Database Reference
In-Depth Information
Verantwortliche benannt, je nach Erfordernis mindestens auf lokaler Ebene oder auch
zusätzlich auf der den Geschäftsbereich verwaltenden globalen Ebene. Die einzelnen
Koordinatoren werden unterstützt durch Datenschutzvertreter in den einzelnen Lo-
kationen. Diese sind dem Datenschutzkoordinator zugeordnet und übernehmen die
tatsächliche Ausführung der Datenschutzaufgaben vor Ort. Die Ernennung solcher Da-
tenschutzvertreter liegt in der Verantwortung des jeweiligen Geschäftsbereiches und
richtet sich nach dem - wiederum risikoabhängigen - Aufgabenpensum. Aus diesem
Grund werden anders als die Datenschutzkoordinatoren die Datenschutzvertreter erst
nach der Risikoanalyse (Abschn. 5.2.3) ernannt.
Mit der Überprüfung der operativen Umsetzung der Datenschutzziele im Konzern
wurde die zentrale Instanz des Security & Data Protection Office (SDPO) beauftragt.
Diese verantwortet die datenschutzbezogenen Audits (intern wie extern) und hält über
eine Überwachung des Follow-up den DSMS-bezogenen kontinuierlichen Verbesse-
rungsprozess (KVP) aufrecht. Eine weitere wichtige Aufgabe, die hier zentralisiert
ist, ist das ADV-Management. Da ADV-bezogene Kundenanfragen und das Mana-
gement der SAP-Unterauftragnehmer sich regelmäßig auf mehrere Geschäftsbereiche
beziehen, hat sich eine zentrale Koordination dieser Aufgaben als sinnvoll erwiesen.
Als zentrale operative Instanz zeichnet sich das SDPO damit auch verantwortlich für
das DSMS insgesamt, insbesondere für die Zertifizierung, und erstellt und verwaltet
die zugehörigen DSMS-Handbücher. Die einzelnen Datenschutzvertreter der Bereiche,
welche im DSMS organisiert sind, werden in ein konzernweites Datenschutznetzwerk
eingebunden, welches vom SDPO betreut wird.
Abbildung
5.7
zeigtdieRollenimGovernanceModelvonSAPundbeschreibtinAus-
zügen die jeweiligen Aufgaben der einzelnen Stellen. In der tatsächlichen Umsetzung
werden viele Aufgaben arbeitsteilig angegangen und es besteht ein reger Austausch al-
ler Beteiligten. So findet beispielsweise die Bewertung von Änderungen der rechtlichen
Rahmenbedingungen durch den Konzern-DSB statt, identifiziert und kommuniziert
werden müssen diese Änderungen aber durch die lokalen Koordinatoren in den jewei-
ligen internationalen Standorten. In der praktischen Anwendung des DSMS hat sich
weiterhin eine umfangreiche Kommunikationskultur der Beteiligten etabliert: In den
einzelnen Geschäftsbereichen tauschen sich Datenschutzkoordinatoren und -vertreter
in monatlichen Meetings über den aktuellen Stand, Handlungsbedarf sowie zukünftige
Entwicklungen aus, welche vom SDPO in regelmäßigen Abständen - etwa im 14-
Tage-Rhythmus - an die Koordinatoren kommuniziert werden. Zudem werden bei der
Umsetzung der DSMS-Maßnahmen über das SDPO und die Koordinatoren zusätzlich
die anderen Fachabteilungen wie IT, Risk oder Compliance eingebunden. Über diese
Aufteilung in strategische Aufgaben (Konzern-DSB) und operative Tätigkeiten (SDPO
und Koordinatoren) sowie die Lokalisierung der DSMS-Tätigkeiten (Datenschutzver-
treter) kann der Datenschutz bei SAP trotz einer starken globalen Ausrichtung effektiv
umgesetzt werden.
Die drei vorgestellten Beispiele haben deutlich gemacht, dass ein Governance Model sehr
unterschiedlich ausfallen kann. Wichtig ist an dieser Stelle, dass sich die Verteilung der
Search WWH ::
Custom Search