Database Reference
In-Depth Information
die eigene Infrastruktur im Hinblick auf Security und Datenschutz verbessert und kann
dabei im Besonderen auch auf eigene Kompetenzen zurückgreifen. Die Risikobehand-
lungsoptionen im Rahmen der DSMS-Risikoanalyse beschäftigen sich meist mit lokalen
Maßnahmen zur Schaffung von Awareness, zum Nachweis der Datenschutzkonformi-
tät und zur kontinuierlichen Verbesserung, weshalb an dieser Stelle vom beteiligten
Management auch die Zustimmung und die Verpflichtung für Art und Umfang der
Maßnahmen eingeholt werden muss. Wo genau diese Maßnahmen ansetzen, wird dann
im Rahmen der anschließenden Prozessanalyse bestimmt. In manchen Fällen sind Ri-
sikobehandlungsoptionen für den Datenschutz auch auf globaler Ebene zu adressieren
und bedürfen einer entsprechenden Freigabe auf dieser Ebene in Absprache mit dem
Konzern-DSB.
Nachdem im Rahmen der Risikobehandlung entsprechende Maßnahmen zum Umgang
mit den einzelnen Risiken ausgewählt wurden und Risikoinhaber ernannt worden sind,
kann mit der Überführung dieser Ergebnisse in die Do-Phase begonnen werden. Dazu
müssen die Risikoinhaber (falls nicht personenidentisch) mit den DSMS-Akteuren zu-
sammenarbeiten und sie zu Maßnahmenverantwortlichen bestimmen. Zuvor wird jedoch
als Ergänzung zur Risikoanalyse im Folgenden die Prozessanalyse dargestellt, mit der so-
wohl Ansatzpunkte für die Maßnahmen präzisiert als auch die Möglichkeit zusätzlicher
Maßnahmen identifiziert werden können.
5.2.3.3 Prozessanalyse
DieProzessanalysesetztandenProzessendesUnternehmensanundmachtdiejenigenPro-
zesse und Prozessschritte sichtbar, in denen personenbezogene Daten verarbeitet werden.
Sie setzt sich nach dem hier beschriebenen zweistufigen Ansatz an die Risikoanalyse an,
die sich nicht notwendigerweise an den Prozessen des Unternehmens orientieren muss.
Schwerpunktmäßig geht es bei der Prozessanalyse um das Aufzeigen von datenschutz-
rechtlichen Schwachstellen in den einzelnen Prozessschritten, um diese Schwachstellen im
Anschluss schließen zu können. Damit ist die Prozessanalyse deutlich ausführlicher als
die Risikoanalyse, die im gesamten Anwendungsbereich des DSMS durchgeführt werden
muss.
Meist lassen sich aber nur über eine solch detaillierte Analyse alle potentiellen Schwach-
stellen aufdecken bzw. überhaupt erst die Angemessenheit vieler TOMs bewerten. Denn
was auf dem Papier als angemessen erscheint, kann nach einer Beobachtung der prakti-
schen Umsetzung zu einer ganz anderen Bewertung führen. Auch lassen sich auf diese
Weise mögliche Schadensszenarien deutlich realistischer bewerten. Die Prozessanaly-
se ist daher als Ergänzung der Risikoanalyse zu verstehen, um diese noch effektiver
auszugestalten und direkt an den Prozessen ansetzen zu können.
Aufgrund des zusätzlichen Aufwandes können nicht alle Prozesse derartig im Detail
untersucht werden und es müssen die kritischen Prozesse identifiziert werden. Dabei ist
wie folgt vorzugehen:
Search WWH ::
Custom Search