Schließen TEILEN MIT...

RANKINGS
Schließen
Schließen
Business

Datenschutz und Qualitätsmanagement gehören untrennbar zusammen

Im Zeitalter der Digitalisierung gewinnt der Datenschutz immer mehr an Bedeutung.

2015 ist die EU-Daten­schutz-Grund­verord­nung überar­beit­et wor­den. Die neue Richtlinie wird im Mai 2018 in Kraft treten. Ge­nau jet­zt ist al­so der ideale Zeit­punkt für Un­terneh­men, ihr Au­gen­merk ver­stärkt auf die­s­es The­ma zu richt­en. Dabei ist zu beacht­en, dass der Daten­schutz ein entschei­den­der Qual­ität­saspekt ist und in er­ster Linie eine enge Zusam­me­nar­beit des Qual­itäts­ma­n­age­ment­beauf­tragten (QMB) mit dem Daten­schutzbeauf­tragten (DSB) vo­raus­set­zt. Denn beide kön­nen vom Know-how des jew­eils an­deren pro­f­i­tieren. Nach­dem die DIN EN ISO 9001 im Septem­ber 2015 überar­beit­et wurde, wurde der Daten­schutz u.a. in Kapi­tel 4 „Kon­text der Or­gan­i­sa­tion“ und dabei vor allem un­ter Punkt 4.4 „Qual­itäts­ma­n­age­ment und dessen Prozesse“ verortet. Die Än­derun­gen brin­gen eine sehr viel stärkere Prozes­sori­en­tierung mit sich. Darun­ter fall­en let­z­tendlich auch die Er­he­bungs- und Ve­rar­bei­tungsprozesse von Dat­en. Denn wer­den die An­forderun­gen gemäß Bun­des­daten­schutzge­setz (BDSG) §§ 4e, 4g einge­hal­ten, hat der Daten­schutz mit der in­ter­nen Ve­rar­bei­tungsüber­sicht eben­falls eine deut­liche Prozes­sori­en­tierung. Da Daten­er­he­bung und -ve­rar­bei­tung oft ein in­te­graler Be­s­tandteil von Un­terneh­men­sprozessen sind, kön­nen sie große Auswirkun­gen auf die Qual­ität haben. De­shalb müssen re­sul­tierende Risiken auch im Qual­itäts­ma­n­age­ment­sys­tem berück­sichtigt wer­den. Die Auf­sicht über den Prozess der Daten­er­he­bung und -ve­rar­bei­tung hat aber der Daten­schutzbeauf­tragte.

Rel­e­vante Res­sour­cen bere­it­stellen

Auch un­ter Punkt 7 „Un­ter­stützung“ kann der Daten­schutz als un­ter­stützen­der Teil des QM-Sys­tems ge­se­hen wer­den. Die Un­terneh­menslei­tung muss sich­er­stellen, dass die Res­sour­cen vorhan­den sind, die für die wirk­same Um­set­zung des Qual­itäts­ma­n­age­ments notwendig sind. Dazu zählen Mi­tar­beit­er, die In­fras­truk­tur und tech­nische Geräte, aber auch die Ar­beit­s­platzumge­bung, aus­reichend Zeit und Wis­sen. Um eine um­fassende Qual­ität sicherzustellen, sollte hi­er auch der Daten­schutz ent­sprechend berück­sichtigt wer­den. Das heißt, dass im Sinne des Qual­itäts­ma­n­age­ments festzustellen ist, ob der DSB aus­reichend Zeit für seine Auf­gaben hat oder ob er sie lediglich neben­bei und ohne den er­forder­lichen Fokus erledigt. Bei größeren Un­terneh­men kön­nen zusät­zlich weitere per­son­elle Res­sour­cen notwendig sein, die et­wa einzelne Bereiche als Daten­schutzko­or­d­i­na­toren un­ter­stützen und fach­lich vom DSB ko­or­diniert wer­den. Zu den er­forder­lichen Res­sour­cen im QM ge­hört gemäß Normkapi­tel 7.1.5 auch eine zu­ver­läs­sige Überwachungs- und Messtech­nik, al­so für den DSB z.B. eine Soft­ware für das Ma­n­age­ment von Daten­schutzan­forderun­gen. Aber auch die Frage nach der Kom­pe­tenz des DSB und dem Nach­weis dafür kann im Rah­men des QM-Sys­tems be­trachtet wer­den. Zu­dem ist die Kom­mu­nika­tion ein wesentlich­er Be­s­tandteil des Qual­itäts­ma­n­age­ments (Normkapi­tel 7.4). In die­sem Zusam­men­hang lässt sich fra­gen, wie beispiel­sweise mit In­for­ma­tio­nen zu ein­er Daten­schutzver­let­zung umzuge­hen ist: Wer wird wann und wie bei ein­er mut­maßlichen Daten­schutzver­let­zung in­for­miert? Und welche Hand­lungsan­wei­sun­gen ergeben sich da­raus?

