Database Reference
In-Depth Information
schutzkatalogen lassen sich durchaus aus einer Risikobetrachtung herleiten, jedoch erfolgt
diese Risikobetrachtung aus Sicht des BSI und nicht des Unternehmens selbst.
Das hier vorgestellte DSMS folgt konsequent dem risikobasierten Ansatz und richtet
sich nach der individuellen Risikosituation des Unternehmens. Durch den Schwerpunkt
auf die Ermittlung der Risiken und deren adäquater Behandlung wird es dem Leser dieses
Leitfadens möglich sein, die für sein Unternehmen erforderlichen Maßnahmen herzu-
leiten. Insbesondere ist das DSMS in seiner Methode unabhängig von der jeweiligen
gesetzlichen Grundlage und kann daher auch international eingesetzt werden. Die in Ab-
schn. 2.2.3 beschriebenen, sich stetig wandelnden gesetzlichen Anforderungen können
durch ein entsprechendes Risiko-Monitoring berücksichtigt werden. Zudem hat sich diese
Vorgehensweise auch in der Praxis bewährt: Unternehmen, die bereits ein Risikomanage-
mentsystemimplementierthaben, wieetwaSAP,könnendessenMethodenimRahmendes
DSMS weiter einsetzen und integrieren. Umgekehrt können Unternehmen ohne ein vor-
handenes Risikomanagement die im weiteren Verlauf dieses Praxisleitfadens vorgestellte
Methode nutzen, um den tatsächlichen Handlungsbedarf zu ermitteln und ihre Tätigkei-
ten entsprechend effizient zu koordinieren. Auf diese Weise können Unternehmen trotz
unterschiedlicher Voraussetzungen das DSMS nutzen. Dies wird in diesem Praxisleit-
faden durch die Verwendung von Szenarien für unterschiedliche Unternehmensgrößen
(Abschn. 4.1 ff.) berücksichtigt.
Neben dem Fokus auf das Risikomanagement sind noch andere Vorzüge des DSMS
zu nennen. So stellt das DSMS - anders als die in Abschn. 2.4 beschriebene Ad-hoc-
Vorgehensweise - einen ganzheitlichen Ansatz zur Umsetzung der Unternehmensziele
dar. Je nach Anwendungsbereich werden damit alle ausgeführten Verfahren und Prozesse
einbezogen. Dadurch ergeben sich weitere Vorteile:
•
Alle betroffenen
Mitarbeiter
werden in das DSMS eingegliedert. Dadurch wird das
Verantwortungsbewusstsein zur Erreichung der Datenschutzziele gestärkt. Gerade das
so wichtige Datenschutzbewusstsein, das jeder Mitarbeiter im Umgang mit personen-
bezogenen Daten benötigt, wird auf diese Weise gefördert. Damit einher geht die nicht
zu unterschätzende Gewissheit, in einer Umgebung zu arbeiten, in der die technischen
und organisatorischen Gegebenheiten datenschutzkonform ausgestaltet sind.
•
Ein dem DSMS inhärentes Prinzip ist der
kontinuierliche Verbesserungsprozess
(KVP)
. Damit ist die sukzessive Methode von Fehlerermittlung, -beseitigung und
-vorbeugung gemeint. Über geeignete Instrumente werden Veränderungen und
Schwachstellen in der Umsetzung der Datenschutzanforderungen erkannt, behoben
sowie für die Zukunft nach Möglichkeit ausgeschlossen. Für den Datenschutz bedeu-
tet dies, dass Vorfälle konsequent aufgearbeitet sowie regelmäßig mögliche Datenlecks
gesucht und anschließend geschlossen werden müssen. Zudem müssen aufgrund des
technischen Fortschritts die Kompetenzen der Mitarbeiter dementsprechend erweitert
werden. Nicht zuletzt wird das DSMS selbst regelmäßig einer Anpassung unterzogen.
•
Das DSMS baut auf einer soliden
Dokumentation
auf. Dadurch können Mitarbei-
ter und Management die Strukturen des DSMS besser nachvollziehen, zudem werden
Search WWH ::
Custom Search