Implementierung - Praxisleitfaden zur Implementierung eines Datenschutzmanagementsystems

Database Reference

In-Depth Information

• Die Teilnehmer des Projektstarts müssen entweder selbst die wichtigsten Tätigkeiten

desDSMSausführen(kleineUnternehmen)oderdieseAufgabenspäterangeeignetes

Personal delegieren können (mittlere und große Unternehmen).

• Es ist ein Projektverantwortlicher zu bestimmen, der die erstmalige Implementie-

rung des DSMS verantwortet. Idealerweise ist dies der Verantwortliche für den

Datenschutz.

• Der DSMS-Projektverantwortliche bewirbt das DSMS bei den Verantwortlichen im

AnwendungsbereichundstelltimFolgendendasentsprechendeDatenschutz-Know-

how zur Verfügung.

5.2.3 Risikoanalyse

• Wie findet man heraus, wo die Datenschutzanforderungen im Unternehmen

umzusetzen sind?

• Welche Methoden eignen sich dafür?

• Wie lässt sich ein risikobasierter Ansatz in das DSMS einbauen?

• Wie identifiziert und bewertet man datenschutzbezogene Risiken?

• Wie behandelt man die analysierten Risiken angemessen?

• Wie analysiert man Prozesse auf ihre Datenschutzrelevanz?

• Wo setzt man mit dem DSMS an den einzelnen Prozessen an?

• Wie verteilt man die Umsetzung der als erforderlich eingestuften Maßnah-

men auf Basis des Governance Models?

Im dritten Schritt des DSMS-PDCA (Abb. 5.12 ) muss ermittelt werden, wie der aktuelle

Status der Umsetzung des Datenschutzes ist und wo Handlungsbedarf über das DSMS be-

steht. Der Scope des DSMS wird auf diese Weise präzisiert und erforderliche Maßnahmen

für die Do-Phase ableitbar.

Dies kann über zwei grundlegende Methoden geschehen:

• Über eine Risikoanalyse werden die wichtigsten, datenschutzspezifischen Risiken im

Scope identifiziert und bewertet, damit sie anschließend angemessen behandelt werden

können.

• Über eine Prozessanalyse werden die Prozesse im Unternehmen, welche Datenschutz-

relevanz haben, analysiert sowie Schwachstellen und Ansatzpunkte für das DSMS

erkannt.

5.2.3.1 Gestufte Vorgehensweise

Um die notwendigen Maßnahmen zu ermitteln, die im DSMS umgesetzt werden müssen,

wird idealerweise eine Kombination aus diesen Methoden eingesetzt. Dazu bietet sich eine

gestufte Vorgehensweise an, die sich zudem in der Praxis bewährt hat:

Die Risikoanalyse (Stufe 1) dient der Identifizierung und Bewertung von

(Datenschutz-)Risiken im gesamten Scope des DSMS und ermöglicht auf diese Weise

Search WWH ::

Custom Search

Home