Database Reference
In-Depth Information
gesetzlichen Pflichten nachgekommen sind. Deshalb sollte eine Zertifizierung des DSMS
durchaus angestrebt werden.
Ohne eine solche Zertifizierung jedoch werden datenschutzbewusste Kunden die
Durchführung eines Audits verlangen, wobei je nach Verhandlungsposition eine Seite
mehr oder weniger Vorgaben zu Art und Umfang eines Audits machen kann. Da sich
folglich in der Praxis kaum generelle Vorgaben dafür machen lassen, soll an dieser Stelle
lediglich erwähnt werden, dass über das DSMS regelmäßig eine sehr gute Grundlage für
solche Audits besteht (siehe dazu auch Abschn. 3.1.2 - Vorteile des DSMS):
•
Das DSMS ist umfangreich dokumentiert, der Kunde kann somit einsehen, welche
Anstrengungen das Unternehmen unternimmt.
•
Der risikobasierte Ansatz zeigt dem Kunden, dass das Unternehmen seine größten
Risiken erkannt hat und entsprechend behandelt.
•
MitdemganzheitlichenAnsatzunterEinbeziehungallerMitarbeitererkenntderKunde,
dass auch Risiken auf Mitarbeiterebene konsequent angegangen werden und sich das
Unternehmen um die Qualifikation seiner Mitarbeiter bemüht.
•
Die Anstrengungen zur kontinuierlichen Verbesserung zeigen dem Kunden, dass das
UnternehmensichnichtaufdemStatusquoausruht, sondernweiterhinVerbesserungs-
potential identifiziert und umsetzt.
•
Das DSMS kann auch strengere Vorgaben als die einschlägigen Gesetze umsetzen,
sofern dies in der Planungsphase berücksichtigt wurde (siehe Abschn. 4.2.1.2.3 - Sco-
ping). Kunden mit besonders hohen Anforderungen bietet das DSMS deshalb auch
mehr Sicherheit als ein bloßer Nachweis gesetzlicher Mindestvorgaben.
All dies führt dazu, dass Unternehmen mit einem DSMS gut gerüstet sind für Anfragen
ihrer Kunden in diese Richtung. Eine Positionierung im Wettbewerb im Hinblick auf die
nachweisliche Erfüllung der Datenschutzvorgaben ist somit möglich.
5.2.11.2 Zertifizierungs-Audit (3rd-Party-Audit)
5.2.11.2.1 NutzendesDSMS-Zertifikats
Die beste Grundlage für eine Überzeugung des Kunden bleibt ein zertifiziertes DSMS.
Dazu werden 3rd-Party-Audits durch einen externen Auditor einer akkreditierten Zer-
tifizierungsstelle durchgeführt. Dieser überprüft die Wirksamkeit des DSMS anhand der
Zertifizierungskriterien, es wird dabei das DSMS als System auditiert. Liegt diese Wirk-
samkeit nach Ansicht des Auditors vor, erhält das Unternehmen ein gleichlautendes
Zertifikat. Folglich testiert das Zertifikat, dass das Unternehmen die Fähigkeit besitzt,
den Datenschutz nach den zugrunde gelegten Anforderungen systematisch zu managen.
Mittelbar wird damit gleichzeitig ausgedrückt, dass das Unternehmen die Datenschutzan-
forderungen zudem umgesetzt hat, denn nur auf diese Weise lässt sich die Wirksamkeit
des gesamten DSMS feststellen. Ein Zertifikat zum DSMS drückt damit Folgendes für den
Kunden aus: Das Unternehmen hat nicht nur zum Stichtag der Zertifizierung die Da-
tenschutzanforderungen umgesetzt, sondern hat auch Strukturen geschaffen, das bisher
Search WWH ::
Custom Search