Database Reference
In-Depth Information
Datenschutzvorfall im Visier. Im Vertrieb herrscht eine hohe Mitarbeiterfluktuation
und ein ausscheidender Mitarbeiter könnte unberechtigterweise Kopien der Datenbe-
stände anfertigen. Folglich wird auch die Eintrittswahrscheinlichkeit für die Risiken
„Bußgeld“ und „Absatzeinbuße“ als hoch bezeichnet.
Im Ergebnis bedeutet dies, dass die (u.a.) dem Risikoobjekt CRM zugeordneten
Risiken „Bußgeld“ sowie „Absatzeinbuße“ insgesamt als hoch bewertet und in die
entsprechende Risikokategorie eingeordnet werden.
MediumAG
Bei der Medium AG entwerfen der externe DSB, die Bereichsleiter von B2B und B2C
sowie der für den Datenschutz verantwortliche Finanzvorstand in einem gemeinsamen
Meeting als konzernweite Grundlage für das DSMS eine Risikomatrix analog der oben
in Tab.
5.2
dargestellten. Im Folgenden hält der externe DSB separate Workshops mit
den Koordinatoren und ausgewählten Mitarbeitern ab, um die bereichsspezifischen
Risikoobjekte mit den ihnen anhängigen Risiken zu bewerten.
Für die Bewertung der Risiken rund um das CRM-System in der Cloud kom-
men der Datenschutzkoordinator aus dem B2C-Bereich, der externe DSB sowie
ein Systemadministrator aus der IT-Abteilung zu folgender Einordnung in die
Risikomatrix:
•
Szenarien basierend auf Bedrohungen wie etwa technische Ausfälle des Systems oder
eine fehlerhafte Dateneingabe in das System durch menschliche Fehlhandlungen
produzieren hohe Schadenspotentiale: Mit dem Anbieter gibt es keine schriftliche
VereinbarungzurADV(möglicherSchaden: Bußgeld), aufgrundfehlerhafterDaten-
eingabe in das CRM-System werden Verstöße gegen das Zweckbindungsgebot der
Daten ermöglicht (mögliche Schäden: Bußgeld, interne Aufwände zur Datenpfle-
ge, Absatzeinbußen aufgrund falsch zugeordneter Kundeninformationen). Gerade
letzteres stellt einen sehr hohen potentiellen Schaden dar, da teilweise auch Key
Accounts im CRM-System verwaltet werden.
•
Die Eintrittswahrscheinlichkeit ist aufgrund der zurzeit vielen zugriffsberechtigten
Mitarbeiter (sowie der nicht auszuschließenden Möglichkeit, dass der Cloud-
Anbieter auf Daten zugreift) und der verstärkten öffentlichen Wahrnehmung des
Themas„Cloud-ComputingundDatenschutz“verhältnismäßigwahrscheinlich. Da-
für sprechen auch die fehlenden TOMs: Eine spezielle Datenschutz-Awareness ist
bei den Mitarbeitern nicht vorhanden. Auch der ISMS-Verantwortliche merkt spe-
ziell für die Mitarbeiter im Vertrieb noch Nachholbedarf in Sachen Awareness an.
Und von technischer Seite in Bezug auf mögliche Schwachstellen und angemessene
TOMs kann keine qualifizierte Bewertung des CRM-Systems erfolgen, da kein Ein-
blick in die technischen Details des Anbieters besteht und Anfragen dahingehend
nicht erfolgversprechend waren. Im Ergebnis bleibt die Eintrittswahrscheinlichkeit
daher bei „wahrscheinlich“.
Search WWH ::
Custom Search