Database Reference
In-Depth Information
tenschutzbezogene Vorfälle und leiten diese an den Konzerndatenschutzbeauftragten
weiter, der die entsprechenden Folgemaßnahmen veranlasst. Gleiches gilt für Anfragen
von Betroffenen auf externem Wege, bei denen die Mitarbeiter aus dem Support die
Weiterleitung an den DSB veranlassen.
5.2.7.7 Kontrolle der Umsetzung
Während nur ausgewählte Mitarbeiter die Umsetzung der meisten (v.a. technischen)
Maßnahmenbetreuen, obliegtesdenlokalenDSMS-Akteuren, diedokumentiertenAnfor-
derungen des DSMS in die tägliche Praxis aller Mitarbeiter zu überführen und permanent
sicherzustellen. Je nach Eigeninitiative der Mitarbeiter bedarf dies vor allem in der An-
fangsphase einer regelmäßigen Erinnerung und einem hohen Durchsetzungsvermögen,
um alte Routinen aufzubrechen sowie Schwachstellen zu entdecken und bereits an dieser
Stelle zu schließen. Dies verringert die Gefahr von Fehlentwicklungen und damit einem
möglichen Fehlschlag des DSMS. Auch Verständnisprobleme und Wissenslücken bei den
Mitarbeitern werden auf diese Weise aufgedeckt und können anschließend behoben wer-
den. Die an dieser Stelle durchzuführenden Kontrollen beschränken sich daher in erster
Linie darauf, ob die Inhalte der Arbeitsanweisungen oder Richtlinien umgesetzt werden.
DamitgrenzensiesichzudenAuditsundReviewsab, diedieFunktionsfähigkeitdesDSMS
als Ganzes bewerten.
Den DSMS-Akteuren stehen dazu eine Reihe von Möglichkeiten zur Verfügung wie
etwa Test-Audits (die eine informelle Form der internen Audits darstellen) oder auch
die Möglichkeit von Selbsttests durch die Mitarbeiter. Vielfach erweist sich jedoch das be-
kannte „Management by walking around“ und damit die Prüfung der Arbeitsabläufe in der
gelebtenPraxisalseffektivsteVariante. DamitgehenÜberprüfungenderArbeitsumgebung
und Büroräume sowie der Arbeitsmittel einher. Denn auch beim Datenschutz sind es oft
Details, die den Ausschlag geben und nur über diese direkte Herangehensweise ersichtlich
werden. Beispiele sind hier: Nicht gesperrte Computer, frei herumliegende Zutrittskarten,
Post-its mit Passwörtern am Monitor etc. Diese Liste ließe sich hier beliebig fortführen, in
der Summe bilden diese Sachverhalte aber ein gewaltiges Risikopotential und sind nicht
zu unterschätzen. Zum Teil können unterlassene Überprüfungen auch direkte Nachteile
für das Unternehmen nach sich ziehen, wie etwa die fehlende Kontrolle der Privatnutzung
der betrieblichen IT-Systeme: Hier besteht die Gefahr der betrieblichen Übung, welche
nur schwer außer Kraft gesetzt werden und damit die bisherige Planung durcheinander
bringen kann.
Bei den Kontrollen ist jedoch in höchstem Maße Fingerspitzengefühl zu wahren: So
kann das Verhältnis zu den Mitarbeitern rasch abkühlen, wenn die lokalen DSMS-Akteure
lediglich als Überwacher wahrgenommen werden. Kontrolle darf aber nur das Mittel
zum Zweck sein und dieser bemisst sich darin, Unterstützung für die Mitarbeiter bei
der Umsetzung der DSMS-Vorgaben zu bieten.
Search WWH ::
Custom Search