Database Reference
In-Depth Information
prüfen, ob unternehmensweit die TOMs zusammengefasst oder je nach Standort, Pro-
zess oder sonstiger Unterteilung in jeweils eigene Listen eingetragen werden. Eine weitere
Herausforderung stellt die Zuteilung der Verantwortlichkeiten für Erstellung und Pflege
dieser Dokumentation dar, da es sich hierbei um eine umfangreiche Tätigkeit handelt, die
bereichsübergreifend unter Einbezug von IT, Security, Facility Management etc. durchge-
führt werden muss. Die Verwaltung der oftmals gestückelten TOM-Dokumentation kann
bspw. über entsprechende Metainformationen am Anfang eines Dokuments erfolgen.
5.2.4.3.3.3 Organisationsbezogene Dokumente
Organisationsbezogene
Dokumente geben dem Unternehmen einen geeigneten Über-
blick darüber, wer wie welche datenschutzrelevanten Tätigkeiten im Unternehmen
ausführt. Dafür bieten sich verschiedene Möglichkeiten an:
•
Die über das DSMS abgedeckten Prozesse im Unternehmen werden im Rahmen
einer geeigneten
Prozessbeschreibung
dokumentiert. Zusätzlich können über die
gängigen Methoden zur Prozessmodellierung Prozessvisualisierungen erstellt werden.
Gerade solche Prozessbeschreibungen heben die riskanten Datenschutztätigkeiten im
Unternehmen hervor und können diese auch im Rahmen eines weiterführenden Pro-
zessmanagements abmindern. Der wichtigste Aspekt ist jedoch die Übersicht darüber,
welche DSMS-bezogenen Tätigkeiten der Prozess aufweist. Beispielsweise bietet sich für
dieAuswahlvonDienstleisterneineProzessbeschreibunganoderauchfürdenrichtigen
Umgang mit den Betroffenenrechten. Die Informationen zur Erstellung einer solchen
Prozessbeschreibung werden idealerweise bereits im Rahmen der Bestandsaufnahme
(Kap. 5.2.3) erhoben.
•
Auch die Verfahren der
automatisierten Datenverarbeitung
müssen dokumentiert
werden. Besondere Relevanz erlangt diese Form der Dokumentation durch die gesetz-
liche Pflicht zur Erstellung eines (externen) Verfahrensverzeichnisses (§ 4g II BDSG).
Mittlerweile hat sich die Praxis herausgebildet, die Informationen der datenverarbei-
tenden Verfahren mehrstufig zu verwalten. Ein dreistufiger Ansatz wird etwa in einem
Praxisleitfaden der BITKOM zum Verfahrensverzeichnis vorgestellt:
- Die Fachbereiche liefern Eingaben über die einzelnen Anwendungen in den
Verfahren für ein
Anwendungsregister
.
- DieAnwendungenwerdenzudenjeweiligendatenverarbeitendenVerfahrenineiner
Verfahrensübersicht
gebündelt, die vom Verantwortlichen für den Datenschutz
verwaltet wird.
- Aus dieser internen Verfahrensübersicht werden sodann die wesentlichen, gesetz-
lich geforderten Angaben (§ 4e BDSG) für ein externes
Verfahrensverzeichnis
extrahiert.
•
Ein sehr wichtiges Dokument im DSMS ist das
Rollenkonzept
. Ein Rollenkonzept be-
schreibt alle im Bereich des DSMS vergebenen Rollen. Beispielhaft hier erwähnt seien
dieRollendesVerantwortlichenfürdenDatenschutzunddiedesDatenschutzkoordina-
tors, wobei mehr Stufen (etwa zusätzliche Datenschutzvertreter) mehr Rollen bedeuten.
Search WWH ::
Custom Search