Database Reference
In-Depth Information
len geschlossen. Vor allem die technischen Spezifika aus den Angebotsprospekten
vermitteln den Eindruck, dass Bedrohungen auf technischer Basis im Wesentlichen
in Schach gehalten werden könnten.
•
Dennoch müssen Regelungen zum Umgang mit Bedrohungen resultierend aus
menschlichem Fehlverhalten adressiert werden. Dazu sind als Schwachstellen v.a.
die Mitarbeiter mit Zugriff auf das neue CRM-System einzubinden: Eine Schulung
der Vertriebsmitarbeiter in Bezug auf die Rechtmäßigkeitserfordernisse zur Erhe-
bung und Nutzung der Kundendaten hat noch nicht stattgefunden. Deshalb soll eine
einführende Datenschutzschulung in das neue CRM-System - die zudem auch un-
ter Bedienungsgesichtspunkten notwendig ist - zur Sensibilisierung der Mitarbeiter
durchgeführt werden.
Über die dargestellten Maßnahmen soll zum einen die Wahrscheinlichkeit eines Da-
tenschutzvorfalls durch den angestrebten Zugriffsschutz und die Awareness abgesenkt
werden, zum anderen sinkt das Schadensausmaß in Bezug auf etwaige Bußgelder durch
die qualifizierte Auswahl des ADV-Dienstleisters und dessen angemessenen TOMs.
Restrisiken bleiben jedoch weiterhin bestehen:
•
So werden sich potentielle Schäden bei einem Schadensszenario in Bezug auf das
neue CRM-System nicht gänzlich vermeiden lassen können, jedoch lassen sich Ab-
satzeinbußen und Reputationsschäden in ihren Schadensauswirkungen verringern:
Denn mit der qualifizierten Auswahl und Überprüfung des Dienstleisters lassen sich
Compliance-Anstrengungen in diesem Bereich nachweisen. Das Schadensausmaß
für die Risiken „Absatzeinbuße“ und „Reputationsschaden“ verringert sich so auf
mittel.
•
Auch die Eintrittswahrscheinlichkeit der beiden Risiken verringert sich, denn die
wichtigsten Schwachstellen im Bereich Technik und Mitarbeiter werden über die
oben genannten TOMs geschlossen. Ein vollständiger Ausschluss in der Reali-
sierung einer Bedrohung ist jedoch nicht möglich, weshalb eine Verringerung
der Eintrittswahrscheinlichkeit von „wahrscheinlich“ auf „gelegentlich“ angemessen
erscheint.
SAP
Die Risikobehandlung bei SAP im Rahmen des DSMS betrifft im Wesentlichen die Aus-
führung von lokalen Maßnahmen zur Risikoverringerung. Nicht erst seit Einführung
des DSMS im Jahr 2009 wird Datenschutz bei SAP ernst genommen, sodass im Rah-
men der Risikoanalyse für das DSMS weniger die Einstellung von Prozessen oder deren
umfassende Umgestaltung als Risikobehandlungsoption in Frage kommt, sondern viel-
mehr die jährliche Neubewertung und angemessene Reaktion auf Veränderungen in
der Bewertung im Vordergrund steht. Zweifel an der Rechtmäßigkeit einer Datenverar-
beitung werden an anderer Stelle bereits über ein etabliertes System zur Vorabkontrolle
im Rahmen der Freigabe von neuen Prozessen beseitigt. Auch hat SAP kontinuierlich
Search WWH ::
Custom Search