Implementierung - Praxisleitfaden zur Implementierung eines Datenschutzmanagementsystems

Database Reference

In-Depth Information

Mit den Werten aus Schadenspotential und Eintrittswahrscheinlichkeit lassen sich die

Risiken anhand des jeweils gewählten Risikobegriffs (Abschn. 5.2.3.2.2) ermitteln.

Alle identifizierten Risiken lassen sich in einem Risikoregister sammeln, welches

um die Ergebnisse der nachfolgenden Risikobewertung und -behandlung er-

gänzt wird und sich so zu einem der wichtigsten Werkzeuge im Rahmen des

DSMS entwickelt. Ein Risikoregister sollte dabei enthalten:

• Bezeichnung des Risikos

• Eintrittswahrscheinlichkeit

• Schadenspotential (kalkulierter Schaden)

• Die anschließende Bewertung des Risikos (z.B. Risikobruttokennzahl)

• Verantwortlicher zur Verfolgung des Risikos (Risikoinhaber)

• Maßnahmen zur Behandlung des Risikos (zzgl. Maßnahmenverantwortlicher)

• Voraussichtliches Restrisiko nach Behandlung (Nettorisikokennzahl)

• Risikoüberwachungszeitraum

Wie bereits oben im Rahmen der Risikostrategie angedeutet (Abschn. 5.2.3.2.1) ist

beim DSMS-Risikomanagement zu beachten, dass eine Einbindung in bestehende Risi-

komanagementsysteme des Unternehmens erfolgen kann und auch angestrebt werden

sollte. Gerade bei größeren Unternehmen und im Konzern werden Risiken meist zentral

gesteuert. Es bietet sich daher an, die vorhandenen Methoden auch auf die Datenschutz-

risikoanalyse zu übertragen und eine Harmonisierung der Berichterstattung anzustreben.

Auch an dieser Stelle sei darauf hingewiesen, dass die Abstimmung verbessert werden

kann, je früher die entsprechenden Verantwortlichen des Risikomanagements in die

ImplementierungdesDSMSeingebundensind, z.B.bereitsbeimScoping(Abschn. 4.2.1.1).

Verschiedene Szenarien verlangen unterschiedliche Risikomanagementprozesse. Dabei

ist zu beachten, dass das Risikomanagement ein höchst unternehmensspezifischer Prozess

ist. Die hier aufgeführten Überlegungen für das Risikomanagement in den drei Szenarien

zeigen nur Ausschnitte aus dieser umfangreichen Phase auf und stellen damit lediglich

verkürzt das Risikomanagement dar. Primär sollen Anregungen für den Leser in der Weise

erfolgen, dass die in diesem Kapitel geschilderte Vorgehensweise der Risikoanalyse für

einzelneRisikenunterdenspezifischenGegebenheitenderModellunternehmendargestellt

wird. Eine Verallgemeinerung oder Standardisierung auf dieser Basis sollte ausdrücklich

nichtstattfinden. FürdasrealeBeispielSAPwirdderSchwerpunktaufdieZusammenarbeit

der Beteiligten in dieser Phase gelegt.

Search WWH ::

Custom Search

Home