Database Reference
In-Depth Information
KleinGmbH
Das Risikomanagement für den Datenschutz wird vom Verantwortlichen für den Da-
tenschutz der Klein GmbH ausgeführt. Dazu prüft er sämtliche Abteilungen der Klein
GmbH nacheinander ab, wobei er die wesentlichen Ansatzpunkte für die Risikoidenti-
fikation bereits über die Prozessdokumentation des ISO 9001- QMS erkannt hat. Da der
Verantwortliche für den Datenschutz gleichzeitig seit einigen Jahren DSB in Teilzeit ist,
hat er aufgrund seiner langjährigen eigentlichen Tätigkeit in der IT-Abteilung auch auf
dieser Grundlage einen guten Überblick über die Risikosituation der Klein GmbH und
beschreibt zunächst anhand der Prozessdokumentation die wichtigsten Risikoobjekte.
In kurzen Gesprächen mit den Abteilungsleitern und Mitarbeitern erfragt er zudem
zielgerichtet weiter nach potentiellen Risikoobjekten. Beispielsweise im Vertrieb: Dort
nutzendieMitarbeitereinelokalgespeicherteCRM-DateizurVerwaltungderBestands-
kunden - unter diesen auch Verbraucher. Im Gespräch mit dem IT-Leiter erfährt der
Verantwortliche für den Datenschutz auch, dass grundsätzlich jeder der Mitarbeiter der
Klein GmbH freien Zugriff auf die Datei über das lokale Netzwerk hat. Als der Verant-
wortliche für den Datenschutz die CRM-Datei näher analysiert, fallen ihm bei einigen
Kundendaten auch hochpersönliche Zusatzangaben auf, die die Mitarbeiter aus dem
Vertrieb im Laufe der Geschäftsbeziehung angesammelt hatten. Der Verantwortliche
für den Datenschutz erkennt an diesem Punkt das Szenario einer unzulässigen Datener-
hebung. Zudem besteht aufgrund der fehlenden Zugriffskontrolle die Möglichkeit der
Zweckentfremdung durch ausscheidende Mitarbeiter (Bedrohung). Beides stellt eine
potentielle Grundlage für Schäden in Form von Bußgeldern und Reputationsverlusten
dar und begründet damit gleichnamige Risiken für die Klein GmbH. Auch auf infor-
mationeller Basis könnte insbesondere die Vertraulichkeit der Daten verletzt werden.
DemzufolgewirddieCRM-DateialseinRisikoobjektidentifiziert, demmehrereRisiken
zugeordnet werden können.
MediumAG
Bei der Medium AG besteht (noch) keine zentrale Stelle für das Risikomanagement, die-
se soll im Laufe der Konzernumstrukturierung erst neu geschaffen werden. Stattdessen
obliegt das Risikomanagement in der obersten Verantwortung dem Vorstandsmitglied
indenjeweiligenZuständigkeitsbereichen. DerfürdenDatenschutzverantwortlicheFi-
nanzvorstand delegiert das entsprechende Risikomanagement im Datenschutz an den
externen DSB und gewährt diesem dabei weitgehend freie Bahn, wobei er den Grund-
satz vorgibt: Keine Kompromisse bei der Gesetzeskonformität („No compromise on
Compliance“). Der externe DSB beruft zur Risikoidentifikation mehrere gemeinsame
Meetings mit den Koordinatoren - die im Anschluss an den Projektstart bereits ernannt
wurden - der Geschäftsbereiche und der Konzernservicegesellschaft ein.
In kurzen Workshops in den Fachbereichen ergibt die Analyse der Gespräche mit
ausgewählten Mitarbeitern und den Fachverantwortlichen einen Überblick über die Ri-
sikosituation. Neben den anderen Fachbereichen im Scope (u.a. HR, IT) wurden dabei
insbesondere im Vertrieb des B2C-Geschäftsbereichs zahlreiche Risiken identifiziert,
Search WWH ::
Custom Search