Qualitätsmanagement und Datenschutz

DSGVO: Synergien mit QM nutzen

Die EU-DSGVO ist in Kraft getreten. Bei Zuwiderhandlungen drohen hohe Bußgelder. Trotz Übergangszeit sind noch lange nicht alle Unternehmen datenschutzkonform aufgestellt. Ein elektronisches Datenschutz-Managementsystem könnte helfen. Von Dr. Iris Bruns

Die EU-DSGVO ist in Kraft getreten, doch nicht alle Unternehmen sind datenschutzkonform aufgestellt. Ein elektronisches Datenschutz-Managementsystem könnte helfen.

Die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) gilt nach Ende der Übergangsfrist am 25. Mai 2018 verbindlich. Die bisherigen Forderungen der Datenschutzrichtlinie 95/46/EG wurden darin konkretisiert und erweitert. Doch noch längst nicht alle Unternehmen sind ausreichend vorbereitet. Jetzt ist Eile geboten, denn Verstöße werden mit Bußgeldern von bis zu 20 Millionen Euro beziehungsweise von bis zu 4 Prozent des weltweiten Jahresumsatzes geahndet. „Wir raten allen Unternehmen, die personenbezogene Daten erfassen oder verarbeiten – und das betrifft eigentlich jede Organisation bis hin zu Vereinen mit ihren Mitgliedern und ehrenamtlichen Helfern – aufgrund der Haftungsrisiken spätestens jetzt schnell und nachweislich mit der Umsetzung zu beginnen und ein systematisches Datenschutzmanagement aufzubauen“, empfiehlt Dr. Stephan Killich aus der Geschäftsführung von ConSense.

Handlungsbedarf ermitteln, DSGVO umsetzen

Die neue europäische DSGVO, die den europäischen Datenschutz vereinheitlicht, konkretisiert und erweitert bisherige Forderungen. © ConSense

Wer sich erst jetzt mit der Verordnung befasst, sollte strukturiert vorgehen, um die Forderungen effizient und systematisch umzusetzen. Dafür gilt es, zunächst den Handlungsbedarf zu ermitteln: In welchen Prozessen werden personenbezogene Daten verarbeitet? Welche sind die jeweiligen Rechtsgrundlagen? Wie ist der Schutz personenbezogener Daten aktuell organisiert? Liegen hierzu bereits Dokumentationen wie Verfahrensverzeichnisse, IT-Sicherheitskonzepte oder Ähnliches vor, lässt sich gut darauf aufbauen.

Anzeige
Dr. Stephan Killich, Geschäftsführung ConSense, empfiehlt, QM und Datenschutz in einem integrierten Managementsystem abzubilden, um Synergien zu nutzen. © ConSense

Die ConSense GmbH hat mit ConSense DSGVO eine Software entwickelt, mit der sich ein transparentes Datenschutzmanagementsystem aufsetzen lässt. Dr. Stephan Killich erklärt: „Ein elektronisches Managementsystem unterstützt dabei, alle datenschutzrelevanten Aktivitäten in eine übersichtliche Struktur zu bringen. Es reduziert den Aufwand, denn es führt Routinetätigkeiten aus und automatisiert Abläufe.“ Die Software übernimmt Arbeiten zur Erfüllung der Dokumentationspflicht mit den zugehörigen Revisionen. Außerdem stellt sie sicher, dass immer auf aktuelle Dokumente und Prozesse zugegriffen wird. Prozesse für die Meldepflicht bei Datenschutzverstößen sowie für das Löschen von Informationen können abgebildet werden. Zudem wird der konforme Umgang mit Betroffenenrechten und Informationspflichten unterstützt.

QM und Datenschutz: So nutzen Sie Synergien

Die Struktur von Dokumenten für den Datenschutz kann sich sehr gut an der Struktur von QM-Dokumenten orientieren. © ConSense

Um den Aufwand zu minimieren und die Umsetzung schnellstmöglich zu erreichen, empfehlen die Experten, auf Bestehendem aufzubauen und bereits im Unternehmen vorhandene Ressourcen, Strukturen, Inhalte und Methoden zu nutzen. Insbesondere das Qualitätsmanagement (QM) nach DIN EN ISO 9001 ist dafür geeignet, denn es weist viele Parallelen in Vorgehensweisen und Strukturen mit der EU-DSGVO auf:

● Vorgabedokumentation mit Revisionierung: Nach EU-DSGVO müssen bestehende Prozesse systematisch auf datenschutzrechtliche Aspekte geprüft werden. Für den Aufbau der Vorgabedokumentation lassen sich die im QM-System bereits dokumentierten Prozesse, Abläufe und Verantwortlichkeiten nutzen. Eine geeignete Managementsoftware unterstützt mit workflowgestützten Verfahren zur Revisionierung, Prüfung, Freigabe oder Wiedervorlage und reduziert so den Aufwand für Dokumentationspflichten. 

