Implementierung - Praxisleitfaden zur Implementierung eines Datenschutzmanagementsystems

Database Reference

In-Depth Information

Ebenfalls stößt dieses Konzept an Grenzen, wenn Datenschutzbelange in Konflikt mit

anderen Interessen (etwa einem günstigeren Angebot eines nicht nachweislich qualifizier-

ten Dienstleisters) stehen. Zur Abweichung von dem dargestellten Konzept ist daher ein

Eskalationsprozess einzuführen und zu ermitteln:

• WelcherVerantwortlichekanntrotzfehlendemDatenschutznachweisdieBeauftragung

des Dienstleisters freigeben? Dies kann ermittelt werden über die Risikoinhaberschaft

bezüglich des betrieblichen ADV-Wesens.

• Gibt es Abstufungen in den Kriterien? Gibt es K.O.-Kriterien?

• ExzeptionelleBewertungkritischerKriterien, wenndiesefüreinespezielleBeauftragung

nicht relevant sind.

• Wie ist der Eskalationspfad? Wie viele Stufen gibt es?

• Wie sind die einzelnen Eskalationsschritte auszugestalten? (z.B. 1. Stufe: Anstre-

ben eines Kompromisses, 2. Stufe: Risiko ohne Kompromiss akzeptierbar?, 3. Stufe:

Entscheidung durch die Geschäftsleitung bei eigentlich nicht akzeptablem Risiko).

Die Eskalation bis in diese hohe Ebene ist notwendig, da die Datenschutzkonformität bis

zu diesem Punkt nicht nachgewiesen werden konnte und somit eine Abweichung von

der Datenschutz-Policy (Abschn. 5.2.1.3) notwendig wird. Dies verlangt entsprechende

Befugnisse, die nur bei der Geschäftsleitung vorhanden sind.

5.2.7.6 Datenschutzvorfälle und Anfragen von außerhalb

Zwar dient das DSMS in erster Linie zur Vermeidung von Datenschutzvorfällen, nichts-

destotrotz können diese nicht zu 100% verhindert werden. Gerade in der Anfangsphase

der Implementierung des DSMS wird vielen Mitarbeitern überhaupt erst bewusst, dass

bestimmte Vorgänge einen Datenschutzvorfall darstellen. Der Umgang mit Vorfällen

ist zur Eingrenzung seiner Auswirkungen schon im Voraus zu planen und es müssen

Mechanismen etabliert werden, wie Folgemaßnahmen angegangen werden:

• Die Ursachen des Vorfalls müssen ermittelt und beseitigt werden.

• Die negativen Folgen des Vorfalls müssen eingedämmt werden.

• Risiken müssen neu bewertet werden.

• Evtl. müssen Betroffene informiert werden (§ 42a BDSG)

• Evtl. wird die Aufsichtsbehörde aufmerksam und verlangt Auskunft

Dies stellt nur einen Ausschnitt aus den möglichen Folgemaßnahmen eines Daten-

schutzvorfalls dar. Generell gilt hier wie in der Informationssicherheit auch, dass ein

Vorfallsmanagement eingerichtet werden muss, welches proaktiv ausgerichtet und damit

bereits vor einem Datenschutzvorfall etabliert ist. Bestehende Strukturen zum Umgang mit

Sicherheitsvorfällen (vgl. ISO 27001 oder ITIL) lassen sich um das Management von Da-

tenschutzvorfällen unter Hinzuziehung von Datenschutzexperten an den entsprechenden

Stellen erweitern.

Anfragen von Betroffenen (§ 6 I BDSG) oder der Aufsichtsbehörde (§ 38) treten eben-

falls ohne Vorankündigung auf und müssen in einer angemessenen Zeit bearbeitet werden.

Search WWH ::

Custom Search

Home