Database Reference
In-Depth Information
bereits bestehenden Risikomanagementsystemen im Unternehmen kann über die Prozess-
analyse ein zusätzlicher Verbesserungsbedarf erkannt werden. Denn viele Unternehmen
haben ihre Datenschutzrisiken schon identifiziert, wissen aber nicht damit umzugehen
bzw. sie auf Prozessebene im Detail wirksam zu behandeln und zu managen. Hier hilft die
Prozessanalyse weiter. Ein weiterer wichtiger Aspekt, der sich aus der Prozessorientierung
allgemein ergibt und für den die Prozessanalyse die Grundlage legt, ist die kontinuierliche
Verbesserung: DennauchwennbereitsalleRisikenimRahmenderallgemeinenRisikostra-
tegie eines Unternehmens angemessen behandelt werden, kann daraus nicht geschlossen
werden, die Umsetzung des Datenschutzes sei auf der Prozessebene nicht verbesserungs-
fähig. Im Gegenteil: Gerade die Prozessanalyse offenbart oft ein solches Potential. Nicht
zuletztwerdenaufdieseWeiseverdeckteSchwachstellenentdecktundkönnenüberpräzise
Maßnahmen effizient geschlossen werden. Die Prozessanalyse bietet sich insbesondere auf
Basis eines vorhandenen QMS (ISO 9001) an, da dort bereits die Prozesse dokumentiert
und somit leichter zugänglich sind.
SAP
Schon vor der Implementierung des DSMS und über dessen Anwendungsbereich hin-
aus hat SAP ein konzernweites Risikomanagementsystem betrieben, in welchem auch
Datenschutzrisiken erfasst werden. Bei der Entwicklung von Behandlungsstrategien be-
züglich dieser Risiken wurde jedoch deutlich, dass nur eine detaillierte Aufschlüsselung
der Prozesse zu effektiven Maßnahmen in den unterschiedlichen Lokationen führen
würde, da die einzelnen Risiken in einem großen und global agierenden Unternehmen
wie SAP sehr viele potentielle Ursachen haben. Auch dies stellte für SAP einen der
Hauptgründe für die Implementierung des DSMS dar, welches u.a. die Aufgabe der
Prozessoptimierung hin zur Datenschutzkonformität in der tatsächlichen Ausführung
des jeweiligen Prozesses übernimmt. Dieser Fokus des DSMS hat sich für SAP bewährt
und mündete in dem oben bereits erwähnten zweistufigen Verfahren: Während über
eine Risikoanalyse (1. Stufe) auf den methodischen Grundlagen des konzernweiten Ri-
sikomanagements aufgebaut werden kann und so die Ergebnisse auch entsprechend
aggregiert werden können, setzen wesentliche Verbesserungsaspekte des DSMS auf
Grundlage der Ergebnisse einer detaillierten Prozessanalyse (2. Stufe) an den einzel-
nen Prozessschritten an und wirken damit effektiv hinein in die Arbeitsabläufe der
Mitarbeiter im Sinne der Datenschutzziele von SAP.
5.2.3.2 Risikoanalyse und -behandlung
Gleich ob man sich für die gestufte Vorgehensweise entscheidet oder nicht, müssen in
jedem Fall die Risiken im Anwendungsbereich des DSMS analysiert und angemessen be-
handelt werden. Dies ist dem hier vorgestellten risikobasierten Ansatz geschuldet, der
auf die Aufstellung von generellen Schutzstandards verzichtet und die Ermittlung der er-
forderlichen Maßnahmen dem Unternehmen selbst überlässt. Aus diesem Grund nimmt
die Risikoanalyse und -behandlung auch einen zentralen Aspekt des DSMS ein. Die Ri-
Search WWH ::
Custom Search