Database Reference
In-Depth Information
Die Datenschutzziele können im Regelfall nahezu identisch aus den gesetzli-
chen Anforderungen übernommen werden. Viel wichtiger ist es jedoch, diese
Ziele mit Leben zu füllen und im betrieblichen Alltag zu verankern. Hierzu dient
wiederum das DSMS.
Im Hintergrund sollten bei der Zielfindung immer die wichtigsten datenschutzrechtlichen
Risiken bedacht werden, die über die Umsetzung der Ziele verringert werden sollen. Dabei
sind die Überlegungen für den Handlungsbedarf, die im Scoping (Abschn. 4.2.1.2.1) ange-
stellt wurden, wichtige Anhaltspunkte. Da die Risikosituation des Unternehmens jedoch
Veränderungen unterworfen ist, müssen dementsprechend auch die Datenschutzziele re-
gelmäßig angepasst werden. Dies geschieht idealerweise jährlich in Absprache mit der
Geschäftsleitung (siehe Abschn. 5.3 - Überführung in den Regelbetrieb). Nicht zuletzt
fordern mögliche Anforderungskataloge bestimmte Datenschutzziele ein.
Ein Konfliktpunkt bei der Definition von Datenschutzzielen sind ihre Wechselwirkun-
gen mit anderen Zielen. So ergänzen sich die Datenschutzziele - ohne jedoch vollständig
kongruent zu sein - mit denen der Informationssicherheit, insbesondere in der späteren
technischen Umsetzung. Nichtsdestotrotz kommt in Bereichen wie etwa dem Marketing
der vielfältigen und sich schnell verändernden Nutzung von großen Mengen an perso-
nenbezogenen Daten heute und in Zukunft immer mehr eine Schlüsselrolle zu („gläserner
Konsument“), was in vielen Fällen einer Korrektur unter Datenschutzgesichtspunkten
bedarf.
Eine Vorgabe für jede Art von Zielkonflikt ist sicherlich aufgrund der vielfäl-
tigen Abhängigkeiten der einzelnen Ziele praxisfern. Stattdessen kann eine
vergleichsweise einfache Formel wie „No compromise on Compliance“ den Vor-
rangdergesetzlichenRegelungenindenbetrieblichenAktivitätenaufzeigen. In
derPraxiswerdenzudemZielkonfliktemeistübereine(teilszu)weiteAuslegung
der rechtlichen Vorgaben gelöst und bei internen Streitfällen ein Eskalations-
prozess in Gang gesetzt, der dann am Ende wieder zu einer Entscheidung der
Geschäftsleitung führen wird.
AmEndedieserPhasehatdasUnternehmenseineindividuellenDatenschutzzieledefiniert,
welche die Richtung für das DSMS vorgeben.
5.2.1.2 Governance Model zur Umsetzung der Ziele
Hat das Unternehmen die Datenschutzziele definiert, so muss in einem nächsten Schritt
deren Umsetzung in einer Zuweisung von Verantwortlichkeiten münden. An dieser Stelle
sollen daher Möglichkeiten aufgezeigt werden, wie diese Verantwortlichkeiten für den
Datenschutz im Unternehmen verteilt werden können.
Die
rechtliche Verantwortlichkeit liegt allein beim Unternehmen
als verantwortliche
Stelle (§ 3 VII BDSG) selbst und damit direkt bei der Geschäftsleitung. Intern lassen sich
jedoch Vorgaben machen, inwieweit die Verantwortlichkeit auf andere Organisationsein-
Search WWH ::
Custom Search