Database Reference
In-Depth Information
SAP
Die Einführung eines DSMS im Support-Prozess bot sich bereits wegen der dort vor-
handenen soliden Basis von zwei anderen Managementsystemen (ISO 9001 und ISO
27001) an. Die Organisation im Support-Prozess ist stark prozessorientiert, sodass
die wichtigsten Prozesse, Prozesseigner und Standorte an dieser Stelle über die gute
Dokumentation bei SAP ermittelt werden konnten. Da der SAP-Support an über 60
Standorten weltweit aufgestellt ist, wurde aufgrund dieser vielen einzelnen Standorte
deren Ausdifferenzierung im Rahmen des gestuften Scoping an einer späteren Stelle
vorgenommen (siehe Abschn. 5.2.3.1 - Gestufte Vorgehensweise).
4.2.1.2.3 Anforderungsanalyse
Das DSMS dient dazu, die Anforderungen an den Datenschutz im Unternehmen um-
zusetzen. An dieser Stelle sollten die wichtigsten Anforderungen an das DSMS ermittelt
werden:
•
Zunächst stellen die Datenschutzgesetze (siehe Abschn. 2.2.3) Anforderungen auf. Ge-
rade bei international tätigen Unternehmen sollte man sich auf ein Leading Law - also
das Gesetz, dessen Anforderungen als Mindeststandard überall im DSMS-Scope gelten
soll - festlegen. Das Leading Law kann strengere Regelungen enthalten als die jeweiligen
nationalen Gesetze, umgekehrt sollten die nationalen Gesetze nur in Einzelfällen stren-
ger als das Leading Law sein. Die an dieser Stelle bereits ersichtlichen Spezialgesetze
sollten daher ebenfalls berücksichtigt werden.
Nicht jeder Geschäftsprozess eignet sich zur Bestimmung eines Leading Law:
Soll in einem in mehreren Ländern ansässigen Unternehmen einer der Schwer-
punkte des DSMS beispielsweise auf HR liegen, so muss beachtet werden,
dass die nationalen Arbeitsgesetzgebungen auch in Europa teilweise erheb-
lich divergieren, da die Regelungshoheit darüber bei den Mitgliedstaaten liegt.
Dies wird sich auch durch die neue EU-DSGVO (Entwurf 2013, Art. 82 [
1
])
voraussichtlich nicht ändern. Da der Beschäftigtendatenschutz aber von den
jeweiligen lokalen Gesellschaften im Rahmen der Durchführung des Beschäfti-
gungsverhältnisses besser sichergestellt werden kann, sollte sich die Auswahl
des Leading Law an anderen Handlungsschwerpunkten orientieren, etwa den
Bereichen Outsourcing oder Marketing, in denen auch mit dem BDSG eine
solide weil strenge Grundlage vorhanden ist.
•
WeiterhinmussdasDSMSauchkompatibelzuinternenRichtliniensein. Bestehtbereits
eineDatenschutz-Policy(sieheAbschn. 5.2.1.3), somusssichdasDSMSandieserorien-
tieren. Gleiches gilt für Binding Corporate Rules im Konzern, Betriebsvereinbarungen
oder freiwillige Selbstverpflichtungen (Codes of Conduct).
Search WWH ::
Custom Search