Image
Das Technologiezentrum Velbert (Foto: TZV)
Anzeige

Datenschutz und Qualitätsmanagement gehören untrennbar zusammen

Im Zeitalter der Digitalisierung gewinnt der Datenschutz immer mehr an Bedeutung.



2015 ist die EU-Datenschutz-Grundverordnung überarbeitet worden. Die neue Richtlinie wird im Mai 2018 in Kraft treten. Genau jetzt ist also der ideale Zeitpunkt für Unternehmen, ihr Augenmerk verstärkt auf dieses Thema zu richten. Dabei ist zu beachten, dass der Datenschutz ein entscheidender Qualitätsaspekt ist und in erster Linie eine enge Zusammenarbeit des Qualitätsmanagementbeauftragten (QMB) mit dem Datenschutzbeauftragten (DSB) voraussetzt. Denn beide können vom Know-how des jeweils anderen profitieren. Nachdem die DIN EN ISO 9001 im September 2015 überarbeitet wurde, wurde der Datenschutz u.a. in Kapitel 4 „Kontext der Organisation“ und dabei vor allem unter Punkt 4.4 „Qualitätsmanagement und dessen Prozesse“ verortet. Die Änderungen bringen eine sehr viel stärkere Prozessorientierung mit sich. Darunter fallen letztendlich auch die Erhebungs- und Verarbeitungsprozesse von Daten. Denn werden die Anforderungen gemäß Bundesdatenschutzgesetz (BDSG) §§ 4e, 4g eingehalten, hat der Datenschutz mit der internen Verarbeitungsübersicht ebenfalls eine deutliche Prozessorientierung. Da Datenerhebung und -verarbeitung oft ein integraler Bestandteil von Unternehmensprozessen sind, können sie große Auswirkungen auf die Qualität haben. Deshalb müssen resultierende Risiken auch im Qualitätsmanagementsystem berücksichtigt werden. Die Aufsicht über den Prozess der Datenerhebung und -verarbeitung hat aber der Datenschutzbeauftragte.

Relevante Ressourcen bereitstellen


Auch unter Punkt 7 „Unterstützung“ kann der Datenschutz als unterstützender Teil des QM-Systems gesehen werden. Die Unternehmensleitung muss sicherstellen, dass die Ressourcen vorhanden sind, die für die wirksame Umsetzung des Qualitätsmanagements notwendig sind. Dazu zählen Mitarbeiter, die Infrastruktur und technische Geräte, aber auch die Arbeitsplatzumgebung, ausreichend Zeit und Wissen. Um eine umfassende Qualität sicherzustellen, sollte hier auch der Datenschutz entsprechend berücksichtigt werden. Das heißt, dass im Sinne des Qualitätsmanagements festzustellen ist, ob der DSB ausreichend Zeit für seine Aufgaben hat oder ob er sie lediglich nebenbei und ohne den erforderlichen Fokus erledigt. Bei größeren Unternehmen können zusätzlich weitere personelle Ressourcen notwendig sein, die etwa einzelne Bereiche als Datenschutzkoordinatoren unterstützen und fachlich vom DSB koordiniert werden. Zu den erforderlichen Ressourcen im QM gehört gemäß Normkapitel 7.1.5 auch eine zuverlässige Überwachungs- und Messtechnik, also für den DSB z.B. eine Software für das Management von Datenschutzanforderungen. Aber auch die Frage nach der Kompetenz des DSB und dem Nachweis dafür kann im Rahmen des QM-Systems betrachtet werden. Zudem ist die Kommunikation ein wesentlicher Bestandteil des Qualitätsmanagements (Normkapitel 7.4). In diesem Zusammenhang lässt sich fragen, wie beispielsweise mit Informationen zu einer Datenschutzverletzung umzugehen ist: Wer wird wann und wie bei einer mutmaßlichen Datenschutzverletzung informiert? Und welche Handlungsanweisungen ergeben sich daraus?

