Qualitätsmanagement und Datenschutz
DSGVO: Synergien mit QM nutzen
Die EU-DSGVO ist in Kraft getreten. Bei Zuwiderhandlungen drohen hohe Bußgelder. Trotz Übergangszeit sind noch lange nicht alle Unternehmen datenschutzkonform aufgestellt. Ein elektronisches Datenschutz-Managementsystem könnte helfen. Von Dr. Iris Bruns
Die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) gilt nach Ende der Übergangsfrist am 25. Mai 2018 verbindlich. Die bisherigen Forderungen der Datenschutzrichtlinie 95/46/EG wurden darin konkretisiert und erweitert. Doch noch längst nicht alle Unternehmen sind ausreichend vorbereitet. Jetzt ist Eile geboten, denn Verstöße werden mit Bußgeldern von bis zu 20 Millionen Euro beziehungsweise von bis zu 4 Prozent des weltweiten Jahresumsatzes geahndet. „Wir raten allen Unternehmen, die personenbezogene Daten erfassen oder verarbeiten – und das betrifft eigentlich jede Organisation bis hin zu Vereinen mit ihren Mitgliedern und ehrenamtlichen Helfern – aufgrund der Haftungsrisiken spätestens jetzt schnell und nachweislich mit der Umsetzung zu beginnen und ein systematisches Datenschutzmanagement aufzubauen“, empfiehlt Dr. Stephan Killich aus der Geschäftsführung von ConSense.
Firma zum Artikel
Themen im Artikel
Handlungsbedarf ermitteln, DSGVO umsetzen
Wer sich erst jetzt mit der Verordnung befasst, sollte strukturiert vorgehen, um die Forderungen effizient und systematisch umzusetzen. Dafür gilt es, zunächst den Handlungsbedarf zu ermitteln: In welchen Prozessen werden personenbezogene Daten verarbeitet? Welche sind die jeweiligen Rechtsgrundlagen? Wie ist der Schutz personenbezogener Daten aktuell organisiert? Liegen hierzu bereits Dokumentationen wie Verfahrensverzeichnisse, IT-Sicherheitskonzepte oder Ähnliches vor, lässt sich gut darauf aufbauen.
Die ConSense GmbH hat mit ConSense DSGVO eine Software entwickelt, mit der sich ein transparentes Datenschutzmanagementsystem aufsetzen lässt. Dr. Stephan Killich erklärt: „Ein elektronisches Managementsystem unterstützt dabei, alle datenschutzrelevanten Aktivitäten in eine übersichtliche Struktur zu bringen. Es reduziert den Aufwand, denn es führt Routinetätigkeiten aus und automatisiert Abläufe.“ Die Software übernimmt Arbeiten zur Erfüllung der Dokumentationspflicht mit den zugehörigen Revisionen. Außerdem stellt sie sicher, dass immer auf aktuelle Dokumente und Prozesse zugegriffen wird. Prozesse für die Meldepflicht bei Datenschutzverstößen sowie für das Löschen von Informationen können abgebildet werden. Zudem wird der konforme Umgang mit Betroffenenrechten und Informationspflichten unterstützt.
QM und Datenschutz: So nutzen Sie Synergien
Um den Aufwand zu minimieren und die Umsetzung schnellstmöglich zu erreichen, empfehlen die Experten, auf Bestehendem aufzubauen und bereits im Unternehmen vorhandene Ressourcen, Strukturen, Inhalte und Methoden zu nutzen. Insbesondere das Qualitätsmanagement (QM) nach DIN EN ISO 9001 ist dafür geeignet, denn es weist viele Parallelen in Vorgehensweisen und Strukturen mit der EU-DSGVO auf:
● Vorgabedokumentation mit Revisionierung: Nach EU-DSGVO müssen bestehende Prozesse systematisch auf datenschutzrechtliche Aspekte geprüft werden. Für den Aufbau der Vorgabedokumentation lassen sich die im QM-System bereits dokumentierten Prozesse, Abläufe und Verantwortlichkeiten nutzen. Eine geeignete Managementsoftware unterstützt mit workflowgestützten Verfahren zur Revisionierung, Prüfung, Freigabe oder Wiedervorlage und reduziert so den Aufwand für Dokumentationspflichten.
