeitenden.

10. IHR DIREKTER DRAHT ZU UNS

Sie haben Fragen zu unseren Sicherheitsstandards? Sie möchten einen Vorfall melden? Sie möchten Ihre Datenschutzrechte wahrnehmen?

Wir sind für Sie da:

Chief Information Security Officer (CISO)

E-Mail: privacy.policies@eao.com

Datenschutzbeauftragter (DPO)

E-Mail: privacy.policies@eao.com

11. SCHLUSSWORT

Sicherheit ist bei EAO keine Einbahnstraße. Sie entsteht durch das Zusammenspiel von Technik, Organisation und Menschen – und dazu gehören auch Sie als unser Partner. Wir bedanken uns für Ihr Vertrauen und Ihre Unterstützung bei der Umsetzung unserer hohen Sicherheitsstandards.

Gemeinsam sorgen wir dafür, dass Ihre und unsere Daten in guten Händen sind.

Ihre EAO AG

Stand: März 2026