Qual­itäts­sicher­heit über­prüfen

Autor: Holger Köhler, Leiter Region West bei der TÜV SÜD Management Service GmbH
Au­tor: Hol­ger Köh­ler, Leit­er Re­gion West bei der TÜV SÜD Ma­n­age­ment Ser­vice GmbH

Ein zen­traler Bereich der DIN EN ISO 9001 ist Punkt 8 – die Sicherung der Qual­ität im tat­säch­lichen Be­trieb, al­so bei der Pla­nung und En­twick­lung sowie Her­stel­lung von Pro­duk­ten und Di­en­stleis­tun­gen. Schon bei der Bes­tim­mung der An­forderun­gen ist es sin­n­voll, abzuk­lären, ob auch der Daten­schutz mit ein­be­zo­gen wer­den muss. Welche daten­schutzrechtlichen An­forderun­gen gibt es hi­er möglicher­weise? Welch­es Schutzniveau wird vom Kun­den er­wartet? Und lassen sich alle an­deren An­forderun­gen mit de­nen des Daten­schutzes vere­in­baren? Grund­sät­zlich sollte dies möglichst frühzeitig berück­sichtigt wer­den, da sich Män­gel in die­sem Bereich oft nur mit großem Aufwand be­seiti­gen lassen, wenn das An­forderungs­gerüst erst ein­mal fest­ste­ht. Auch bei Än­derun­gen am Pro­dukt oder der Di­en­stleis­tung soll­ten konse­quent mögliche Auswirkun­gen hin­sichtlich der Daten­schutza­spekte be­trachtet wer­den. Denn ergibt sich da­durch ein neues Daten­schutzniveau, kann es sein, dass die Prü­fung wieder­holt wer­den muss. Wer­den Kom­po­nen­ten von ex­ter­nen An­bi­etern bere­it­gestellt, sind diese eben­falls auf Daten­schutzrel­e­vanz zu über­prüfen. Das gilt vor allem im Bereich der Di­en­stleis­tun­gen, wenn im Auf­trag Dat­en ve­rar­beit­et wer­den und neben dem Ab­sch­luss eines ent­sprechen­den Ver­trages gemäß BDSG § 11 der An­bi­eter sorgfältig gemäß der von ihm getrof­fe­nen tech­nischen und or­gan­isa­torischen Maß­nah­men auszuwählen ist. Let­z­tendlich sollte es ei­nen of­fiziellen Frei­ga­be­prozess geben, der auch die An­forderun­gen an den Daten­schutz berück­sichtigt und dafür den DSB mit ein­bezie­ht.

