Unternehmenspolicy

Unternehmens­policy

Grand Casino Kursaal Bern AG

1. Qualitätsmanagement Policy

Qualitätspolitik und -ziele werden von der Geschäftsführung in Zusammenarbeit mit dem jährlichen Businessplan vereinbart. Sie werden im Qualitätsmanagementsystem (QMS) umgesetzt.

Die Qualitätspolitik der GCKB orientiert sich u. a. an:

  • Vorgaben des Konzerns
  • Ergebnissen der Selbstbewertung
  • interner u. externer Qualitätssicherung
  • Erwartungen von Kunden u. Gesellschaft
  • finanziellen Möglichkeiten
  • Erwartungen der Mitarbeitenden (MA)
  • dem Leitbild und
  • Marktentwicklungen

Rahmenbedingungen für Qualitätspolitik und -ziele:

  • Einhaltung sämtlicher Gesetze
  • die Zertifizierung nach ISO 9001:2015
  • die Analyse und Weiterentwicklung bestehender Strukturen und Arbeitsabläufe
  • die Optimierung der Leistungserbringung und
  • die transparente Planung und Gestaltung aller Bemühungen/ Prozesse, die der Koordination und Leistungserbringung dienen sowie
  • die Verbesserung der internen Kommunikation

Ziele der Qualitätspolitik der GCKB sind:

  • Mittels QMS den Spielbetrieb (beide Vertriebskanäle) gesetzeskonform umsetzen.
  • Mittels QMS den Spielbetrieb perfekt und effizient umsetzen und somit hohe Kundenzufriedenheit und Unternehmensgewinn erreichen.
  • ISO 9001:2015 als Instrument zur Erstellung eines kohärenten QMS und dessen Optimierung verwenden.

In Zeiten, in denen immer höhere Ansprüche an unsere Leistungen gestellt werden und der Wettbewerb wächst, nimmt die Bedeutung der Qualität als Wettbewerbsfaktor weiter zu. Daher bekennt sich die Geschäftsführung uneingeschränkt zur Qualität und hat in den folgenden Leitsätzen unsere Qualitätsziele formuliert: Qualität ergibt sich nicht von selbst, sie muss erarbeitet werden, jeden Tag von jedem Mitarbeiter und jeder Mitarbeiterin aufs Neue.

2. Informationssicherheit Policy

Ausgangslage

Die Grand Casino Kursaal Bern AG (GCKB) zertifiziert sich nach der ISO Norm 27001:2013 und verpflichtet sich zur Erfüllung dieser Anforderungen. Dabei umfasst der Geltungsbereich der Zertifizierung sämtliche Geschäftstätigkeiten und Prozesse an allen Standorten.

Ziele der Informationssicherheit

Die GCKB hat sich folgende Ziele gesetzt:

  • Angemessener Schutz von Informationen und Werten in Bezug auf Verfügbarkeit, Vertraulichkeit sowie Integrität.
  • Erfüllung der gesetzlichen, vertraglichen und internen Vorgaben im Bereich Informationssicherheit.
  • ISO 27001 als Alltagswerkzeug zur Qualitätssicherung und konstanten Weiterentwicklung der Firma nutzen.

Das ISMS des Grand Casino Bern

Im Informationssicherheits-Managementsystem der GCKB werden alle Verfahren und Regeln dokumentiert, welche dazu dienen, die Informationssicherheit der GCKB gegenüber ihren Anspruchsgruppen zu gewährleisten. Das ISMS wird laufend kommuniziert und stufengerecht geschult. Die Anwendung dieser Regelungen ist zwingend und verbindlich.

Kontinuierliche Verbesserung

Das ISMS der GCKB wird laufend überprüft und den aktuellen Gegebenheiten angepasst. Im Sinn einer kontinuierlichen Verbesserung werden die Kompetenzen aller beteiligten Stellen laufend weiterentwickelt.

Organisation und Verantwortlichkeiten

Geschäftsleitung

Die Geschäftsleitung ist das oberste operative Entscheidungsorgan der Firma und delegiert Aufgaben, Verantwortung und Kompetenzen in der Informationssicherheit an den CISO.