Für die Datenschutzfolgenabschätzung kann die Risikobewertung mit der auch im QM eingesetzten Risikomatrix nach Nohl durchgeführt werden. © ConSense

● Datenschutzfolgenabschätzung (DSFA) und Maßnahmen: Zur Aufstellung der geforderten DSFA können bestehende Mechanismen des Risikomanagements aus dem QM angewendet werden. Wie die QM-Norm, so fordert auch die EU-DSGVO im Falle von Abweichungen das Ergreifen geeigneter Lenkungsprozesse beziehungsweise Maßnahmen. Mit einer geeigneten Software können den Maßnahmen Verantwortlichkeiten zugewiesen werden. Die Durchführung und Kontrolle der Umsetzung werden durch standardisierte Workflows gelenkt. 

● Verzeichnis der Verarbeitungstätigkeiten: Viele Informationen für das erforderliche Verfahrensverzeichnis können aus der QM-Dokumentation generiert werden. Eine Software für ein Integriertes Managementsystem aus QM und Datenschutz ermöglicht unter anderem die Analyse der QM-Dokumentation im Hinblick auf die Verarbeitung personenbezogener Daten. Relationen zwischen den Prozessen und den zugehörigen Verarbeitungstätigkeiten werden hergestellt, um daraus das Verzeichnis abzuleiten. 

● Verantwortlichkeiten und Kenntnisnahmen: Wie im QM müssen auch im Datenschutzmanagement Verantwortlichkeiten und Kenntnisnahmen nachvollziehbar geregelt sein. Mit einem Managementsystem lassen sich zum Beispiel die Verantwortungen für jeden Prozess(schritt) und jedes Dokument festlegen und dokumentieren. Mitarbeiter werden von der Software zur Kenntnisnahme von neuen Inhalten, Anweisungen und Änderungen aufgefordert. Diese werden elektronisch und somit jederzeit nachweisbar erfasst. Im QM ist ein „Ja“ oder „Nein“ beim Nachweis ausreichend, im Datenschutz ist zusätzlich dazu Datum und Uhrzeit notwendig. 

● Schulungen/Unterweisungen: Nach EU-DSGVO sind Unterweisungen der Mitarbeiter im Umgang mit vertraulichen Daten durchzuführen. Hier lassen sich bestehende Schulungs- und Qualifikationskonzepte aus dem Qualitätsmanagement anwenden. Ein softwaregestütztes System bietet beispielsweise die Möglichkeit, eine Qualifikationsstruktur anzulegen und Fachqualifikationen der Mitarbeiter mit Gültigkeitsdauer zu versehen. Nützliche Extras wie eLearning und Tutorials ermöglichen orts- und zeitunabhängige Unterweisungen.

DSGVO umsetzen, Vertrauen erhöhen

Die zahlreichen Parallelen legen es nahe, eine integrierte Lösung aus Datenschutzmanagement und Qualitätsmanagement umzusetzen und ineffiziente Insellösungen zu vermeiden. „Denn wer zwei getrennte Systeme betreibt, läuft Gefahr, Wesentliches zu übersehen“, meint Dr. Stephan Killich. „Der Aufbau eines systematischen Datenschutzmanagementsystems lohnt sich nicht nur im Hinblick auf die Vermeidung der empfindlichen Bußgelder. Bestehende Prozesse, die auch datenschutzrechtlich abgesichert sind, erhöhen das Vertrauen von Kunden und Kooperationspartnern.“

Anzeige

Das könnte Sie auch interessieren

Anzeige

Editorial

Wettbewerbsfaktor Daten

Die Automatica brachte viele neue Eindrücke unter anderem in den Bereichen Mensch-Roboter-Kollaboration, Servicerobotik und Greiftechnik. Sie brachte aber auch neue Abläufe beim Visitenkartentausch mit sich.

mehr...
Anzeige

DSGVO

90 % der Betriebe in Deutschland im Rückstand

Mit dem 25. Mai 2018 greift innerhalb der Europäischen Union ein vereinheitlichter Datenschutz-Standard: Die neue DSGVO wirkt zum genannten Stichtag verbindlich. Betroffen sind alle Unternehmen, die entweder ihren Sitz innerhalb der EU haben oder...

mehr...

DSGVO

Bereit für die Verordnung

"Über das, was die neue Datenschutz-Grundverordnung für das eigene Unternehmen bedeutet und wie die Einhaltung der daraus resultierenden Anforderungen im eigenen Netzwerk mit überschaubarem Aufwand gewährleistet werden kann, herrscht vielfach noch...

mehr...

Newsletter bestellen

Immer auf dem Laufenden mit dem SCOPE Newsletter

Aktuelle Unternehmensnachrichten, Produktnews und Innovationen kostenfrei in Ihrer Mailbox.

AGB und Datenschutz gelesen und bestätigt.
Zur Startseite