Artikel zum Thema

Taskboard zur strukturierten Visualisierung
Vorbild Kanban
Alle anstehenden Aufgaben im Blick, nach Prioritäten sortiert und in ihrem Fortschritt nachvollziehbar – das sind, verkürzt beschrieben, die Inhalte eines Kanban-Boards.

● Datenschutzfolgenabschätzung (DSFA) und Maßnahmen: Zur Aufstellung der geforderten DSFA können bestehende Mechanismen des Risikomanagements aus dem QM angewendet werden. Wie die QM-Norm, so fordert auch die EU-DSGVO im Falle von Abweichungen das Ergreifen geeigneter Lenkungsprozesse beziehungsweise Maßnahmen. Mit einer geeigneten Software können den Maßnahmen Verantwortlichkeiten zugewiesen werden. Die Durchführung und Kontrolle der Umsetzung werden durch standardisierte Workflows gelenkt.
● Verzeichnis der Verarbeitungstätigkeiten: Viele Informationen für das erforderliche Verfahrensverzeichnis können aus der QM-Dokumentation generiert werden. Eine Software für ein Integriertes Managementsystem aus QM und Datenschutz ermöglicht unter anderem die Analyse der QM-Dokumentation im Hinblick auf die Verarbeitung personenbezogener Daten. Relationen zwischen den Prozessen und den zugehörigen Verarbeitungstätigkeiten werden hergestellt, um daraus das Verzeichnis abzuleiten.
● Verantwortlichkeiten und Kenntnisnahmen: Wie im QM müssen auch im Datenschutzmanagement Verantwortlichkeiten und Kenntnisnahmen nachvollziehbar geregelt sein. Mit einem Managementsystem lassen sich zum Beispiel die Verantwortungen für jeden Prozess(schritt) und jedes Dokument festlegen und dokumentieren. Mitarbeiter werden von der Software zur Kenntnisnahme von neuen Inhalten, Anweisungen und Änderungen aufgefordert. Diese werden elektronisch und somit jederzeit nachweisbar erfasst. Im QM ist ein „Ja“ oder „Nein“ beim Nachweis ausreichend, im Datenschutz ist zusätzlich dazu Datum und Uhrzeit notwendig.
● Schulungen/Unterweisungen: Nach EU-DSGVO sind Unterweisungen der Mitarbeiter im Umgang mit vertraulichen Daten durchzuführen. Hier lassen sich bestehende Schulungs- und Qualifikationskonzepte aus dem Qualitätsmanagement anwenden. Ein softwaregestütztes System bietet beispielsweise die Möglichkeit, eine Qualifikationsstruktur anzulegen und Fachqualifikationen der Mitarbeiter mit Gültigkeitsdauer zu versehen. Nützliche Extras wie eLearning und Tutorials ermöglichen orts- und zeitunabhängige Unterweisungen.
DSGVO umsetzen, Vertrauen erhöhen
Die zahlreichen Parallelen legen es nahe, eine integrierte Lösung aus Datenschutzmanagement und Qualitätsmanagement umzusetzen und ineffiziente Insellösungen zu vermeiden. „Denn wer zwei getrennte Systeme betreibt, läuft Gefahr, Wesentliches zu übersehen“, meint Dr. Stephan Killich. „Der Aufbau eines systematischen Datenschutzmanagementsystems lohnt sich nicht nur im Hinblick auf die Vermeidung der empfindlichen Bußgelder. Bestehende Prozesse, die auch datenschutzrechtlich abgesichert sind, erhöhen das Vertrauen von Kunden und Kooperationspartnern.“