Database Reference
In-Depth Information
auch bedingt durch die erst kürzlich erfolgte Neuausrichtung der Geschäftstätigkeiten
hin zum B2C-Markt. So nutzt die Medium AG bei der Verwaltung ihrer Kundenda-
ten (CRM-System als Risikoobjekt) einen Cloud-Anbieter mit Sitz und Infrastruktur
in den USA (Schwachstelle), welcher die Anforderungen aus § 11 BDSG nicht erfüllen
und damit kein angemessenes Datenschutzniveau gewährleisten kann (unzureichende
TOM). Auch wurde kein entsprechender EU-Standardvertrag zur ADV abgeschlossen
(unzureichende TOM) und auch eine Safe-Harbour-Zertifizierung ist nicht gegeben.
In einem Schadensszenario, in dem der Cloud-Anbieter die fehlenden Schranken sei-
ner Host-Befugnisse für den Zugriff auf die in der Cloud gespeicherten Kundendaten
nutzt (Bedrohung: Schädigendes Verhalten eines Geschäftspartners), treten verschie-
dene mögliche Schäden für die Medium AG zu Tage: So bestehen für die Medium AG
mögliche Schäden in Form von Bußgeldern und Reputationsverlusten und entspre-
chend gleichnamige Risiken. Demzufolge wird das CRM-System als ein Risikoobjekt
identifiziert, dem mehrere Risiken zugeordnet werden können.
SAP
Bei der Einführung eines DSMS in einem bestimmten Geschäftsbereich initiiert ein
Vertreter des für das DSMS verantwortlichen Security & Data Protection Office die
Durchführung der Risikoanalyse, zu dem der Projektverantwortliche für die DSMS-
Implementierung im jeweiligen Geschäftsbereich, das obere Management und der
Konzern-DSB eingeladen werden. Da das DSMS bei SAP auf Prozesslevel eingeführt
wird, sind zudem die Prozesseigner eingebunden. In mehreren Abstimmungsrunden
werden zunächst nach den Vorgaben des etablierten Risikomanagementsystems die
übergeordnetenDatenschutzrisikenfürjedenProzessidentifiziert. WichtigsteEingaben
sind dabei:
•
Das Geschäftsmodell des jeweiligen Bereiches wird untersucht. Vielfach wird bereits
an dieser Stelle deutlich, ob überhaupt eine Datenschutzrelevanz durch Verar-
beitung personenbezogener Daten vorliegt. Hierbei wird auch geprüft, ob das
Kerngeschäft bereits grundsätzliche datenschutzrechtliche Risiken birgt. Für man-
che Geschäftsprozesse lässt sich an dieser Stelle die Datenschutzrelevanz auf einen
Blick feststellen.
•
Standortbezogene Risiken werden analysiert wie etwa Gebäuderisiken oder auch
besondere, lokale Rechtsrisiken. Dazu müssen die Länder und Lokationen identifi-
ziert werden, wo der Bereich Leistungen erbringt. Gerade die lokal verschiedenen
Normen und Gepflogenheiten begründen dabei für den Datenschutz - bei dem die
AngemessenheitaufgrundderstarkenVernetzungimSAP-Konzernnachdenhohen
europäischen Standards beantwortet wird - ein mögliches Risikopotential.
•
Zudem müssen insbesondere die Risiken durch die automatisierten Verfahren zur
Datenverarbeitung erfasst werden. Dies betrifft Programme, Anwendungen oder
auch die Speicherung von Daten (z.B. Cloud-Computing).
Search WWH ::
Custom Search