Database Reference
In-Depth Information
der fachbereichsspezifischen Dokumentation (Verfahrensverzeichnis, ADV-Verträge etc.)
sehr viele Ressourcen binden und deshalb häufig als eigene Maßnahmen in die Do-Phase
hineinwirken, ist an dieser Stelle primär die umfassende Überprüfung und Anpassung des
DSMS-Handbuches wichtig. Die weitergehende Dokumentation außerhalb des Handbu-
ches sollte primär daraufhin untersucht werden, ob sie entsprechend den zugeordneten
Zyklen tatsächlich überprüft worden ist und inwieweit Änderungen auf das DSMS-
Handbuchdurchschlagen. WennalsobeispielsweisedieRechtsabteilungdieMustervorlage
für die Beauftragung von ADV-Dienstleistern aufgrund von neuen rechtlichen Anfor-
derungen ändert, ist an dieser Stelle zu prüfen, ob eben diese Änderungen kenntlich
gemacht und die zugehörigen Beschreibungen im DSMS-Handbuch nach wie vor aktuell
sind. Die Dokumentation des DSMS und deren Revision sollte - wie bereits im zugehöri-
gen Abschn. (Abschn. 5.2.4) erwähnt - nicht als einmalige Tätigkeit verstanden werden,
sondern kontinuierlich geschehen. So wird an dieser Stelle in erster Linie das Doku-
mentenmanagement des DSMS einer Prüfung unterzogen. Zusätzlich wird die bestehende
Dokumentation erweitert, sofern der Risikobehandlungsplan dies erfordert.
5.3.5 „Re-Roll-out“
Werden wichtige Dokumente inhaltlich geändert oder treten neue (dokumentierte)
Anforderungen an die Mitarbeiter in Kraft, so ist über einen „Re-Roll-out“ für die Be-
kanntmachung dieser Veränderungen zu sorgen. In erster Linie betrifft dies Änderungen
der Datenschutz-Policy und des DSMS-Handbuches. Auch an dieser Stelle gilt es, für eine
angemessene Vor- und Nachbereitung zu sorgen (siehe Abschn. 5.2.5.1). Eventuell sind
auch zusätzliche Trainingsmaßnahmen (Abschn. 5.2.6) abzuhalten. Oft ist hierfür weniger
Aufwand anzusetzen: Eine einfache E-Mail an alle Beteiligten reicht bei marginalen Ände-
rungen schon aus. Die lokalen DSMS-Akteure können Änderungen anschließend noch in
Team-Meetings erläutern und Fragen der Mitarbeiter beantworten.
5.3.6 Umsetzung der Maßnahmen
Auf Basis des Maßnahmenplans folgt nun wieder eine umfangreiche Phase zur Umsetzung
dieserMaßnahmen. DarausresultierteineweiteresignifikanteAnhebungdesDatenschutz-
niveausdurchneueundentsprechendderRisikosituationangemessenereTOMs. Andieser
Stelle sei anzumerken, dass die Maßnahmen nicht notwendigerweise bis zum Beginn der
Auditierung des DSMS umgesetzt worden sind. Denn über die bereits bestehende Grund-
struktur besteht bereits eine Grundlage für die Audits. Umfangreichere Maßnahmen -
etwa die Umgestaltung der IT-Infrastruktur - sollten also nicht deshalb aufgeschoben
werden, weil sie bis zu den Audits nicht voll umgesetzt werden können. Stattdessen sollten
solche Maßnahmen dann auf Projektbasis eingeführt und in die parallel dazu laufenden
Daueraktivitäten im etablierten DSMS (Abschn. 5.2.7) eingebunden werden.
Search WWH ::
Custom Search