Noch sind längst nicht alle Unternehmen ausreichend auf die DSGVO vorbereitet. Doch jetzt ist Eile geboten, denn Verstöße werden mit Bußgeldern von bis zu 20 Millionen Euro beziehungsweise von bis zu 4 % des weltweiten Jahresumsatzes geahndet. „Wir raten allen Unternehmen, die personenbezogene Daten erfassen oder verarbeiten – und das betrifft eigentlich jede Organisation bis hin zu Vereinen mit ihren Mitgliedern und ehrenamtlichen Helfern – aufgrund der Haftungsrisiken spätestens jetzt schnell und nachweislich mit der Umsetzung zu beginnen und ein systematisches Datenschutzmanagement aufzubauen“, empfiehlt Dr. Stephan Killich aus der Geschäftsführung von Consense, einem Anbieter von Software für das Qualitäts- und Prozessmanagement sowie Integrierten Managementsystemen.
Wer sich erst jetzt mit der Verordnung befasst, sollte strukturiert vorgehen, um die Forderungen effizient und systematisch umzusetzen. Dafür gilt es, zunächst den Handlungsbedarf zu ermitteln: In welchen Prozessen werden personenbezogene Daten verarbeitet? Welche sind die jeweiligen Rechtsgrundlagen? Wie ist der Schutz personenbezogener Daten aktuell organisiert? Liegen hierzu bereits Dokumentationen wie Verfahrensverzeichnisse, IT-Sicherheitskonzepte oder ähnliches vor, lässt sich gut darauf aufbauen.
„Ein elektronisches Managementsystem unterstützt dabei, alle datenschutzrelevanten Aktivitäten in eine übersichtliche Struktur zu bringen. Es reduziert den Aufwand, denn es führt Routinetätigkeiten aus und automatisiert Abläufe“, erklärt Killich. So hat zum Beispiel sein Unternehmen mit Consense DSGVO eine Software entwickelt, mit der sich ein transparentes Datenschutzmanagementsystem aufsetzen lässt.
Vorhandene Ressourcen nutzen
Eine solche Software übernimmt zeitaufwändige Arbeiten zur Erfüllung der Dokumentationspflicht mit den zugehörigen Revisionen. Außerdem stellt sie sicher, dass immer auf aktuelle Dokumente und Prozesse zugegriffen wird. Prozesse für die Meldepflicht bei Datenschutzverstößen sowie für das Löschen von Informationen können abgebildet werden. Zudem wird der konforme Umgang mit Betroffenenrechten und Informationspflichten unterstützt.
Um den Aufwand zu minimieren und die Umsetzung schnellstmöglich zu erreichen, empfehlen die Experten von Consense, auf Bestehendem aufzubauen und bereits im Unternehmen vorhandene Ressourcen, Strukturen, Inhalte und Methoden zu nutzen. Insbesondere das Qualitätsmanagement nach DIN EN ISO 9001 ist dafür geeignet, denn es weist viele Parallelen in Vorgehensweisen und Strukturen mit der EU-DSGVO auf:
- Vorgabedokumentation mit Revisionierung: Nach EU-DSGVO müssen bestehende Prozesse systematisch auf datenschutzrechtliche Aspekte geprüft werden. Für den Aufbau der Vorgabedokumentation lassen sich die im QM-System bereits dokumentieren Prozesse, Abläufe und Verantwortlichkeiten nutzen. Eine geeignete Managementsoftware unterstützt mit workflowgestützten Verfahren zur Revisionierung, Prüfung, Freigabe oder Wiedervorlage und reduziert so den Aufwand für Dokumentationspflichten.
- Datenschutzfolgenabschätzung (DSFA) und Maßnahmen: Zur Aufstellung der geforderten DSFA können bestehende Mechanismen des Risikomanagements aus dem QM angewendet werden. Wie die QM-Norm, so fordert auch die EU-DSGVO im Falle von Abweichungen das Ergreifen geeigneter Lenkungsprozesse beziehungsweise Maßnahmen. Mit einer geeigneten Software können den Maßnahmen Verantwortlichkeiten zugewiesen werden. Die Durchführung und Kontrolle der Umsetzung werden durch standardisierte Workflows gelenkt.
- Verzeichnis der Verarbeitungstätigkeiten: Viele Informationen für das erforderliche Verfahrensverzeichnis können aus der QM-Dokumentation generiert werden. Eine Software für ein Integriertes Managementsystem aus QM und Datenschutz ermöglicht unter anderem die Analyse der QM-Dokumentation im Hinblick auf die Verarbeitung personenbezogener Daten. Relationen zwischen den Prozessen und den zugehörigen Verarbeitungstätigkeiten werden hergestellt, um daraus das Verzeichnis abzuleiten.
- Verantwortlichkeiten und Kenntnisnahmen: Wie im QM müssen auch im Datenschutzmanagement Verantwortlichkeiten und Kenntnisnahmen nachvollziehbar geregelt sein. Mit einem Managementsystem lassen sich zum Beispiel die Verantwortungen für jeden Prozess(schritt) und jedes Dokument festlegen und dokumentieren. Mitarbeiter werden von der Software zur Kenntnisnahme von neuen Inhalten, Anweisungen und Änderungen aufgefordert. Diese werden elektronisch und somit jederzeit nachweisbar erfasst. Im QM ist ein „Ja“ oder „Nein“ beim Nachweis ausreichend, im Datenschutz sind zusätzlich dazu Datum und Uhrzeit notwendig.
- Schulungen/Unterweisungen: Nach EU-DSGVO sind Unterweisungen der Mitarbeiter im Umgang mit vertraulichen Daten durchzuführen. Hier lassen sich bestehende Schulungs- und Qualifikationskonzepte aus dem Qualitätsmanagement anwenden. Ein softwaregestütztes System bietet zum Beispiel die Möglichkeit, eine Qualifikationsstruktur anzulegen und Fachqualifikationen der Mitarbeiter mit Gültigkeitsdauer zu versehen. Nützliche Extras wie E-Learning und Tutorials ermöglichen orts- und zeitunabhängige Unterweisungen.
Datenschutz sorgt für mehr Vertrauen
Die zahlreichen Parallelen legen es nahe, eine integrierte Lösung aus Datenschutzmanagement und Qualitätsmanagement umzusetzen und ineffiziente Insellösungen zu vermeiden. „Denn wer zwei getrennte Systeme betreibt, läuft Gefahr, Wesentliches zu übersehen“, meint Killich. „Der Aufbau eines systematischen Datenschutzmanagementsystems lohnt sich nicht nur im Hinblick auf die Vermeidung der empfindlichen Bußgelder. Bestehende Prozesse, die auch datenschutzrechtlich abgesichert sind, erhöhen das Vertrauen von Kunden und Kooperationspartnern.“ ■
Die Autorin
Webhinweis
Über die Verbindung von Datenschutz und Qualitätsmanagement sprachen die beiden Consense-Geschäftsführer Dr. Iris Bruns und Dr. Stephan Killich auch am QE-Stand auf der Control 2018.
Hier geht´s zum Video-Interview: http://hier.pro/9hVRs
Hier finden Sie mehr über:
