Value-Newsletter

ISO 9001 & Datenschutz

Das müssen Sie wissen

Das müssen Sie wissen

Expertenfrage: Datenschutz und Qualitätsmanagement

Inwiefern fällt das Thema Datenschutz in den Bereich des Qualitätsmanagements? IT- und Datenschutzexperte Rainer Seidlitz gibt dazu Antworten.

Die digitale Transformation ist in vollem Gange – und es gibt kaum noch Unternehmen, die nicht in irgendeiner Form Daten verarbeiten. Datenschutz ist damit heutzutage ein entscheidender Qualitätsaspekt.

Mit der Revision der ISO 9001 im vergangenen Jahr kann man den Datenschutz unter anderem in Kapitel 4, dem „Kontext der Organisation“, und dabei insbesondere unter dem Punkt 4.4 „Qualitätsmanagement und dessen Prozesse“ verorten. Datenerhebung und -verarbeitung sind oft ein integraler Bestandteil der Unternehmensprozesse und können Auswirkungen auf die Qualität haben. Deshalb müssen resultierende Risiken auch im Qualitätsmanagementsystem berücksichtigt werden. Die Aufsicht über den Prozess Datenerhebung und -verarbeitung hat der Datenschutzbeauftragte (DSB).

Auch unter Punkt 7 „Unterstützung“ kann Datenschutz als unterstützender Teil des QM-Systems gesehen werden; damit müssen dem DSB ausreichend Ressourcen zur Verfügung stehen, damit er seine Aufgaben vollständig erfüllen kann. Als Ressourcen gelten in diesem Zusammenhang in erster Linie Zeit und Know-how; abhängig von der Unternehmensgröße aber auch weitere Mitarbeiter, die ihn zum Beispiel als Datenschutzkoordinatoren unterstützen. Kapitel 7.1.5. fordert eine zuverlässige Überwachungs- und Messtechnik, also für den DSB zum Beispiel eine Software für das Management von Datenschutzanforderungen; Kapitel 7.4. sieht Kommunikation als wichtigen Teil des QMS vor – beispielsweise betrifft das den Umgang mit Datenschutzverletzungen.

Im Rahmen der Sicherung der Qualität im Betrieb gemäß Kapitel 8 der Norm ist abzuklären, ob der Datenschutz bei der Entwicklung und Produktion von Waren und Dienstleistungen einbezogen werden muss. Auch bei Änderungen der Produkte ist auf Auswirkungen auf Datenschutzaspekte zu prüfen. Besonders bei Dienstleistungen von Lieferanten gilt es, die Datenschutzrelevanz abzuklopfen – zum Beispiel bei der externen Auftragsdatenverarbeitung.

Übrigens: Datenschutzbeauftragte profitieren auch von einem Blick auf die Methoden der ISO 9001. Beispielsweise ist es für den DSB notwendig, seinen Zuständigkeitsbereich klar zu definieren – siehe dazu Normenkapitel 4.3. Der DSB kann sich an Punkt 5 der QM-Norm orientieren und die Geschäftsleitung zur Unterstützung im Bereich Datenschutz auffordern. Mit der Lenkung dokumentierter Information in Kapitel 7.5.3. entwickelt der findige DSB eine strukturierte Ablage beziehungsweise eine stringente Dokumentation. Gibt es Nichtkonformitäten, fordert das Normenkapitel 8.7. Lenkungsprozesse und Korrekturmaßnahmen. Dieser Mechanismus ist auch für den Datenschutz beziehungsweise nach -verletzungen nützlich. Natürlich muss die Maßnahme auch auf Wirksamkeit überprüft werden.

Den für das QM-System vorgeschriebenen kontinuierlichen Verbesserungsprozess sollten DSB ebenfalls für ihren Bereich adaptieren. Dafür sollte auch der Datenschutz regelmäßig per internen Audit unter die Lupe genommen und, wo möglich, optimiert werden. Der DSB kann dafür als interner Auditor fungieren. Die passende Weiterbildung gibt es beispielsweise in der TÜV SÜD Akademie. Am Ende des Reviews steht ein Abschlussbericht, der sich ideal eignet, um das Management zu informieren und einzubeziehen. Dann lassen sich gemeinsam die nächsten Verbesserungsschritte beschließen.

Grundsätzlich bietet es sich an, den Datenschutzbeauftragten und den Qualitätsmanagementbeauftragten (QMB) zusammenzubringen, damit sie gegenseitig vom Know-how des anderen profitieren: QMB fehlt es oft am Verständnis für die Bedeutung des Bereichs Datenschutz als Qualitätsaspekt, und DSB profitieren vom methodischen Ansatz eines Qualitätsmanagementsystems, das sich auf den eigenen Bereich übertragen lässt. Im Sinne eines optimalen, kontinuierlichen Austauschs lohnt ein Jour fixe, an dem bestenfalls auch die Geschäftsleitung teilnimmt.

Insgesamt stärkt die neue ISO 9001 die Stellung des DSB im Unternehmen und gibt dem Thema Datenschutz mehr Raum als wichtigen Bestandteil des Qualitätsmanagements.

TÜV SÜD Experte: Rainer Seidlitz, Leiter IT, TÜV SÜD Management Service GmbH

Wie können wir Ihnen helfen?

WORLDWIDE

Germany

German