Database Reference
In-Depth Information
sierung
zu unterziehen. Es mag zwar im Sinne einer vollständigen Compliance sein, wenn
alle datenverarbeitenden Prozesse mit Maßnahmen unterlegt werden. Dies widerspricht
jedoch dem Wirtschaftlichkeitsgebot und damit der betrieblichen Realität, die es in den
meisten Fällen unmöglich macht, alle Prozesse im ersten Anlauf vollständig in das DSMS
zu integrieren. Je nach Risikoappetit des Unternehmens lassen sich einzelne Prozesse an
dieser Stelle aus dem DSMS herausnehmen und lediglich über Ad-hoc-Projekte betreu-
en. Auf diese Weise bleiben die wichtigsten Prozesse im Fokus des DSMS und in der
Implementierung geht der Überblick nicht verloren. Die hier aus dem Scope des DSMS
genommenen, weniger kritischen Prozesse können zudem im nächsten PDCA-Zyklus
berücksichtigt werden. Um einen Prozess als prioritär gegenüber anderen einstufen zu
können, muss das Unternehmen Kriterien festlegen. Beispielsweise kommen hier in Frage:
•
Besondere personenbezogene Daten i.S.d. § 3 IX BDSG werden verarbeitet
•
Eine vergleichsweise hohe Anzahl an Mitarbeitern verarbeitet die Daten
•
ADV mit zusätzlich vom Auftragnehmer eingesetzten Unterauftragnehmern
•
Übermittlung in Drittstaaten
•
Hohe Kundenrelevanz
•
Direkter Verbraucherkontakt
•
Besonders hohe Anforderungen an Vertraulichkeit/Verfügbarkeit/Integrität der Daten.
5.2.3.3.3 AnalyseimDetail
Die kritischen Prozesse, in denen personenbezogene Daten verarbeitet werden, müssen
sodann genau in die einzelnen Prozessschritte
aufgeschlüsselt
werden. Erst an diesen
Punkten können die wirklich relevanten Informationen und Kausalzusammenhänge er-
mittelt werden. Es zeigt sich beispielsweise, welche(r) Mitarbeiter Zugriff auf welche Daten
haben (hat), welche TOMs genau im Einsatz sind und zu welchem Zweck die Daten ver-
wendet werden. Auch Schnittstellen zu anderen Prozessen werden offenbar. So werden
auf der einen Seite potenzielle Verstöße gegen Datenschutzregelungen aufgedeckt. Viel
wichtiger ist jedoch die Identifikation der Prozessschritte, die es im Folgenden verstärkt zu
kontrollieren und damit im Scope des DSMS zu halten gilt.
5.2.3.3.4 Ergebnis
An den über diese dreistufige Vorgehensweise ermittelten Stellen bieten sich - neben den
ErgebnissenausderRisikoanalyse-zusätzlicheAnsatzpunktefürdasDSMS.ÜberArbeits-
anweisungenundRichtlinien-diedenProzessablaufberücksichtigen-kanndasVerhalten
derMitarbeiterzugunstenderDatenschutzkonformitätinnerhalbdesProzessesbeeinflusst
werden, neue TOMs werden je nach Erforderlichkeit eingeführt. Auch lässt sich so ermit-
teln, wo die DSMS-Akteure (Datenschutzkoordinatoren etc.) idealerweise positioniert
werden müssen, um das DSMS effektiv zu steuern. An diesem Schritt sollten neben den
Verantwortlichen der DSMS-Implementierung auch die relevanten Business-Stakeholder
des Prozesses beteiligt werden. Auch die Mitarbeiter, die den Prozess regelmäßig ausfüh-
ren, sollten einbezogen werden. Statt dies zu verkomplizieren, hilft hier oft bereits der
Search WWH ::
Custom Search