Synergien zwischen Datenschutz und Qualität
Die Redaktion sprach im Interview mit Dr. Stephan Killich über Parallelen zwischen Datenschutz und Qualität und eine intuitive Softwarelösung für Prozess- und Qualitätsmanagement und deren Anwendung im Kontext der neuen Datenschutz-Grundverordnung.
Herr Dr. Killich, wen betrifft die neue EU-Datenschutz-Grundverordnung?
Alle Unternehmen und Organisationen, die personenbezogene Daten erheben oder verarbeiten sind von der neuen Grundverordnung betroffen. Damit sind nicht nur Betriebe und deren Kunden- und Mitarbeiterdaten, sondern auch Organisationen wie ehrenamtliche Vereine, die Daten ihrer Mitglieder oder ehrenamtlichen Helfer erfassen, an die Verordnung gebunden.
Ein Kriterium für das Führen eines Verzeichnisses für Verarbeitungstätigkeiten ist beispielsweise, dass eine Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt. Das betrifft somit nahezu jede Organisation und jedes Unternehmen.
Die EU-weit geltende Verordnung bezieht darüber hinaus explizit auch Anbieter mit Sitz außerhalb der EU ein, sofern diese ihre Produkte und Dienstleistung an Bürger der EU richten.
Was ist neu?
Die neue europaweite Verordnung enthält viele Aspekte, die im bisher gültigen Bundesdatenschutzgesetz auch schon enthalten waren. An vielen Stellen werden die bisherigen Forderungen der Datenschutzrichtlinie 95/46/EG aber durch die neue EU DS-GVO konkretisiert und erweitert.
In aller Kürze gesagt, muss der Verantwortliche für den Datenschutz nach Artikel 5 die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten nachweisen können. Das bedeutet, er trägt die Rechenschaftspflicht. Laut Artikel 24 hat er technische und organisatorische Maßnahmen, die sogenannten TOMs, umzusetzen, um sicherzustellen und nachzuweisen, dass die Datenverarbeitung gemäß der DS-GVO erfolgt. Daneben gibt es spezielle Dokumentations- und Maßnahmepflichten, wie beispielsweise die Datenschutz-Folgenabschätzung oder das Verzeichnis der Verarbeitungstätigkeiten.
Auch wenn der Begriff ‚Managementsystem’ in der DS-GVO nicht explizit genannt ist, so ist doch aufgrund der Nachweis- und Rechenschaftspflicht aus Artikel 5 und der Forderungen aus Artikel 24 und auch hinsichtlich der Sanktions- und Haftungsrisiken für die konkrete Umsetzung der DS-GVO die Notwendigkeit – und ein großer Nutzen – eines umfassenden und systematischen Datenschutzmanagementsystems offensichtlich. Damit gehen die klassischen Anforderungen an die Dokumentation und Pflege eines solchen Managementsystems einher.
Warum müssen die Vorgaben eingehalten werden?
Die Nachweis- und Rechenschaftspflicht sowie die Sanktions- und Haftungsrisiken bei Nichtkonformitäten sind nach der neuen Verordnung so groß, dass eine Einhaltung zur Vermeidung von hohen Bußgeldern stark angeraten ist. Bei Verstößen drohen empfindliche Bußgelder, die im Extremfall bis zu 20 Millionen Euro beziehungsweise bis zu vier Prozent des weltweiten Jahresumsatzes betragen können.
Und unter Umständen könnte es nun zur faktischen Beweislastumkehr kommen, so dass der Verantwortliche wegen seiner Rechenschaftspflicht sogar die Darlegungs- und Beweislast trägt, dafür, dass er den haftungsauslösenden Verstoß nicht begangen hat. So ist man gut damit beraten, die Vorgaben tatsächlich einzuhalten.
Aber auch darüber hinaus ist es eine echte Chance, sich durch ein entsprechendes professionelles Datenschutzmanagementsystem vom Mitbewerber abzugrenzen und auf dem Markt positiv wahrgenommen zu werden.
