Database Reference
In-Depth Information
SAP
Bei SAP muss zwischen dem umfangreichen Audit-Wesen und den lokalen Vorbe-
reitungsmaßnahmen auf die Audits unterschieden werden. Audits sind generell für
die meisten Mitarbeiter kein Neuland, jedoch rücken im Rahmen des DSMS teilweise
auch Mitarbeiter in die Betrachtung, die zuvor noch keine Erfahrungen mit Audits
gemacht haben, sei es, weil vorher kein Managementsystem etabliert war oder auch
weil die Audits auf anderen Ebenen angesetzt haben. Die Vorbereitung auf die Au-
dits obliegt aufgrund der prozessbezogenen Ausrichtung des DSMS primär den lokalen
Datenschutzvertretern. Informationen und Tipps rund um Ablauf und Terminierung
der Audits werden vom Security & Data Protection Office bereitgestellt, welches auch
die Audit-Bereitschaft eines bestimmten Bereiches feststellt. Regelmäßig stellt es daher
einen Schwerpunkt in der Tätigkeit eines lokalen Datenschutzvertreters dar, den von
ihm verantworteten Bereich für die Audits vorzubereiten. Die Auswahl der Metho-
den liegt dabei in seinem Ermessen. Bewährt hat sich neben der Durchführung von
Probe-Audits auch die Vornahme von Tests. Die Datenschutztests für die Mitarbei-
ter bestehen aus einer Sammlung von Fragen rund um den Datenschutz und um das
DSMS. Die Eingaben dafür liefern die Ergebnisse vergangener Audits. Ebenfalls wer-
den diese Ergebnisse beispielsweise als „Flip Book“, E-Book oder auch als einfaches
Excel-Spreadsheet aufbereitet und den Mitarbeitern zur Durchführung von Selbsttests
zur Verfügung gestellt.
5.2.7.8 Beginn mit der kontinuierlichen Verbesserung
Der Kontinuierliche Verbesserungsprozess (KVP) als stetige Verbesserung - auch in klei-
nen Schritten - stellt den Kerngedanken des DSMS dar. Verbesserungspotentiale sind
folglich zu jeder Zeit des DSMS zu erfassen und umzusetzen. Häufig offenbaren sich einige
davon bereits in dieser Phase und damit vor der eigentlichen Check-Phase, insbesondere
wenn man an Schwierigkeiten bei der praktischen Umsetzung des geplanten Soll-Zustands
stößt oder auch bereits vor den formellen Audits stichprobenhafte Kontrollen einführt
(siehe oben, Kap. Abschn. 5.2.7.7). Deshalb sollte bereits zu diesem Zeitpunkt mit der
Erstellung und Pflege einer Liste der Korrektur- und Vorbeugemaßnahmen (CAPA - Cor-
rective and Preventive Actions) begonnen werden, die über die gesamte Zeit des DSMS
durchgehend aktualisiert wird. Diese Liste wird im Folgenden als CAPA-Liste bezeichnet.
Dabei wird zwischen folgenden Action Items für diese Liste unterschieden:
•
Korrekturmaßnahmen („Corrective Actions“) dienen nach der ISO 9001 zur „Be-
seitigung der Ursachen von Fehlern (
...
), um deren erneutes Auftreten zu verhin-
dern.“ Zu ihrer Herleitung greift man über eine Analyse der Fehlerursachen auf
Vergangenheitswerte zurück, etwa Informationen rund um einen Datenschutzvorfall.
•
Vorbeugemaßnahmen (Preventive Actions) dienen nach der ISO 9001 zur „Beseiti-
gung der Ursachen von möglichen Fehlern (
...
), um deren Auftreten zu verhindern.“
Search WWH ::
Custom Search