Database Reference
In-Depth Information
DashierbeschriebeneSystemvariiertindeneinzelnenBereichenundistsehrvonden
lokalen Gegebenheiten abhängig. Insgesamt beruht ein wesentlicher Teil des Erfolges
des DSMS auf dem regelmäßigen Austausch der zahlreichen Beteiligten und es werden
auch in diesem Bereich immer wieder Verbesserungspotentiale erkannt und umgesetzt.
5.2.7.3 Risikoüberwachung
Das DSMS als risikobasierter Ansatz benötigt eine qualifizierte Überwachung der Risiken,
um die Angemessenheit der ergriffenen Maßnahmen durchgehend bewerten zu können
und die verbleibenden Restrisiken im Blick zu behalten. Zum einen verlangen gravierende
Veränderungen der Risikosituation ein zeitnahes Eingreifen, zum anderen erleichtert das
kontinuierliche Überwachen des Risikos die in jedem DSMS-Zyklus neu vorzunehmende
Risikoanalyse und -behandlung (siehe Abschn. 5.3 - Überführung in den Regelbetrieb), da
anders als bei der Erstimplementierung dann bereits auf Erfahrungswerte zurückgegriffen
werden kann.
Die Risikoinhaber (siehe Abschn. 5.2.3.2.5) haben daher in regelmäßigen Abständen
den Status des von ihnen verantworteten Risikos zu untersuchen. Dabei ist mindestens zu
prüfen:
Wie hat sich die Umsetzung der Maßnahmen auf das Risiko ausgewirkt? Ist die geplante
Verringerung eingetreten oder gab es unvorhergesehene Abweichungen?
Gibt es Änderungen in den Ursachen des Risikos, z.B. eine Änderung der Rechtslage,
die zu einer Neubewertung führen müssen?
Hat sich das Risiko realisiert?
Weitergehende Prüfungen, etwa eine genaue Neubewertung von Eintrittswahrscheinlich-
keit und Schadensausmaß durch den Risikoinhaber, sind anzustreben, aber auch sehr
aufwendigundverlangeneineBefähigungdesRisikoinhabersinderunternehmenseigenen
Methode zur Risikobewertung. Sofern ein unternehmensweites Risikomanagementsystem
etabliert ist und einzelne Personen nur für einige wenige Risiken als Risikoinhaber auftre-
ten, lässt sich dieser Aufwand vertreten. Ansonsten wird mit der Überführung des DSMS
in den Regelbetrieb eine jährliche Neubewertung aller Risiken ohnehin notwendig werden.
Um eine funktionierende Risikoüberwachung zu gewährleisten, muss außerdem ein
Berichtswesen etabliert werden. Die Risikoinhaber berichten an eine zentrale Stelle - etwa
den Verantwortlichen für den Datenschutz oder die zentrale Abteilung für das Risiko-
management - und die Ergebnisse werden dort aggregiert und ausgewertet. Auch eine
Ad-hoc-Berichterstattung sollte etabliert werden, wenn sich ein Risiko plötzlich und in
gravierendem Ausmaß zu Ungunsten des Unternehmens entwickelt.
Die lokalen Risikoinhaber erstellen monatlich (hohe Risiken) oder quartalsmä-
ßig (mittlere und kleinere Risiken) einen Risikobericht, die Ergebnisse werden
vom Verantwortlichen für den Datenschutz in das große, unternehmensweite
Risikoregister überführt. Dieses steht der Geschäftsleitung zur Einsicht offen
Search WWH ::




Custom Search