Weiterhin ist es sehr wahrscheinlich, dass durch unterschiedliche Konkretisierungen zum Datenschutz, beispielweise im Rahmen von Gerichtsurteilen, neue Anforderungen ergeben. Um diesen zeitnah und ohne großen Aufwand gerecht zu werden, ist ein professionelles Datenschutzmanagementsystem erforderlich.
Welche Fragen sollten sich Unternehmen zum Start jetzt stellen?
Was habe ich schon, das ich irgendwie verwenden kann? Das ist die erste Frage, die man sich als Unternehmen stellen sollte. Um den Aufwand zu minimieren und die Umsetzung schnellstmöglich zu erreichen, sollte auf Bestehendem aufgebaut und nicht bei null angefangen werden. Häufig stellt sich heraus, dass Unternehmen schon unbewusst viel aktiver in Sachen Datenschutz sind, als sie selbst annehmen.
Gibt es schon ein Managementsystem in meinem Unternehmen, das Parallelen zur DS-GVO aufweist, zum Beispiel ein Qualitätsmanagementsystem oder ein Informationssicherheits-Managementsystem? Wenn ja, dann habe ich es viel leichter die Forderungen der DS-GVO umzusetzen, denn ich kann die vorhandenen Strukturen, Ressourcen, Inhalte und Methoden nutzen. Darauf aufbauend können gezielt Ergänzungen um die datenschutzrechtlichen Aspekte erfolgen. Dazu folgen dann elementare Fragen, wie „Wo werden welche personenbezogenen Daten verarbeitet und zu welchem Zweck?“
Wie können Vorgaben eingehalten werden?
Bewährte Methoden sollten zum Einsatz kommen, zum Beispiel der aus dem QM bekannte und etablierte PDCA-Zyklus. Alle datenschutzrelevanten Aktivitäten müssen schnellstmöglich in eine transparente Struktur gebracht werden.
Dabei macht eine geeignete Softwarelösung zur Abbildung von elektronischen Managementsystemen das Leben leichter, denn diese übernimmt beispielsweise Routinetätigkeiten, automatisiert Abläufe mittels Workflows und bietet viele weitere hilfreiche Funktionen.
Dabei ist es sinnvoll, ein integriertes Managementsystem zu wählen, um mehrere Normen und Regelwerke unter einer gemeinsamen Oberfläche abzubilden. Wir kennen die Nachteile der Insellösungen aus den Anfängen des Qualitätsmanagements. Diesen Fehler sollte man heute von Anfang an vermeiden und Synergien nutzen, zum Beispiel insbesondere zwischen Datenschutz und Qualitätsmanagement.
Warum können Unternehmen, die bereits nach DIN EN ISO 9001 zertifiziert sind, den neuen Vorschriften gelassener entgegensehen?
Es gibt viele Parallelen und Synergien zwischen den zwei Systemen. Der Aufbau eines Datenschutz-Managementsystems und der eines Qualitäts-Managementsystems besitzen viele Gemeinsamkeiten und dadurch auch Synergiepotentiale.
Vorteile sind beispielsweise, dass in einem QM-System schon Vorarbeit geleistet wurde: Prozesse und Abläufe sind bereits dokumentiert, hier im Hinblick auf die sogenannte Vorgabedokumentation. Zusätzlich sind die Verantwortlichkeiten im Kontext der Prozesse klar definiert. Darüber hinaus gibt es ein etabliertes Verfahren zum Revisionsmanagement, auf das im Sinne der Rechenschaftspflicht zurückgegriffen werden sollte.
Ein weiteres etabliertes Verfahren, das im Qualitätsmanagement angewendet wird, ist das Audit. Ein Unternehmen muss sich in regelmäßigen Abständen die Frage nach der Aktualität des Managementsystems stellen. Besteht diesbezüglich vielleicht Handlungsbedarf? Und dieses Verfahren kann eins zu eins auf den Datenschutz übertragen werden, sowohl im Hinblick auf die komplette Dokumentation des Datenschutzmanagementsystems als auch auf die ‚TOMs‘, die technisch-organisatorischen Maßnahmen.
