Database Reference
In-Depth Information
erarbeiten. Detaillierte und vertrauliche Inhalte - wie etwa Audit-Ergebnisse - werden
dagegen nicht im Handbuch veröffentlich, sondern separat vom Verantwortlichen für
den Datenschutz verwaltet.
Mit diesem Handbuch als kontinuierlich erweiterte Beschreibung des DSMS erstellt
der Verantwortliche für den Datenschutz dann die weitere Dokumentation. Für die
Einführung der neuen CRM-Datei bedeutet dies Folgendes: Es muss für das neue Zu-
griffswesen eine Richtlinie in Zusammenarbeit mit der IT verfasst werden, die dann die
IT-Abteilung im späteren Verlauf technisch umsetzen muss. Um die Probleme mit der
Rechtmäßigkeit der Eingabe von Daten in den Griff zu bekommen, nimmt der Verant-
wortliche für den Datenschutz in Absprache mit dem Quality Manager eine Anpassung
der im Rahmen des QMS erstellten Prozessbeschreibung für das CRM vor und fügt
dort zusätzliche Schritte und Kommentierungen ein, die bei entsprechender Befolgung
durch die Mitarbeiter zu einer rechtmäßigen Datenverarbeitung führen. Ergänzende
Dokumente werden nach Bedarf in der Folgezeit der Do-Phase des DSMS ausformu-
liert, da die vollständige Schließung aller Lücken in der Dokumentation zu diesem
Zeitpunkt für den Verantwortlichen für den Datenschutz nicht zu bewerkstelligen ist.
MediumAG
Bei der Medium AG holt sich der externe DSB Rat vom Informationssicherheitsbeauf-
tragten bei der Erstellung und Verwaltung der Dokumentation. So wird als zentrale
Stelle für die Dokumentation eine gemeinsame Plattform für Datenschutz und In-
formationssicherheit im Intranet der Medium AG eingerichtet, die die zugehörigen
Dokumente im Rahmen des etablierten Berechtigungswesens den Mitarbeitern zu-
gänglich macht. Dafür werden sie klassifiziert: Während fachbezogene Dokumente
wie etwa Mustervertragsanhänge für eine ADV nur für die Fachabteilungen zugänglich
gemacht werden, wird für alle Mitarbeiter das DSMS-Handbuch veröffentlicht. Die-
ses Handbuch enthält die um vertrauliche Details bereinigte Beschreibung des DSMS
bei der Medium AG und verweist an den entsprechenden Stellen auf die zuständigen
Ansprechpartner. So wird beispielsweise ein allgemein gültiges Kapitel zum Thema
„Vorfallsmanagement“ erstellt, das für alle Mitarbeiter eine allgemeine Kontaktmög-
lichkeit zur Meldung von Datenschutzvorfällen aufweist. Daneben finden sich auch
bereichsspezifische Beschreibungen im Handbuch: Für das Kapitel zum B2C-Bereich
wird beispielsweise der zuständige Koordinator genannt und dessen Aufgaben aufge-
führt, ebenfalls wird ein User - nach einer erfolgreichen Prüfung der Berechtigung - auf
die bereichsspezifischen Arbeitsanweisungen und Richtlinien weitergeleitet („Näheres
finden Sie hier.“). Über diese Form des Dokumentenmanagements im Intranet wird so
eine zentrale Anlaufstelle geschaffen.
Weitere Dokumentationsansätze werden um die geplante Neueinführung des CRM-
Systems angestoßen: So erstellt die Rechtsabteilung im Rahmen der Beauftragung des
neuen CRM-Anbieters zugleich einen Mustervertrag, der die Vorgaben des externen
Search WWH ::
Custom Search