Database Reference
In-Depth Information
Risiken identifiziert, mit Maßnahmen behandelt und entsprechende Verantwortlichkeiten
bestimmt wurden, schließt sich nun unterstützend die Dokumentation an. Im Anschluss
daran kann das DSMS im Anwendungsbereich in Kraft gesetzt werden.
In erster Linie unterstützt die Dokumentation die einzelnen Tätigkeiten im DSMS,
um Datenschutzkonformität zu erreichen und wendet sich daher primär an alle Mit-
arbeiter. Insbesondere am Anfang, wenn das DSMS neu implementiert wird, hilft bei
Unsicherheiten oftmals ein Blick in die einschlägige Dokumentation. Gleiches gilt für neue
Mitarbeiter, die im Anwendungsbereich des DSMS eine Tätigkeit aufnehmen und noch an
keiner ausführlichen Schulungsmaßnahme teilgenommen haben. Auch bei divergieren-
den Ansichten, wie genau an einem bestimmten Punkt verfahren werden soll, kommt der
Dokumentation mittels Vereinheitlichung von Sachverhalten eine Klarstellungsfunktion
zu. Dementsprechend stellt die Dokumentation sowohl Gebote als auch Verbote auf und
dient so als Beweismittel für Verstöße gegen interne Anweisungen.
Zum Teil stellt das Gesetz Vorgaben für die Dokumentation des DSMS. Dies betrifft
u.a. das (externe) Verfahrensverzeichnis i.S.d. § 4g II BDSG, die Verpflichtung auf das
Datengeheimnis nach § 5 BDSG sowie die Verträge im Rahmen einer ADV-Beziehung
(§ 11 BDSG). Auch eine weitergehende Dokumentation kann rechtliche Relevanz haben,
etwa um den Aufsichtsbehörden die ordnungsgemäße Umsetzung des Datenschutzes dar-
zulegen. Die Dokumentation des DSMS kann sich zudem in Teilen als nützlich erweisen,
Kunden gegenüber die eigene Datenschutzkonformität nachzuweisen. So können Über-
sichten der eigenen TOMs dabei helfen, sich in der Rolle des Auftragnehmers dem Kunden
gegenüber als vertrauenswürdig darzustellen. Besondere Relevanz erlangt die Dokumenta-
tion im Rahmen der internen und externen Auditierung des DSMS. Die Überprüfung der
Dokumentation bildet einen essentiellen Bestandteil eines Audits. Sie dient dem Auditor
als Indikator für den allgemeinen Reifegrad der DSMS-Implementierung, da der Audi-
tor regelmäßig nur einen kleinen Ausschnitt der tatsächlichen praktischen Umsetzung zu
Gesicht bekommt. Teilweise gilt die Einreichung der einschlägigen Dokumentation und
positive Bewertung durch den Auditor überhaupt erst als die Voraussetzung zur Durch-
führung eines Vor-Ort-Audits, da erfahrene Auditoren bereits über diese Einsicht die
Erfolgsaussichten einer Zertifizierung einzuschätzen vermögen.
5.2.4.2 Aufbau einer DSMS-Dokumentation
Bereits zu Beginn der Dokumentation als auch in der Folgezeit sollte sich Art und Umfang
derDokumentationimmersowohlandenRahmenbedingungenimUnternehmenalsauch
an der tatsächlichen Erforderlichkeit ausrichten. Dokumentieren stellt keinen Selbstzweck
dar, sonderndientderUnterstützungdesDSMS.DokumenteverlierenihrenNutzen, wenn
sie nicht entsprechend ihrer Funktion in die tägliche Datenschutzarbeit integriert werden
(können). Die Dokumentation sollte daher in der Lage sein, die betriebliche Realität zum
Datenschutz abbilden zu können, sonst besteht die Gefahr, dass die Adressaten sie nur
unzureichend berücksichtigen. Ein weiterer Engpass in der Dokumentation ergibt sich aus
denbenötigten(v.a. personellen)RessourcenzurErstellungundVerwaltung. Diesverdeut-
licht, welche Kompromisse zwischen dem Machbaren und dem Notwendigen zu treffen
Search WWH ::
Custom Search