 

Interne Mitarbeitende / Generell

Alle Mitarbeitenden der GCKB, welche Tätigkeiten im Geltungsbereich des ISMS verrichten sind für die Informationssicherheit in ihrem Fachbereich verantwortlich. Die Vorgesetzten aller Hierarchiestufen sind verpflichtet, die dafür nötigen Ressourcen und Skills zur Verfügung zu stellen. Sie sind verpflichtet, sämtliche notwendigen Sicherheitsmassnahmen im Rahmen ihres Verantwortungsbereiches nachhaltig umzusetzen. Sie leiten ihre Mitarbeitenden an und schulen sie bedarfsgerecht.

CISO

Der CISO ist verantwortlich für die Erarbeitung und Definition, Überwachung, Steuerung und Betrieb und kontinuierliche Verbesserung des ISMS. Er rapportiert an die Geschäftsleitung und arbeitet im Bereich der physischen Sicherheit mit dem Leiter Sicherheit zusammen.

Asset Owner

Asset Owner legen Regeln für den zulässigen Gebrauch von ihnen zugeteilten Informationen und Werten fest, dokumentieren diese und wenden sie an.

Risk Owner

Risk Owner führen den Prozess zur Informationssicherheitsrisikobeurteilung und –Behandlung für ihre zugeteilten Risiken. Sie analysieren und bewerten die Risiken und legen entsprechende Massnahmen fest.

Lieferanten Manager

Der Lieferantenmanager organisiert und betreibt die Schnittstelle zwischen den ihm zugewiesenen Lieferanten und der internen Organisation.

Leiter physische Sicherheit

Aufgrund regulatorischer Vorgaben sind die Aufgabenbereiche der der physischen Sicherheit und der Informationssicherheit personell getrennt. Im Kontext von Informationssicherheit handelt der Leiter physische Sicherheit im Auftrag des CISO.

Kontrollen

Die GCKB überprüft die Informationssicherheit in geplanten und regelmässigen Abständen mit internen und externen Audits. Die Ergebnisse dieser Kontrollen fliessen in die kontinuierliche Verbesserung ein.

Sanktionen

Die GCKB vereinbart mit Dritten Konventionalstrafen, welche bei wiederholten oder einzelnen schwerwiegenden Verstössen gegen die Sicherheitsvorschriften und –Weisungen eingefordert werden können. Bei den internen Mitarbeitenden kommen in solchen Fällen die arbeitsrechtlichen Sanktionen zur Anwendung.

Begriffsdefinitionen

Informationssicherheit: Unter der Informationssicherheit werden alle Massnahmen verstanden, die zur Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen angeordnet, durchgeführt, überprüft und kontinuierlich verbessert werden. Diese Massnahmen können u. a. organisatorischer, technischer oder baulicher Natur sein.

  • Vertraulichkeit: Gewährleistung des Zugangs zu Informationen nur für die Zugangsberechtigten.
  • Integrität: Sicherstellen der Unversehrtheit und Vollständigkeit von Informationen und deren Verarbeitungsmethoden.
  • Verfügbarkeit: Gewährleistung des bedarfsorientierten Zugangs zu Informationen und den zugehörigen Werten für berechtigte Benutzer.

Informationssicherheits Managementsystem (ISMS): Unter einem ISMS wird verstanden:

  • Sämtliche Regeln, Verfahren und Prozesse innerhalb des Anwendungsbereichs, welche die Informationssicherheit definieren, steuern, durchführen, überprüfen, aufrechterhalten und kontinuierlich verbessern.
  • Die Dokumentation erfolgt mittels ISMS Framework, den Controls der SOA (Anwendbarkeitserklärung) und mit entsprechenden Policies, Prozessübersichten und weiteren Nachweisdokumenten.

Chief Information Security Officer (CISO): Der CISO ist verantwortlich für die Informationssicherheit in seinem zugewiesenen Geltungsbereich.

3. Datenschutz Policy

Datenschutzpolitik GCKB

Wir, das Grand Casino Kursaal Bern AG (GCKB), sind ein privatrechtliches Glücksspielunternehmen mit Sitz in Bern und sind verantwortlich für die Datenbearbeitungen im Zusammenhang mit dem Betrieb des Casinos (online und landbasiert) und der Bearbeitung unserer Mitarbeiterdaten.

Ziel dieser Datenschutzpolitik ist insbesondere die Einhaltung und Umsetzung der gesetzlichen Vorgaben im Bereich des Datenschutzes durch das GCKB intern sowie extern. Die Good Priv@cy Zertifizierung und der Betrieb des Datenschutz-Management-Systems (DSMS), welches regelmässig durch interne und externe Audits geprüft wird, dient zudem als Instrument zur Gewährleistung eines kohärenten Datenschutzes und dessen fortlaufende Optimierung.

