Database Reference
In-Depth Information
sicht der datenschutzrelevanten Prozesse und je Prozess die datenschutzrelevanten
Elemente. Die relevanten Prozessschritte werden mit den unternehmenseigenen
Datenschutzrichtlinien verglichen und eröffnen an dieser Stelle Ansatzpunkte für
mögliche Maßnahmen (insb. die Einführung von Arbeitsanweisungen), die dann
von den Beteiligten direkt in diesem Workshop beschlossen werden.
Gerade die Zusammenarbeit während der Implementierung des DSMS in Geschäftsbe-
reichen mit bestehenden ISO 9001-QMS hat sich als sehr konstruktiv erwiesen, da hier
bereits viele Anstrengungen zur Prozessanalyse (und anschließenden Verbesserung)
unternommen wurden und diese Erfahrungen auch für das DSMS von großem Nutzen
sind.
5.2.3.4 Einbeziehung der DSMS-Akteure in die Maßnahmenplanung
Im Anschluss an die Risikoanalyse (und die Prozessanalyse) müssen die Aufgaben zur
Umsetzung der Maßnahmen verteilt werden. Die DSMS-Akteure sind dabei - sofern
noch nicht beim Projektstart geschehen - sinnvollerweise spätestens an dieser Stelle
analog des Governance Models (Abschn. 5.2.1.2) des Unternehmens für den Daten-
schutz offiziell zu
ernennen
. Dies bedeutet, dass je nach beschlossenem Governance
Model neben dem Verantwortlichen für den Datenschutz beispielsweise pro Abteilung
ein Datenschutzkoordinator endgültig bestimmt und ernannt werden muss.
Während das Governance Model die Rollen im DSMS abstrakt beschreibt, müssen an
dieser Stelle nun die
konkreten Aufgaben
bezüglich der Umsetzung der einzelnen Maß-
nahmen verteilt werden, d.h. die DSMS-Akteure werden Maßnahmenverantwortliche.
MaßnahmenkönnenbeispielsweiseschwerpunktmäßigüberdenVerantwortlichenfürden
Datenschutz ausgeführt werden oder diese Tätigkeit wird an entsprechende Unterstützer
(z.B. Datenschutzkoordinatoren und -vertreter) delegiert. Grundsätzlich sollte angestrebt
werden,
Maßnahmen so lokal wie möglich umzusetzen
, da dies den jeweiligen Gege-
benheiten besser Rechnung trägt. Im Ergebnis bedeutet das: Risikoinhaberschaft ist ten-
denziell auf den hohen Managementebenen angesiedelt, Maßnahmenverantwortlichkeit
tendenziell weiter unten.
DieendgültigeMaßnahmenverantwortlichkeitmusszudemineinemDSMS-Handbuch
(Abschn. 5.2.4.3.2) dokumentiert werden, während die Risikoinhaberschaft in das
Risikoregister einzutragen ist.
Alle im Rahmen der Risiko- und Prozessanalyse beschlossenen Maßnahmen müs-
sen in einen oder mehrere Maßnahmenpläne übertragen werden, anhand dieser später
die Do-Phase des DSMS-PDCA ausgeführt wird. Dementsprechend handelt es sich
auch dabei um mehr oder weniger detailliert ausformulierte „To-Do“-Listen für die
Maßnahmenverantwortlichen.
Insgesamtistzubeachten, PersonennursovieleAufgabenandieserStellezuübertragen,
dassihreHauptaufgabendarunternichtinunbeabsichtigterWeiseleiden. Das
Arbeitspen-
sum durch das DSMS
muss daher berücksichtigt und entsprechend verteilt werden, eine
Überfrachtung einzelner Personen mit zu vielen DSMS-Aufgaben ist zu vermeiden. Zu-
demmüssendieVerantwortlichenjenachübertragenenMaßnahmenverantwortlichkeiten
Search WWH ::
Custom Search