Voraussetzungen schaffen - Praxisleitfaden zur Implementierung eines Datenschutzmanagementsystems

Database Reference

In-Depth Information

• Eine Abschätzung der mit der Einführung verbundenen Aufwände sollte aufgeführt

werden. Dies gilt umso mehr, wenn die Budgethoheit über den Datenschutz bei der

Geschäftsleitung liegt und mit dem Beschluss entsprechende Freigaben einhergehen.

• Mit dem Beschluss zur Einführung des DSMS nimmt die Geschäftsleitung außerdem

ihre Verantwortlichkeit für den Datenschutz deutlich zur Kenntnis.

Eine so vorbereitete Entscheidungsvorlage sollte von einer Geschäftsleitung positiv auf-

genommen werden. So geschehen auch bei den drei hier vorgestellten Unternehmen

(Klein GmbH, Medium AG, SAP), bei denen die Geschäftsführung bzw. der Vorstand

die Einführung eines DSMS beschlossen hat.

Steht der Anwendungsbereich des DSMS fest und hat die Geschäftsleitung der Einfüh-

rung zugestimmt, kann als nächster Schritt mit der tatsächlichen Implementierung des

DSMS begonnen werden.

Fazit

• Es gibt keine Blaupause für ein DSMS, das in allen Unternehmen anwendbar

ist. Vielmehr hängt dessen Ausgestaltung von den Eigenschaften des jeweiligen

Unternehmens - insbesondere seiner Größe - ab.

• Bevor mit der Implementierung des DSMS begonnen werden kann, müssen dessen

Anwendungsbereich bestimmt sowie das dauernde Engagement der Geschäftslei-

tung über die Zeit der Implementierung gesichert werden.

• Zur Ermittlung des Anwendungsbereiches empfiehlt es sich, Verantwortliche aller

potentiell vom DSMS betroffenen Geschäftsbereiche einzubeziehen.

• Ein gestuftes Scoping verhindert eine unnötig lange Analyse der Datenströme

in dieser frühen Phase der DSMS-Einführung. Vor allem sollten daher zunächst

der offensichtliche Handlungsbedarf, organisatorische Gegebenheiten, die wich-

tigsten Anforderungen an den Datenschutz sowie die zur Umsetzung verfügbaren

Ressourcen ermittelt werden.

• Die Ergebnisse der ersten Stufe des Scoping sind der Geschäftsleitung in einer ge-

eigneten Entscheidungsvorlage zur Beschlussfassung vorzulegen, welche damit ihre

Verantwortlichkeit für den Datenschutz deutlich zur Kenntnis nimmt.

Literatur

1. Europäische Kommission (Hrsg) (2012) Vorschlag für Verordnung des Europäischen Parlaments

und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten

und zum freien Datenverkehr (Datenschutz-Grundverordnung). KOM (2012) 11

2. Ponemon Institute, Symantec (Hrsg) (2013) Data breach risk calculator. https://databreach-

calculator.com/. Zugegriffen: 28. Okt. 2013

3. Schmidt G (2011) Das Datenschutzbudget in kleinen und mittleren Unternehmen. Datenschutz-

Praxis 6 4-7

Search WWH ::

Custom Search

Home