Database Reference
In-Depth Information
sikoanalyse wiederum beinhaltet die Identifikation und Bewertung von Risiken und stellt
lediglich einen Teil eines umfassenderen Risikomanagements dar, welches im DSMS für
die Datenschutzrisiken etabliert werden muss.
Für das Risikomanagement im Allgemeinen haben sich zahlreiche Ansätze, Begrif-
fe und Methoden herausgebildet. Die
eine richtige
Vorgehensweise gibt es daher nicht.
Die folgenden Ausführungen sind vor diesem Hintergrund zu interpretieren. Wichtig
beim Risikomanagement ist vielmehr, dass sich das Unternehmen auf
eine einheitli-
che
Vorgehensweise intern festlegt (die auch von der hier vorgestellten abweichen kann)
und diese konsequent umsetzt. Am besten geschieht dies im Rahmen eines allgemeinen,
unternehmensweit verankerten Risikomanagements.
Für KMU lässt sich hierfür auch ein vergleichsweise kompakter Ansatz verfolgen, um
nicht von den detailreichen Anforderungen zu Beginn überwältigt zu werden. In den Sze-
narien erfährt der Leser, wie die Verantwortlichen für den Datenschutz die Kernelemente
des Risikomanagement beispielhaft in KMU verankern können.
Während dieses Kapitel die ersten drei Schritte des Risikomanagementprozesses im
Folgenden behandelt, soll auf die Einrichtung einer Risikoüberwachung im Bereich
der Do-Phase (Abschn. 5.2.7.3) eingegangen werden. Entsprechend dem DSMS-PDCA
wiederholen sich mit jedem Durchlauf die einzelnen Schritte. Mit dem Abschluss der
Risikoanalyse und Bewertung sollte ein ausführliches Risikoregister vorliegen, in dem
die Maßnahmen zum Umgang mit den Risiken festgeschrieben werden und welches als
Grundlage für die Risikoüberwachung dient.
5.2.3.2.1 Risikostrategie
Jeder Schritt des Risikomanagementprozesses richtet sich an der grundsätzlichen Risiko-
strategie (auch: Risk-Policy) des Unternehmens aus. In Rahmen dieses Praxisleitfadens
wird auf eine detaillierte Anleitung zur Erarbeitung einer solchen Risikostrategie ver-
zichtet
5
[40]. In erster Linie soll deutlich werden, dass das Risikomanagement im
Rahmen des DSMS nicht losgelöst von den Risikoaktivitäten in anderen Fachbereichen
des Unternehmens steht. Eine Integration der folgenden Schritte in ein ganzheitliches Ri-
sikomanagementsystem ist daher vorteilhaft und sollte vom Unternehmen geprüft werden.
Ob dies bereits für die Erstimplementierung angestrebt werden sollte, kann nicht generell
beurteilt werden. Unternehmen sollten sich jedoch darauf einstellen, dass die erstmalige
Risikoanalyse für das DSMS zeitlich aufwendig ist und damit aus bestehenden Risikoma-
nagementzyklen herausfallen kann. Die Integration des DSMS-Risikomanagements in das
allgemeine Risikomanagementsystem des Unternehmens eignet sich daher als potentielle
VerbesserungsmaßnahmezueinemspäterenZeitpunkt, auchumdenErfolgderErstimple-
mentierung nicht zu gefährden. Trotzdem sollte je nach Möglichkeit auf bewährte Ansätze
- etwa Methoden zur Risikobewertung - zurückgegriffen werden. Dies erleichtert spätere
Integrationsversuche.
5
Beispiele für Inhalte der Risikostrategie bei
Seidel
, Risikomanagement und Risikocontrolling.
Search WWH ::
Custom Search