Qualitätssicherheit überprüfen


Ein zentraler Bereich der DIN EN ISO 9001 ist Punkt 8 – die Sicherung der Qualität im tatsächlichen Betrieb, also bei der Planung und Entwicklung sowie Herstellung von Produkten und Dienstleistungen. Schon bei der Bestimmung der Anforderungen ist es sinnvoll, abzuklären, ob auch der Datenschutz mit einbezogen werden muss. Welche datenschutzrechtlichen Anforderungen gibt es hier möglicherweise? Welches Schutzniveau wird vom Kunden erwartet? Und lassen sich alle anderen Anforderungen mit denen des Datenschutzes vereinbaren? Grundsätzlich sollte dies möglichst frühzeitig berücksichtigt werden, da sich Mängel in diesem Bereich oft nur mit großem Aufwand beseitigen lassen, wenn das Anforderungsgerüst erst einmal feststeht. Auch bei Änderungen am Produkt oder der Dienstleistung sollten konsequent mögliche Auswirkungen hinsichtlich der Datenschutzaspekte betrachtet werden. Denn ergibt sich dadurch ein neues Datenschutzniveau, kann es sein, dass die Prüfung wiederholt werden muss. Werden Komponenten von externen Anbietern bereitgestellt, sind diese ebenfalls auf Datenschutzrelevanz zu überprüfen. Das gilt vor allem im Bereich der Dienstleistungen, wenn im Auftrag Daten verarbeitet werden und neben dem Abschluss eines entsprechenden Vertrages gemäß BDSG § 11 der Anbieter sorgfältig gemäß der von ihm getroffenen technischen und organisatorischen Maßnahmen auszuwählen ist. Letztendlich sollte es einen offiziellen Freigabeprozess geben, der auch die Anforderungen an den Datenschutz berücksichtigt und dafür den DSB mit einbezieht.

Datenschutzmanagement in Qualitätsmanagement integrieren


Datenschutzbeauftragte profitieren allerdings auch von einem Blick auf die Methoden der DIN EN ISO 9001. Beispielsweise ist es für den DSB notwendig, seinen Zuständigkeitsbereich klar zu definieren (Normkapitel 4.3). Zudem kann sich der DSB an Punkt 5 der QM-Norm orientieren und die Geschäftsleitung zur Unterstützung im Bereich Datenschutz auffordern. Denn bei ihr liegt die Gesamtverantwortung für die Wirksamkeit des QM-System. Auch von Kapitel 7.5.3 „Lenkung dokumentierter Information“ kann der DSB lernen und sich eine strukturierte Ablage bzw. eine stringente Dokumentation zu eigen machen. So lassen sich Verantwortlichkeiten klar zuweisen. Gibt es Nichtkonformitäten, fordert das Normkapitel 8.7 Lenkungsprozesse und Korrekturmaßnahmen. Da der Datenschutz mehr und mehr als Qualitätsaspekt betrachtet wird, sollte der Lenkungsprozess des QM idealerweise auch bei Datenschutzproblemen greifen. Tut er das nicht, ist es die Aufgabe des DSB, zu klären, was genau nicht datenschutzkonform ist und ob es ein Problem im Prozess gibt. Doch der Datenschutzindikator (DSI) von TÜV SÜD und der Ludwig-Maximilians-Universität (LMU) München zeigt, dass mehr als die Hälfte der Unternehmen nicht auf eine Datenpanne vorbereitet sind. Tritt sie dann jedoch ein, ist eine Steuerung schwierig.

Verbesserungspotenzial durch interne Audits


Den für das QM-System vorgeschriebenen kontinuierlichen Verbesserungsprozess sollte der DSB ebenfalls für seinen Bereich adaptieren. Denn für ein wirksames Datenschutz-System ist es von Bedeutung, dass es regelmäßig begutachtet und beurteilt sowie nach Möglichkeit optimiert wird. Dafür bietet sich ein internes Audit an, bei dem der DSB als Auditor fungieren kann. Am Ende steht ein Abschlussbericht, der sich ideal eignet, um das Management zu informieren und einzubeziehen. So lassen sich gemeinsam die nächsten Verbesserungsschritte beschließen. Grundsätzlich bietet es sich an, dass Datenschutz- und Qualitätsmanagementbeauftragte gegenseitig vom Know-how des anderen profitieren: Dem QMB fehlt es oft an Verständnis für die Bedeutung des Bereichs Datenschutz als Qualitätsaspekt, während der DSB vom methodischen Ansatz eines Qualitätsmanagementsystems profitiert, das sich auf den eigenen Bereich übertragen lässt. Insgesamt stärkt die neue DIN EN ISO 9001 die Stellung des DSB im Unternehmen und gibt dem Thema Datenschutz mehr Raum als wichtigen Bestandteil des Qualitätsmanagements. Für die Auditierung, Begutachtung, Validierung und Zertifizierung von Managementsystemen steht die TÜV SÜD Management Service GmbH Region West Unternehmen aus den Bundesländern Nordrhein-Westfalen, Rheinland-Pfalz, Niedersachsen und Hessen zur Seite. Die Experten sind erreichbar unter TÜV SÜD Management Service GmbH, ETEC-Gebäude/Eingang Haus 7 – EG, Kruppstraße 82-100, 45145 Essen.

Post

TÜV SÜD Management Service GmbH
Kruppstraße 82-100 45145 Essen
Telefon: 0201/293915-93 Telefax:
Email: Holger.Koehler@tuev-sued.de
Internet: www.tuev-sued.de

Ausgabe 07/2017