Database Reference
In-Depth Information
temansatz. Damit wird gleichzeitig ausgedrückt, dass das DSMS gerade keine einmalige
Ad-hoc-Lösung ist, mit der Datenschutzdiskussionen im Unternehmen vorerst erledigt
wären. Dem Management ist bereits zu Beginn der DSMS-Einführung vor Augen zu füh-
ren, dass es sich regelmäßig mit dem Datenschutz auseinanderzusetzen hat und dies in
vielen Fällen sowieso spätestens bei der jährlichen Kontrolle durch die Wirtschaftsprüfer
oder durch den externen Auditor des DSMS der Fall sein wird. Die entscheidungsbefug-
ten Verantwortlichen müssen sich folglich in diesem einführenden Meeting zum DSMS
als mit all seinen Pflichten (jährliche Audits, kontinuierliche Verbesserung, Bereitstel-
lung von Ressourcen und Budgets etc.) bekennen. Dementsprechend ist an dieser Stelle
Überzeugungsarbeit zu leisten. Dies sollte sich durch die frühzeitige Einbeziehung der
Verantwortlichen bereits während des Scoping (Abschn. 4.2.1.1) und über die von der
Unternehmensleitung verabschiedete Datenschutz-Policy als weniger schwierig darstellen.
Ebenfalls beim Projektstart lassen sich die Erwartungen ansprechen, die an die einzel-
nen Projektteilnehmer gerichtet werden. Auf diese Weise besteht Klarheit darüber, wer
welche Aufgaben wie anzugehen oder zu delegieren hat. Folglich sollte zur effizienten
Aufgabenkoordination ein Kommunikationsplan für die weitere DSMS-Implementierung
aufgestellt werden.
Die Meilensteine der Implementierung des DSMS können dargestellt und ein entspre-
chender Zeitplan beschlossen werden. Außerdem sollten die erforderlichen Ressourcen
für die Implementierung festgelegt und ein Ausblick auf die zu erstellende Dokumentation
geleistet werden.
Es hat sich in der Praxis als vorteilhaft erwiesen, bereits mit einem konkreten
Budgetplan in den Projektstart zu gehen, gerade wenn - wie etwa konkret bei
SAP der Fall - erst zu diesem Zeitpunkt die Freigabe der Ressourcen erfolgen
soll. Dazu müssen die Ergebnisse aus dem Scoping in der Vorbereitung auf
dieses Treffen noch einmal überprüft und aufbereitet werden.
Nicht zu vernachlässigen sind die Risiken, die mit jedem Projekt einhergehen und die
an dieser Stelle erwähnt werden sollten. Dies sind „klassische“ Projektrisiken wie etwa
Zeitverzug (relevant bei einer angestrebten Zertifizierung) oder zu wenige Ressourcen.
Diese Risiken müssen im Rahmen eines eigenen Projektrisikomanagements adressiert und
entsprechend behandelt werden [39].
Das Anwenden der gängigsten Projektmanagementmethoden ist grundsätz-
lich auch in Bezug auf die Implementierung auf das DSMS möglich. Deshalb
sollten die Verantwortlichen prüfen, ob und inwieweit sie auf vergleichbaren
Projekten aufbauen können, sei es durch Einbeziehung der Beteiligten in das
DSMS-Projekt oder auch durch Heranziehung einschlägiger Templates zur Pro-
jektdokumentation. Als mögliche Grundlage kann hier auf die Erfahrungen
während der Implementierung eines ISO 27001 ISMS zurückgegriffen werden.
Search WWH ::
Custom Search