Database Reference
In-Depth Information
der abgebildeten Größe eines Abschnitts nicht auf die Zeitdauer für dessen praktische Um-
setzung geschlossen werden kann. Vielmehr soll über die Positionierung und Einfärbung
der einzelnen Kreisstücke deren Zugehörigkeit zur jeweiligen Phase (Plan-Do-Check-Act)
ausgedrückt werden. Inhaltlich sind die einzelnen Schritte wie folgt ausgestaltet:
1. Ziele festlegen und einführen (Abschn. 5.2.1): Die Datenschutzziele des Unternehmens,
die vom DSMS umgesetzt werden sollen, müssen festgelegt werden. Zudem muss die
interne Verantwortlichkeit für die Umsetzung der Ziele in einem Governance Model
bestimmt und das Ergebnis in einer Datenschutz-Policy festgehalten werden.
2. Projektstart (Abschn. 5.2.2): Die wichtigsten Business-Stakeholder an das DSMS im
Scope sind zu einem einführenden Kick-off-Meeting zusammenzubringen und die
weiteren Schritte vorzubereiten und abzustimmen.
3. Risikoanalyse (Abschn. 5.2.3): Die Datenschutzrisiken müssen identifiziert und be-
wertet werden, um auf dieser Basis im weiteren Verlauf den risikoorientierten Ansatz
des DSMS auszubauen. Im Rahmen der Risikobehandlung werden dann die jeweiligen
Maßnahmen zum Umgang mit den ermittelten Risiken bestimmt, um auf diese Weise
ein akzeptables Datenschutzniveau zu erreichen. Zudem sind Risikoinhaber zu ernen-
nen sowie die Aufgaben bezüglich der Maßnahmenumsetzung analog des Governance
Models auf die DSMS-Akteure zu verteilen. Eine zusätzliche Prozessanalyse offenbart
weitere Ansatzpunkte.
4. Dokumentation (Abschn. 5.2.4): Der Datenschutz im Allgemeinen und auch das DSMS
im Speziellen erfordern eine umfassende Dokumentation zum Nachweis eines an-
gemessenen Datenschutzniveaus und der kontinuierlichen Verbesserung. In einem
Managementhandbuch sind die wesentlichen Aspekte des DSMS zu dokumentieren.
Zusätzliche Dokumente wie Arbeitsanweisungen und Richtlinien erleichtern die Len-
kung der operativen Tätigkeiten in Bezug auf den Datenschutz. Gleichzeitig ist ein
Dokumentenmanagement zu etablieren.
5. Roll-out (Abschn. 5.2.5): Über geeignete Kanäle im Unternehmen erfolgt die
Bekanntmachung des DSMS im Anwendungsbereich des DSMS.
6. Training (Abschn. 5.2.6): Die Beteiligten des DSMS sind entsprechend ihres Ver-
antwortungsbereichs in die relevanten Tätigkeiten des DSMS einzuweisen und auf
ihre datenschutzrechtlichen Pflichten hinzuweisen. Diese Unterrichtungen müssen
zum Aufrechterhalten einer Datenschutz-Awareness regelmäßig erneut durchgeführt
werden.
7. Realisierung des DSMS (Abschn. 5.2.7): Die zum Umgang mit den datenschutz-
rechtlichen Risiken bestimmten Maßnahmen - insbesondere auf technischer und
organisatorischer Ebene - müssen umgesetzt und die Tätigkeiten in andere betrieb-
liche Abläufe integriert werden. Über die Etablierung einer Kommunikationskultur
der Beteiligten und dem Beginn des Verbesserungsprozesses werden die Grundlagen
für ein auditierfähiges DSMS geschaffen.
Search WWH ::




Custom Search