Database Reference
In-Depth Information
vielzitierte „Blick über die Schulter“, um Möglichkeiten aber vor allem Grenzen für die
Maßnahmen des DSMS aufzuzeigen. Auch die Schnittstellen zu anderen Prozessen sind zu
berücksichtigen. Insgesamt wird daher in der Regel ein fachbereichsübergreifender Work-
shop je Prozess notwendig sein. Als Ergebnis stehen jedoch deutlich präzisere Maßnahmen
zur Verfügung, die eine allgemeine Risikoanalyse in der Regel nicht zu liefern vermag. In-
demmandieseAnalysetätigkeitaufdiekritischenProzessekonzentriert, haltensichzudem
die Aufwände dafür in Grenzen.
SAP
Bei SAP übernimmt der Projektverantwortliche die Kommunikation mit den Pro-
zesseignern, sonstigen Experten und auch den Mitarbeitern. In gemeinsamen Work-
shops werden die Prozesse auf die Verwendung von personenbezogenen Daten
untersucht. Fachliche Unterstützung bekommen sie dabei zudem von einem Verant-
wortlichen aus dem Security & Data Protection Office. Dieser bringt die benötigte
Expertise für die Prozessanalyse mit:
•
Audit-Erfahrungen helfen dabei, Audit-Schlussfolgerungen aus der Auditierung an-
derer Bereiche an dieser Stelle auf ihre Anwendung im neuen Geschäftsbereich zu
prüfen. Fehlerquellen, die an anderer Stelle bereits erkannt und behoben wurden,
werden auf diese Weise direkt bei der Neueinführung des DSMS berücksichtigt.
•
Mit Kenntnissen der aktuellen Rechtslage kann der Verantwortliche aus dem
SDPO die Erforderlichkeit von zusätzlichen Maßnahmen in einzelnen Prozessschrit-
ten erkennen. Bedingt durch die globale Reichweite der auf dem BDSG-basierenden
Datenschutz-PolicyvonSAPhatsichdiesesFachwissenbeiaußereuropäischenLoka-
tionen als großer Mehrwert erwiesen: Dort muss z.T. erst das Bewusstsein geschaffen
werden, das eine Ausführung einer Tätigkeit zwar konform mit dem dort geltenden
nationalen Recht ist, aber u.U. gegen die Vorgaben der SAP-Datenschutz-Policy
verstößt.
•
Einschlägige Kenntnisse in der Vorgehensweise der ISO 9001 haben sich ebenfalls
bewährt.
Da die im Rahmen der Prozessanalyse erhobenen Informationen sehr umfänglich sind
und diskutiert werden müssen, werden hierzu mehrere Meetings angesetzt. Generell
wird ein zweistufiger Ablauf befolgt:
1. Über die bereits vorhandenen Prozesslandkarten besteht eine Übersicht über alle
Prozesse des Bereichs, sodass an dieser Stelle irrelevante Prozesse bereits ausgeklam-
mert werden. Geleitet wird dieser einführende Workshop durch einen erfahrenen
DSMS-Experten.
2. Eindeutig relevante Prozesse werden in separaten Sitzungen (eine oder mehrere je
Prozess) detailliert untersucht. Leiter ist hier wieder der DSMS-Experte vom SDPO,
TeilnehmersindzudemderjeweiligeProzessverantwortliche, evtl. derManager, der
diesen Prozess nutzt und einzelne Mitarbeiter, welche im Prozess arbeiten. In der
Regel wird der Prozess praktisch durchgespielt. Als Ergebnis erhält man eine Über-
Search WWH ::
Custom Search