Daten­schutz­ma­n­age­ment in Qual­itäts­ma­n­age­ment in­te­gri­eren

Daten­schutzbeauf­tragte pro­f­i­tieren allerd­ings auch von einem Blick auf die Meth­o­d­en der DIN EN ISO 9001. Beispiel­sweise ist es für den DSB notwendig, sei­nen Zuständigkeits­bereich klar zu definieren (Normkapi­tel 4.3). Zu­dem kann sich der DSB an Punkt 5 der QM-Norm ori­en­tieren und die Geschäft­slei­tung zur Un­ter­stützung im Bereich Daten­schutz auf­fordern. Denn bei ihr liegt die Ge­samtver­ant­wor­tung für die Wirk­samkeit des QM-Sys­tem. Auch von Kapi­tel 7.5.3 „Lenkung doku­men­tiert­er In­for­ma­tion“ kann der DSB ler­nen und sich eine struk­turi­erte Ablage bzw. eine strin­gente Doku­men­ta­tion zu ei­gen machen. So lassen sich Ve­r­ant­wortlichkeit­en klar zuweisen. Gibt es Nichtkon­for­mitäten, fordert das Normkapi­tel 8.7 Lenkungsprozesse und Ko­r­rek­tur­maß­nah­men. Da der Daten­schutz mehr und mehr als Qual­ität­saspekt be­trachtet wird, sollte der Lenkungsprozess des QM ideal­er­weise auch bei Daten­schutzproble­men greifen. Tut er das nicht, ist es die Auf­gabe des DSB, zu klären, was ge­nau nicht daten­schutzkon­form ist und ob es ein Problem im Prozess gibt. Doch der Daten­schutzindika­tor (DSI) von TÜV SÜD und der Lud­wig-Max­i­m­ilians-Uni­ver­sität (LMU) München zeigt, dass mehr als die Hälfte der Un­terneh­men nicht auf eine Daten­panne vor­bereit­et sind. Tritt sie dann je­doch ein, ist eine Steuerung sch­wierig.

Verbesserungspotenzial durch in­terne Au­dits

Ein Auditor von TÜV SÜD prüft, ob die Sicherheit im Rechenzentrum gewährleistet ist.
Ein Au­di­tor von TÜV SÜD prüft, ob die Sicher­heit im Rechenzen­trum gewähr­leis­tet ist.
Den für das QM-Sys­tem vorgeschriebe­nen kont­inuier­lichen Verbesserungsprozess sollte der DSB eben­falls für sei­nen Bereich adap­tieren. Denn für ein wirk­sames Daten­schutz-Sys­tem ist es von Be­deu­tung, dass es regelmäßig begu­tachtet und beurteilt sowie nach Möglichkeit op­ti­miert wird. Dafür bi­etet sich ein in­ternes Au­dit an, bei dem der DSB als Au­di­tor fungieren kann. Am Ende ste­ht ein Ab­sch­luss­bericht, der sich ide­al eignet, um das Ma­n­age­ment zu in­for­mieren und einzubezie­hen. So lassen sich ge­mein­sam die näch­sten Verbesserungsschritte besch­ließen. Grund­sät­zlich bi­etet es sich an, dass Daten­schutz- und Qual­itäts­ma­n­age­ment­beauf­tragte ge­gen­seitig vom Know-how des an­deren pro­f­i­tieren: Dem QMB fehlt es oft an Ver­ständ­nis für die Be­deu­tung des Bereichs Daten­schutz als Qual­ität­saspekt, während der DSB vom methodischen An­satz eines Qual­itäts­ma­n­age­ment­sys­tems pro­f­i­tiert, das sich auf den ei­ge­nen Bereich über­tra­gen lässt. Ins­ge­samt stärkt die neue DIN EN ISO 9001 die Stel­lung des DSB im Un­terneh­men und gibt dem The­ma Daten­schutz mehr Raum als wichti­gen Be­s­tandteil des Qual­itäts­ma­n­age­ments. Für die Au­di­tierung, Begu­tach­tung, Va­li­dierung und Zer­ti­fizierung von Ma­n­age­ment­sys­te­men ste­ht die TÜV SÜD Ma­n­age­ment Ser­vice GmbH Re­gion West Un­terneh­men aus den Bun­des­län­dern Nor­drhein-West­falen, Rhein­land-Pfalz, Nied­er­sach­sen und Hes­sen zur Seite. Die Ex­perten sind er­reich­bar un­ter TÜV SÜD Ma­n­age­ment Ser­vice GmbH, ETEC-Ge­bäude/Ein­gang Haus 7 – EG, Krupp­s­traße 82-100, 45145 Es­sen.

Kontakt

Kontaktdaten
TÜV SÜD Management Service GmbH
Kruppstraße 82-100 · 45145 Essen
Telefon: 0201/293915-93
Holger.Koehler@tuev-sued.de · www.tuev-sued.de

Ausgabe 07/2017