8
TÜV SÜD Akademie GmbH Berührungspunkte von Qualitätsmanagement und Datenschutz Wie beide Disziplinen voneinander lernen können AC110-QMDatBerater-kb-210x297-p-16-08-02 Factsheet Themenbeschreibung Es gibt immer mehr Gemeinsamkeiten im Bereich Qualitätsmanagement und Datenschutz. Die Folge: Neuerungen der DIN EN ISO 9001:2015 haben Auswirkungen auf den Datenschutz und umgekehrt. Um von den Veränderungen profitieren zu können, sollten beide Bereiche eine engere Zusammenarbeit anstreben.

Berührungspunkte von Qualitätsmanagement und Datenschutz · Neuerungen der DIN EN ISO 9001:2015 haben Auswirkungen auf den Datenschutz und umgekehrt. Um von den Veränderungen profitieren

Embed Size (px)

Citation preview

TÜV SÜD Akademie GmbH

Berührungspunkte von Qualitätsmanagement und DatenschutzWie beide Disziplinen voneinander lernen können

AC11

0-QM

DatB

erat

er-k

b-21

0x29

7-p-

16-0

8-02

Factsheet

ThemenbeschreibungEs gibt immer mehr Gemeinsamkeiten im Bereich Qualitätsmanagement und Datenschutz. Die Folge: Neuerungen der DIN EN ISO 9001:2015 haben Auswirkungen auf den Datenschutz und umgekehrt. Um von den Veränderungen profitieren zu können, sollten beide Bereiche eine engere Zusammenarbeit anstreben.

1. Einleitung ..................................................................................................................................................................................................................................................................................................................................... 32. Verknüpfung von Datenschutz und DIN EN ISO 9001:2015 .......................................................................................................................................................................................... 43. Datenschutz und Produktentwicklung – Verbindungen stärken ......................................................................................................................................................................... 54. Managementsystem im Datenschutz ..................................................................................................................................................................................................................................................... 65. Kontinuierlicher Verbesserungsprozess macht sich bezahlt .................................................................................................................................................................................... 7

Inhalt

2 Qualitätsmanagement und Datenschutz l TÜV SÜD Akademie GmbH

1. Einleitung

Qualitätsmanagement und Datenschutz l TÜV SÜD Akademie GmbH 3

Themen wie Datenklau und Datenmissbrauch sind zurzeit in aller Munde. Der Schutz von Daten, personenbezogen oder anderer Art, spielt in unserem Alltag eine elementare Rolle – im Privaten, ebenso wie in der Arbeitswelt. Ein umfassendes Datenschutzkonzept ist für Unternehmen unabdingbar. Datenschutzbeauftragte brauchen fundierte und praxistaugliche Konzepte. Doch wie sieht der dafür notwendige Rahmen aus? Hier bietet es sich an, sich an bereits bestehenden Managementsystemen zu orientie-

ren. Inhalte und Methoden können übernommen und auf die jeweilige Situation im Unternehmen angepasst wer-den. In puncto Datenschutz eignet sich die Anlehnung an das Qualitätsmanagement (es orientiert sich größtenteils an der Norm DIN EN ISO 9001). Aber auch umgekehrt wird der Datenschutz ein immer wichtigerer Aspekt im Quali-tätsmanagement. Wo sind Überschneidungen vorhanden? Wie können beide Bereiche voneinander profitieren? Wir klären Sie auf.

4 Qualitätsmanagement und Datenschutz l TÜV SÜD Akademie GmbH

2. Verknüpfung von Datenschutz und DIN EN ISO 9001:2015Mit der neuen Version der Qualitätsnorm – DIN EN ISO 9001:2015 – wird das Thema Datenschutz auch im Bereich Qualitätsmanagement immer bedeutender. Das Werte- umfeld der Organisation spielt in dieser Norm eine wich-tige Rolle. Ebenso wie der Zweck, die strategische Aus-richtung und aktuelle Gesetzgebungen. Wichtige Begriffe in diesem Zusammenhang: BDSG, Telemediengesetz und das IT-Sicherheitsgesetz. Auf europäischer Ebene seien hier die NIS-Richtlinie und die Datenschutz-Grundverord-nung erwähnt.

