QM und Datenschutz: So nutzen Sie Synergien

Die Struktur von Dokumenten für den Datenschutz kann sich sehr gut an der Struktur von QM-Dokumenten orientieren. © ConSense

Um den Aufwand zu minimieren und die Umsetzung schnellstmöglich zu erreichen, empfehlen die Experten, auf Bestehendem aufzubauen und bereits im Unternehmen vorhandene Ressourcen, Strukturen, Inhalte und Methoden zu nutzen. Insbesondere das Qualitätsmanagement (QM) nach DIN EN ISO 9001 ist dafür geeignet, denn es weist viele Parallelen in Vorgehensweisen und Strukturen mit der EU-DSGVO auf:

● Vorgabedokumentation mit Revisionierung: Nach EU-DSGVO müssen bestehende Prozesse systematisch auf datenschutzrechtliche Aspekte geprüft werden. Für den Aufbau der Vorgabedokumentation lassen sich die im QM-System bereits dokumentierten Prozesse, Abläufe und Verantwortlichkeiten nutzen. Eine geeignete Managementsoftware unterstützt mit workflowgestützten Verfahren zur Revisionierung, Prüfung, Freigabe oder Wiedervorlage und reduziert so den Aufwand für Dokumentationspflichten. 

Für die Datenschutzfolgenabschätzung kann die Risikobewertung mit der auch im QM eingesetzten Risikomatrix nach Nohl durchgeführt werden. © ConSense

● Datenschutzfolgenabschätzung (DSFA) und Maßnahmen: Zur Aufstellung der geforderten DSFA können bestehende Mechanismen des Risikomanagements aus dem QM angewendet werden. Wie die QM-Norm, so fordert auch die EU-DSGVO im Falle von Abweichungen das Ergreifen geeigneter Lenkungsprozesse beziehungsweise Maßnahmen. Mit einer geeigneten Software können den Maßnahmen Verantwortlichkeiten zugewiesen werden. Die Durchführung und Kontrolle der Umsetzung werden durch standardisierte Workflows gelenkt. 

● Verzeichnis der Verarbeitungstätigkeiten: Viele Informationen für das erforderliche Verfahrensverzeichnis können aus der QM-Dokumentation generiert werden. Eine Software für ein Integriertes Managementsystem aus QM und Datenschutz ermöglicht unter anderem die Analyse der QM-Dokumentation im Hinblick auf die Verarbeitung personenbezogener Daten. Relationen zwischen den Prozessen und den zugehörigen Verarbeitungstätigkeiten werden hergestellt, um daraus das Verzeichnis abzuleiten. 

● Verantwortlichkeiten und Kenntnisnahmen: Wie im QM müssen auch im Datenschutzmanagement Verantwortlichkeiten und Kenntnisnahmen nachvollziehbar geregelt sein. Mit einem Managementsystem lassen sich zum Beispiel die Verantwortungen für jeden Prozess(schritt) und jedes Dokument festlegen und dokumentieren. Mitarbeiter werden von der Software zur Kenntnisnahme von neuen Inhalten, Anweisungen und Änderungen aufgefordert. Diese werden elektronisch und somit jederzeit nachweisbar erfasst. Im QM ist ein „Ja“ oder „Nein“ beim Nachweis ausreichend, im Datenschutz ist zusätzlich dazu Datum und Uhrzeit notwendig. 

● Schulungen/Unterweisungen: Nach EU-DSGVO sind Unterweisungen der Mitarbeiter im Umgang mit vertraulichen Daten durchzuführen. Hier lassen sich bestehende Schulungs- und Qualifikationskonzepte aus dem Qualitätsmanagement anwenden. Ein softwaregestütztes System bietet beispielsweise die Möglichkeit, eine Qualifikationsstruktur anzulegen und Fachqualifikationen der Mitarbeiter mit Gültigkeitsdauer zu versehen. Nützliche Extras wie eLearning und Tutorials ermöglichen orts- und zeitunabhängige Unterweisungen.

DSGVO umsetzen, Vertrauen erhöhen

Die zahlreichen Parallelen legen es nahe, eine integrierte Lösung aus Datenschutzmanagement und Qualitätsmanagement umzusetzen und ineffiziente Insellösungen zu vermeiden. „Denn wer zwei getrennte Systeme betreibt, läuft Gefahr, Wesentliches zu übersehen“, meint Dr. Stephan Killich. „Der Aufbau eines systematischen Datenschutzmanagementsystems lohnt sich nicht nur im Hinblick auf die Vermeidung der empfindlichen Bußgelder. Bestehende Prozesse, die auch datenschutzrechtlich abgesichert sind, erhöhen das Vertrauen von Kunden und Kooperationspartnern.“