Dr. Stephan Killich betont: „Durch Datenschutz können Unternehmen eine Vertrauensbasis zum Kunden aufbauen.“ |
Was raten Sie Unternehmen, die bereits ein QMS im Einsatz haben?
Für die Bestandsaufnahme ist eine Analyse des QM-Systems eine große Hilfe und Erleichterung. Viele Informationen zum Aufbau eines Verzeichnisses der Verarbeitungstätigkeiten können aus der QM-Dokumentation automatisch generiert oder zusammengestellt werden.
Unsere integrierte Softwarelösung aus QM und Datenschutz ermöglicht beispielsweise die Analyse der Vorgabedokumentation im Hinblick auf die Verarbeitung personenbezogener Daten und die Ableitung eines Verzeichnisses der Verarbeitungstätigkeiten.
Automatisierte Verfahren wie zum Beispiel zur Revisionierung, Prüfung, Freigabe, Wiedervorlage und Kenntnisnahme reduzieren den Aufwand für „lästige“ Dokumentationspflichten auf ein Minimum. Auch für die Datenschutzfolgenabschätzung sollten Unternehmen bestehende Mechanismen des Risikomanagements anwenden.
Mein Rat in Kürze: Unternehmen sollten die Vorgabedokumentation des Qualitätsmanagements für die Bestandsaufnahme nutzen, das Datenschutzmanagement-System in das bestehende System integrieren und hinterfragen, was ihnen für die Abbildung eines Datenschutzmanagement-Systems an Werkzeugen und Inhalten bereits zur Verfügung steht.
Welche Hürden müssen noch gemeistert werden?
Ein weiterer nicht zu vernachlässigender Aspekt ist die Akzeptanz eines solchen Managementsystems. Nur ein von den Mitarbeitern akzeptiertes und gelebtes System führt zum Erfolg, da die Inhalte ansonsten schnell veraltet und nicht mehr gültig sind. Damit wäre einerseits die Einhaltung der Vorgaben der DS-GVO im Laufe der Zeit gefährdet und bei Verstößen würden wieder Bußgelder drohen, und andererseits ist doch das Ziel eines jeden Managementsystems die kontinuierliche Verbesserung – und diese wird nur mit aktuellen Inhalten und realitätsnahen Abläufen möglich.
Ein Datenschutzmanagementsystem muss, genau wie ein QM-System, von den Mitarbeitern akzeptiert und gelebt werden. Erst dann ist es eine Lösung, die einen echten Mehrwert bringt und in der Lage ist, flexibel auf zukünftige Änderungen zu reagieren.
Doch wie bekommt man es hin, dass ein solches System, das in der Regel nicht gerade von allen Mitarbeitern freudig und erwartungsvoll begrüßt wird, akzeptiert und lebendig wird? Genau hiermit haben wir sehr umfangreiche Erfahrungen.
Inwieweit kann die EU-DSGVO auch als Chance begriffen werden?
Durch Datenschutz können Unternehmen eine Vertrauensbasis zum Kunden aufbauen. Der Kunde ist nach der DSGVO der Betroffene, für den es ein wichtiges Kriterium ist, dass seine Daten auch geschützt sind. Somit kann Datenschutz per se einen Wettbewerbsvorteil darstellen.
Wenn ich ein gutes Verhältnis zu meinem Kunden haben möchte, dann ist das für mich eine Mindestvoraussetzung, dass ich mit seinen Daten auch gut umgehe. Und gerade weil es im Kundenverhältnis so wichtig ist, ist das für mich klar ein Wettbewerbsvorteil. Also kann sich ein Unternehmen durch ein gutes Datenschutzmanagementsystem sehr stark von seinen Mitbewerbern abheben.
Herr Dr. Killich, vielen Dank für das Gespräch.