Database Reference
In-Depth Information
Zertifikat grundsätzlich ein schlechter Ratgeber bei der Entscheidung für oder gegen ein
DSMS ist. Wie bereits unter Abschn. 3.1.3 dargestellt, wird auf diese Weise nur unzurei-
chend der Wirkung des DSMS nach innen Rechnung getragen. Das DSMS als solches wird
zum Ad-hoc-Projekt. Vielmehr dagegen lebt das DSMS vom Engagement der Beteiligten
und eine Zertifizierung sollte deshalb nur als Krönung des bis dahin Erreichten gelten.
Daher sollte der Schwerpunkt der Herangehensweise an ein DSMS auf die tatsächliche
Optimierung der internen Abläufe und die Nutzung der in Abschn. 3.1.2 genannten Vor-
teile gelegt werden, um so eine möglichst hohe Datenschutzkonformität auch tatsächlich
zu erreichen. Denn ein DSMS muss nicht in jedem Fall zertifiziert werden.
Eine Zertifizierung des DSMS sollte aber auch nicht leichtfertig ausgelassen
werden. In der Praxis erweist sich die Auditierung durch einen externen Dritten
regelmäßigalsbedeutendeHilfe. VielfachwerdennuraufdieseWeiseSchwach-
stellen im bisherigen Datenschutzkonzept entdeckt und können folgerichtig
behoben werden. Der Aspekt der Betriebsblindheit sollte daher auch im Daten-
schutz nicht unterschätzt werden, gerade wegen des großen Risikopotentials
und der Notwendigkeit einer kontinuierlichen Verbesserung.
Wie bereits oben erwähnt (Abschn. 3.1.3) gehen mit der Zertifizierung regelmäßig Auf-
wände einher. Es ist daher empfehlenswert, mindestens in der Phase des Scoping (Abschn.
4.2.1.2) ernsthaft die Zertifizierung in Betracht zu ziehen und entsprechend zu kalku-
lieren. Stellt sich diese dann an diesem Punkt jedoch als Hindernis für die gesamte
DSMS-Implementierung dar, so sollte das Projekt nicht an diesem Punkt scheitern und die
Implementierung trotzdem - wenn auch ohne Zertifikat - durchgeführt werden. Letzteres
kann auch noch nach erfolgreicher Implementierung angegangen werden.
Betrachtet man die oben dargestellten Produkte zur Datenschutzzertifizierung, so wird
deutlich, dass keines der erwähnten Gütesiegel eine ausreichende strukturelle Grundlage
für ein DSMS bildet: Die Produkt- und Verfahrensorientierung der Gütesiegel dient nur
zum Nachweis der Konformität des jeweiligen Zertifizierungsobjektes, mit dem DSMS
soll jedoch die Datenschutzmanagementfähigkeit der Organisation als Ganzes attestiert
werden. Dies schaffen nach bisherigem Stand nur die erwähnten Anforderungen von
Loomans & Matz sowie der BS 10012-Standard. Das DSMS verstellt damit jedoch nicht
den Weg zum Erwerb der erwähnten Datenschutzgütesiegel. Da es die Datenschutzmana-
gementfähigkeit der Organisation sicherstellt, kann es auch dynamische und nicht originär
aus dem Gesetz abgeleitete Anforderungen wie die der Gütesiegel umsetzen. Somit gilt:
Möchte die Organisation ein Gütesiegel erwerben, bietet das DSMS eine gute Methode,
die damit einhergehenden Anforderungen umzusetzen.
Neben den in Abschn. 3.2.1 vorgestellten Anforderungskatalogen sind als Grundla-
ge für ein DSMS, wie erwähnt, außerdem die internationalen
ISO-Standards
geeignet.
Dies beruht darauf, dass das DSMS in seiner Grundausrichtung den dort propagierten
Vorgehensweisen stark ähnelt und damit optimal in entsprechende Managementsysteme
integriert werden kann. Zu den wichtigsten Standards gehören die Folgenden:
Search WWH ::
Custom Search