Database Reference
In-Depth Information
reich, da mit angemessenen TOMs auch die Rechtswidrigkeit des datenverarbeitenden
Verfahrens nicht aus diesem Grund gegeben ist und etwaige Bußgelder aus anderen
Gründen deshalb voraussichtlich geringer ausfallen werden.
SAP
Bei SAP erfolgen die Vorgaben zur Risikoüberwachung durch das konzernweite Ri-
sikomanagementsystem. Dieses definiert auch die zuständigen Risikoinhaber und
Berichtszeiträume, entsprechend ist ein Berichtswesen etabliert. Die Risikoinhaber
überwachen das Risiko und berichten über mehrere Stufen an die zentrale Risiko-
abteilung - je höher das Risiko, desto detaillierter und öfter. Zudem sind in den
lokalen Einheiten Risikomanager bestimmt, die auch neue Risiken identifizieren. Bei-
spielsweise obliegt es diesen, regelmäßig über einschlägige Änderungen der rechtlichen
Rahmenbedingungen zu berichten. Die aggregierten Ergebnisse dieses kontinuierlichen
Risikomanagements werden neben dem Vorstand in Bezug auf den Datenschutz auch
dem Konzern-DSB sowie dem Security & Data Protection Office zur Verfügung gestellt.
Auf Basis dieser Informationen kann die Erforderlichkeit von Korrekturmaßnahmen
erkannt sowie die Schwerpunkte der Audits geplant werden.
5.2.7.4 Veränderungen und Vorabkontrolle
Die Rahmenbedingungen, die in der Planungsphase zur Ableitung von Maßnahmen
geführt haben, ändern sich kontinuierlich und damit auch die Risikosituation des Unter-
nehmens. DiesbetrifftnichtnurdasDSMSalssolches, sondernjeglichesunternehmerische
Handeln. Es liegt daher auf der Hand, dass diese Veränderungen begleitet und mit dem
DSMS in Einklang gebracht werden müssen. Als Beispiele für solche Veränderungen seien
hier genannt:
•
Mitarbeiter scheiden aus bzw. treten bei
•
Ein Unternehmen wird akquiriert
•
Ein neuer Dienstleister wird beauftragt (ADV)
•
Anderweitige Managementaktivitäten verlangen eine Anpassung der Strukturen, in
denen sich das DSMS bewegt (z.B. Anpassung eines Geschäftsprozesses)
•
Technologische Veränderungen (z.B. Einführung eines automatisierten Verfahrens)
•
Veränderungen der Anforderungen an das DSMS (Gesetze, Kunden etc.)
Für manche dieser Veränderungen lässt sich ein Aufschub bis zum nächsten Durchlauf
des DSMS und damit eine Berücksichtigung in der neuen Plan-Phase einrichten. Andere
hingegen verlangen entweder ein unmittelbares Eingreifen (z.B. bei Einrichtung eines
neuen automatisierten Verfahrens) oder lassen sich auch ohne viel Aufwand mit Ad-hoc-
Maßnahmen unterlegen (z.B. die Einbeziehung neuer Mitarbeiter in das DSMS ).
Wichtig für die DSMS-Akteure ist es, sich nicht starr an die jährliche Abfolge des DSMS
zu halten: Beim DSMS-PDCA wird das Managementsystem als solches verbessert, um
Search WWH ::
Custom Search