Database Reference
In-Depth Information
kobehandlung nötigen Ressourcen freigeben (können) muss und Weisungsrechte zum
Delegieren der dem Risiko zugehörigen Maßnahmen besitzt. Die Rolle des Risikoinhabers
ist deshalb zu unterscheiden von der Rolle desjenigen, der tatsächlich die risikomindern-
den Maßnahmen ausführt (
Maßnahmenverantwortlicher
; mehr dazu in Abschn. 5.2.3.4).
Als Risikoinhaber ist zunächst die Geschäftsleitung anzusehen, es sei denn, die Manage-
mentstruktur des Unternehmens ermöglicht die Verteilung der Risikoinhaberschaft auf
die Leitung der einzelnen Bereiche bzw. Abteilungen. Für eine solche dezentrale Ver-
teilung der Risikoinhaberschaft spricht auch, dass sich einige Risiken hauptsächlich aus
speziellen personenbezogenen Daten ableiten und diese meist einer Abteilung zugeordnet
werden können. Die wenigen bereichsübergreifenden Risiken können entweder an den
Leiter einer Stabstelle übertragen werden oder bei (einem Mitglied) der Geschäftsleitung
verbleiben.
KleinGmbH
Der Verantwortliche für den Datenschutz holt sich zunächst das Mandat des Geschäfts-
führers und bespricht mit ihm die generelle Vorgehensweise bei der Behandlung der
Datenschutzrisiken. Unter Berücksichtigung der verhältnismäßig geringen Ressourcen
für den Datenschutz bei der Klein GmbH orientiert sich der Verantwortliche für den
Datenschutz bei der Behandlung der Risiken an der vom Geschäftsführer vorgegebenen
Leitlinie des „4 minus“-Prinzips: Bei der Minderung von Datenschutzrisiken werden
danach bereits solche Maßnahmen als ausreichend erachtet, welche eine Konformität
mit den gesetzlichen Regelungen gerade so noch herzustellen vermögen. Entsprechend
viele der identifizierten Risiken werden daher zunächst pauschal akzeptiert. Im Hin-
blick auf die drei Risikokategorien niedrig, mittel und hoch betrifft dies alle Risiken aus
dem niedrigen Bereich. Die Geschäftsführung weist die Verantwortlichen an, mittlere
Risiken für den Datenschutz erst nach Verringerung aller hohen Risiken aufzugreifen.
Eine klare und eindeutige Kommunikation spielt dabei eine große Rolle.
Nun richtet sich der Fokus des Verantwortlichen für den Datenschutz auf das
CRM als Risikoobjekt. In Bezug auf das als hoch eingestufte Risiko der Bußgelder
besteht aufgrund der zahlreichen Schwachstellen großer Handlungsbedarf: So wird
ein Zugriffskonzept erforderlich sein, das nur der Vertriebsabteilung Zugriffrechte auf
die erforderlichen Kundendaten gibt. Ebenfalls müssen die Zusatzangaben, die die
VertriebsmitarbeiterindieDateieingeben, geprüftwerden. EineSpeicherungvonhoch-
sensiblen, persönlichen Daten muss in Zukunft unterbleiben, bestehende Datensätze
müssen auf ihre Rechtmäßigkeit untersucht werden.
Um in Zukunft Verstöße an dieser Stelle zu vermeiden, müssen die Mitarbeiter aus
dem Vertrieb speziell geschult werden, damit sie die Anforderungen an die Datenerhe-
bung und -nutzung während ihrer Tätigkeit berücksichtigen können. Weiterhin sollen
jährlich Awareness-Maßnahmen und Kontrollen dafür sorgen, dass der Datenschutz
nicht bewusst oder unbewusst umgangen wird. Auf Basis dieser Argumentation und
der Notwendigkeit trotz des „4 minus“-Prinzips gelingt es auf diese Weise auch, den
Geschäftsführer und später die Abteilungsleiter zur Zustimmung zu den gewählten
Maßnahmen zu bewegen.
Search WWH ::
Custom Search