Die wichtigsten Änderungen im Überblick:

Kapitel 4.4 der DIN EN ISO 9001 bringt eine stärkere Prozessorientierung mit sich. Diese bedingt die Er- hebung und Analyse von Prozessen im Hinblick auf Qualitätskennzahlen mit dem Ziel der kontinuierlichen Verbesserung. Auch im Datenschutz gibt es eine aus-geprägte Prozessorientierung – sofern insbesondere die Anforderungen gemäß §§ 4e, 4g BDSG eingehalten werden. Diese Datenerhebungs- und Verarbeitungs- prozesse haben häufig auch Auswirkungen auf das Qualitätsmanagement. Folgt ein Unternehmen dieser Norm, muss es somit die Datenerhebung und -verar- beitung betrachten. Denn in diesem Bereich können sonst Risiken übersehen werden, die zu Nonkonformi- täten führen.

Auch Kapitel 7 sollte in die Analyse einfließen. Um das Qualitätsmanagement wirksam durchführen zu können, müssen entsprechenden Ressourcen zur Verfügung stehen. Dazu gehören unter anderem: Mitarbeiter, die Arbeitsplatzumgebung, Wissen oder technische Geräte. Auch der Datenschutz gehört dazu. So sollte beispiels-weise kontrolliert werden, ob dem Datenschutzbeauf-tragten ausreichend Zeit zur Verfügung steht. Auch im Bereich der Überwachungs- und Messtechnik gehen Qualitätsmanagement und Datenschutz Hand in Hand. Bezogen auf den Datenschutz könnte z. B. ein Daten-schutz-Tool zur Verwaltung von Anforderungen und des Umsetzungsstandes unterstützen. Zusätzlich könnte die Frage nach der Kompetenz und der Aufrechterhaltung derselben in diese Betrachtungsweise aufgenommen werden.

Ebenso spielt die Kommunikation in Kapitel 7 eine wichtige Rolle. Auf den Datenschutz übertragen kann gefragt werden, wer bei einem Datenschutzvorfall informiert wird, wie und wann? Solche und ähnliche Fragen sollten geklärt werden, bevor der entspre-chende Fall eintritt.

5Qualitätsmanagement und Datenschutz l TÜV SÜD Akademie GmbH

3. Datenschutz und Produktentwicklung – Verbindungen stärken

Im Bereich der Produktentwicklung ist eine enge Zusam-menarbeit von Qualitätsmanagement und Datenschutz ebenfalls förderlich. Kapitel 8 der DIN EN ISO 9001 ist ein zentraler Punkt zur Sicherung der Qualität bei Planung und Herstellung von Produkten. Daher sollte auch in diesem Bereich eng zusammengearbeitet werden. So sollte schon bei der Bestimmung der Anforderungen an ein Produkt der Datenschutz in die Prüfung einbezogen werden („privacy by design“). Vorsorge ist besser als Nachsorge. Fragen wie: „Welches Datenschutzniveau erwarten unsere Kunden?“ „Welche datenschutzrecht-lichen Anforderungen gibt es?“ sollten unbedingt in die Analyse eingebunden werden. Der Umfang der personen-bezogenen Daten sollte auf ein Mindestmaß beschränkt werden – dieser Aspekt sollte bereits bei der Planung neuer Produkte betrachtet werden.

Ebenso sollten zukünftige (mögliche) Auswirkungen bei Änderungen von Produkten und Dienstleistungen in der Beurteilung berücksichtigt werden. Gleiches gilt bei Komponenten externer Dienstleister. Werden Daten-schutzrichtlinien des eigenen Unternehmens auch bei den externen Produkten eingehalten? Ein offizieller Frei-gabeprozess unter Einbindung des Datenschutzbeauf- tragten könnte hier Klarheit schaffen.

6 Qualitätsmanagement und Datenschutz l TÜV SÜD Akademie GmbH

4. Managementsystem im DatenschutzEin weiterer wichtiger Aspekt der revisionierten Qualitäts-management-Norm ist 4.3 – Festlegung des Anwendungs-bereichs. Auch dieser Sachverhalt sollte im Datenschutz fixiert werden: Was ist der genaue Zuständigkeitsbereich des Datenschutzbeauftragten? Gehören alle Standorte und Abteilungen dazu? Und wo gibt es möglicherweise Überschneidungen mit anderen Disziplinen wie das IT- oder Gebäude-Management. Dazu sollte es klare Festlegungen geben, damit keine Regelungslücken ent-stehen.

Kapitel 5 der Norm sollte keinesfalls außer Acht gelassen werden. Dieser Abschnitt beinhaltet die Weisung an die Unternehmensleitung, die Qualitätspolitik und Ziele sicherzustellen. Die Gesamtverantwortung der Wirksam-keit des Qualitätsmanagements liegt somit bei der Ge-schäftsführung. Im Hinblick auf den Datenschutz wird die verantwortliche Stelle ebenso durch die Unternehmens-leitung repräsentiert. Das sollte dieser deutlich bewusst sein.