Kerngedanke unserer Datenschutzpolitik ist die Einhaltung sämtlicher gesetzlichen Anforderungen sowie die Respektierung und Weiterentwicklung aller Vorgaben und Richtlinien des DSMS. Bei vielen Tätigkeiten erhalten wir Einsicht in die persönlichen Daten unserer Gäste und Mitarbeiter. Wir verpflichten uns deshalb, die Privatsphäre aller Gäste zu respektieren und sie insbesondere vor missbrächlichen Bearbeitungen ihrer Daten zu schützen und ihre Rechtsansprüche zu gewährleisten. Dabei halten wir uns insbesondere an die folgenden gesetzlichen Grundlagen:

  • Bundesgesetz über Geldspiele (Geldspielgesetz, BGS)
  • Verordnung über Geldspiele (Geldspielverordnung, VGS)
  • Verordnung des EJPD über Spielbanken (Spielbankenverordnung, SPBV-EJPD)
  • Geldwäschereigesetz (GwG)
  • Geldwäschereiverordnung (EJPD, GwV-EJPD)
  • Verordnung der Eidgenössischen Spielbankenkommission über Sorgfaltspflichten der Spielbanken zur Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung (Geldwäschereiverordnung ESBK, GwV-ESBK)
  • Bundesgesetz über den Datenschutz (DSG)
  • Verordnung zum Bundesgesetz über den Datenschutz (VDSG)
  • Obligationenrecht (OR)
  • Fernmeldegesetz (FMG)
  • Bundesgesetz gegen den unlauteren Wettbewerb (UWG)

Mit der Einhaltung der vorliegenden Datenschutzpolitik stellen wir sicher, dass die Daten gemäss den gesetzlichen und vertraglichen Grundlagen des GCKB bearbeitet werden und wir die Persönlichkeit und Grundrechte der Gäste sowie der Mitarbeiter entsprechend den gesetzlichen Bestimmungen schützen.

Zudem führen wir Prozesse, um die Rechte aller betroffenen Personen zu wahren. Insbesondere sind wir darum bemüht, innert der gesetzlichen Frist Auskunft über die von uns bearbeiteten Personendaten zu erteilen.

Wir stellen sicher, dass alle Mitarbeiter die für ihre Arbeit notwendigen Informationen und stufengerechte Schulungen erhalten.

Wir konzipieren und schützen unser Informatiksystem so, dass wir unsere Dienstleistungen an Gäste und Mitarbeiter unter angemessener Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit erbringen können.

Das GCKB betreibt ein DSMS, das laufend verbessert wird und nach dem Datenschutzgütesiegel GoodPriv@cy®, das durch die SQS ausgestellt wird, zertifiziert ist. Es wird jährlich ein Aufrechterhaltungsaudit durchgeführt sowie alle drei Jahre ein Rezertifizierungsaudit.

Der Verwaltungsrat und die Geschäftsleitung tragen die Gesamtverantwortung für den Datenschutz, stellen entsprechende Mittel zu dessen Erfüllung bereit und sind für eine angemessene Überprüfung des Datenschutzes verantwortlich.

Sämtliche Mitarbeiter sind in ihrer jeweiligen Funktion für die Schaffung und Einhaltung der notwendigen und angemessenen Rahmenbedingungen für den Datenschutz und die Datensicherheit verantwortlich.

Die GCKB hat einen betrieblichen Datenschutzverantwortlichen ernannt und diesen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet. Der Datenschutzverantwortliche unterstützt die Geschäftsleitung beratend bei der Herstellung und Aufrechterhaltung der Konformität der Datenbearbeitungen mit den anwendbaren datenschutzrechtlichen sowie allfälligen weiteren für die Datenbearbeitung relevanten gesetzlichen Vorgaben oder anderen bindenden Verpflichtungen.

Der Informationssicherheitsbeauftragte unterstützt die Geschäftsleitung beratend betreffend Überwachung, Einhaltung und Weiterentwicklung der Informationssicherheitsmassnahmen. Er empfiehlt Korrekturmassnahmen, wenn Informationssicherheitsstandards verletzt werden. Wenn nötig, arbeitet er mit den zuständigen Behörden und der Datenschutzbeauftragten zusammen.

Grand Casino Kursaal Bern AG, 08. Mai 2020