Ein weiteres Lernfeld für den Datenschutzbeauftragten könnte Kapitel 7.5.3 der Qualitätsmanagement-Norm sein.

In diesem Abschnitt geht es um die Dokumentation von Informationen. Auch im Datenschutz ist eine strukturierte und nachvollziehbare Handhabung von Dokumenten in hohem Maße sinnvoll. Fragen wie: „Wer hat ein Doku-ment erstellt?“, „Handelt es sich um einen Entwurf oder ein finales Dokument?“ und „Wo sind aktuell gültige Versionen abgelegt?“ können damit umgehend geklärt werden.

Auch im Umgang mit Nichtkonformitäten lohnt sich der Blick des Datenschutzbeauftragten zum Qualitäts- management. Gemäß Kapitel 8.7 werden bei einem nichtkonformen Ablauf Lenkungsprozesse nötig. Hier gilt es zu analysieren, was genau passiert ist und welche Ursache dahinter steckt, um die Lücke zu schließen und künftig zu einem höheren Datenschutzniveau zu kommen.

Ursachen von Datenschutzverletzungen sollten immer im Detail analysiert und konkrete Schritte zur Lösung des Problems eingeleitet werden. Im Hinblick auf den Daten-schutz, sollten auch Prinzipien des Qualitätsmanagements miteinbezogen werden. Der Lenkungsprozess des Quali-tätsmanagements sollte auch in diesem Bereich greifen.

7Qualitätsmanagement und Datenschutz l TÜV SÜD Akademie GmbH

5. Kontinuierlicher Verbesserungsprozess macht sich bezahltBewertungHauptziel eines jeden Managementsystems ist die kon-tinuierliche Verbesserung. Daher spielt die Bewertung und Optimierung von Leistungen eine zentrale Rolle. Dies gilt auch für das Datenschutz-Managementsystem: Eine regelmäßige Begutachtung und Beurteilung ist unerläss- lich. Ein Review sollte daher mindestens einmal im Jahr stattfinden. AuditNeben der Bewertung, ist auch die Kontrolle der Maß-nahmen von größter Bedeutung. Kontrollen sollten zum Beispiel bei:

Änderungen in Prozessen oder der Organisation, Problemen, neuen Dienstleistern stattfinden.

Es sollte ein internes Audit durchgeführt werden, wobei der Datenschutzbeauftragte die Rolle des Auditors über-nimmt. Die TÜV SÜD Akademie bietet eine entsprechende Ausbildung an, bei der ebenfalls Erfahrungen aus dem Bereich Qualitätsmanagement miteinfließen.

JahresberichtNeben dem Review sollte auch ein Jahresbericht er-stellt werden, um künftige Schritte erfolgreich planen zu können. Dieser wird dem Management zur Bewertung vorgelegt. Auf Grundlage des Berichts, gilt es gemeinsam effektive Maßnahmen für das künftige Vorgehen im Da-tenschutz zu beschließen.

Jour FixeIn den meisten Unternehmen arbeiten Qualitätsmanage-ment und Datenschutz noch sehr selten zusammen. QM-Beauftragte haben wenig Ahnung von Datenschutz und umgekehrt. Wie wichtig eine enge Zusammenarbeit ist, wissen die wenigsten. Der Datenschutzbeauftragte sollte daher Kooperationen anregen und einen regel-mäßigen Jour Fixe etablieren. Beide Seiten profitieren von einem solchen Treffen und weitreichende Fehlent-scheidungen können so bereits in einem frühen Stadium erkannt und verhindert werden.

Qualitätsmanagement und Datenschutz l TÜV SÜD Akademie GmbH8

TÜV SÜD Akademie GmbHWestendstraße 16080339 München

Wissen, worauf es ankommt www.tuev-sued.de/akademie

Bleiben wir in Kontakt!

Ihr Ansprechpartner bei der TÜV SÜD Akademie:

Uwe LaubnerFachliche Leitung Datenschutz

Tel. +49 (0)89 5791-2388E-Mail: [email protected]

Der AutorRainer Seidlitz ist Datenschutzexperte bei der TÜV SÜD Sec-IT GmbH.

Tel.: +49 (0)89 5791-4297E-Mail: [email protected]

Dieses Factsheet entstand in Kooperation mit der TÜV SÜD Sec-IT GmbH. Die TÜV SÜD Sec-IT bündelt mit ihren innovativen Leistungen Kompetenzen der Bereiche IT-Security und Datenschutz.

Weitere Informationen zur TÜV SÜD Sec-IT finden Sie unter: www.tuev-sued.de/fokus-themen/it-security