Die ISO 9001 und der Datenschutz - Planung und Umsetzung

Planung der Änderungen

Die Umsetzung der Anforderungen der DSGVO kann unter Umständen auch eine Änderung an den Prozessen des Unternehmens und damit auch am Managementsystem allgemein nach sich ziehen.

Eine Analyse der Anforderungen im Vergleich zu den eingeführten und umgesetzten Prozessen zeigt dann, wie hoch der Anpassungs- und Änderungsbedarf ist. Hierbei ist allerdings immer darauf zu achten, dass die Integrität des QM-Systems nicht gefährdet wird.

In Kapitel 6.3 der DIN EN ISO 9001:2015 wird das Vorgehen bei einem Änderungsbedarf am QM-Systems des Unternehmens beschrieben:

a) Zweck der Änderung und deren Konsequenzen: gesetzliche Anforderung zur Umsetzung

b) Integrität des QM-Systems sicherstellten: ausgearbeitete GAP-Analyse und Maßnahmenplan

c) Verfügbarkeit von Ressourcen: Wissen, Kapazität und Infrastruktur bestimmen und personelle Ressourcen bestimmen (intern oder extern)

d) Verantwortlichkeiten und Befugnisse zuweisen


Umsetzung der Anforderungen

"Arbeitspakete"

Nach der Analyse und der Planung geht es in die Umsetzung.

Meine Erfahrung hat gezeigt, dass sich eine Umsetzung in übersichtlichen Arbeitspakten nachhaltiger ist, als eine Umsetzung nach dem "Gießkannenprinzip". Für die Arbeitspakete werden die Maßnahmen aus der GAP-Analyse möglichst zusammengefasst, priorisiert und ein Verantwortlicher für die Umsetzung bestimmt.


Für mich und die Unternehmen die ich betreue, hat sich folgender Ablauf etabliert:


Phase 1: Start

1) Ressourcen für das Datenschutzmanagement

  • DSB gemäß Art. 37 DSGVO erforderlich?

  • Fachkunde- oder Erfahrungsnachweis vorhanden?

2) Mitarbeitersensibilisierung

  • Grundlagen im Datenschutz

  • Verpflichtung auf das Datengeheimnis

  • Umgang mit personenbezogenen Daten

  • Umgang mit IT-Systemen

3) Verantwortlichkeiten festlegen

  • Der Verantwortliche für die Verarbeitung personenbezogener Daten ist in der Regel der Geschäftsführer (bzw. das Topmanagement)

  • Die Verantwortung für die Umsetzung der Anforderungen und festgelegten Maßnahmen kann einem Datenschutzteam übertragen werden. Die Befugnisse des Datenschutzteams müssen klar festgelegt werden.

Phase 2: Umsetzung

1) Verfahren mit Verarbeitung von personenbezogenen Daten identifizieren und in einem Verzeichnis gemäß Art. 30 DSGVO dokumentieren.

Typische Verfahren in Unternehmen:

  • Lohn- und Gehaltsbuchhaltung

  • Personalverwaltung / HR

  • Vertrieb

  • Lieferantenmanagement

  • Kommunikation mit interessierten Parteien

  • Betrieb einer Homepage

Meine Empfehlung: Ich arbeite mich entlang des Organigramms und der

Prozesslandkarte des Unternehmens vor. So erhalte ich einen guten Überblick über die Prozesse des Unternehmens und die verarbeiteten Daten. Ich kläre mit den Prozessverantwortlichen auch gleich den Zweck, den Umfang und die Kategorien der verarbeiteten Daten. Dabei stelle ich immer die Frage "ist die Verarbeitung personenbezogener Daten für diesen Prozess relevant?" Bei einer Verneinung können Maßnahmen zur Datenminimierung festgelegt und anschließend umgesetzt werden.


2) Verarbeitungen im Auftrag identifizieren

  • Welche Dienstleister werden im Unternehmen eingesetzt und wie sieht die Vertragsgestaltung mit Bezug zum Datenschutz aus (AV-Verträge)?

  • Für welche Kunden und Tätigkeiten sind wir als Dienstleister tätig und welche Anforderungen werden gestellt?

3) Richtlinien und Regelungen zum Umgang mit Daten erstellen oder ergänzen

  • Allgemeiner, sicherer Umgang mit Daten

  • Vorgaben zur Gestaltung vorhandener und neuer Prozesse mit Verarbeitung personenbezogener Daten

  • Homeoffice / Mobile Office Richtlinie

  • Zugangs- und Zutrittsregelungen im Unternehmen

  • Notfallmanagement

  • Definition von und Umgang mit Datenpannen

  • weitere Regelungen nach Bedarf

4) Technische und organisatorische Maßnahmen (TOM) dokumentieren, Wirksamkeit prüfen und ggf. verbessern


Phase 3: Kontrolle und Aufrechterhaltung

1) Kontrolle und Verbesserung

  • interne Audits zur Umsetzung der DS-Richtlinien

  • Verarbeitungsverzeichnis auf Aktualität prüfen

  • TOM auf Aktualität und Wirksamkeit prüfen

  • AV-Verträge und Dienstleister prüfen

2) Schulung und Sensibilisierung

  • allgemeine Datenschutzschulung

  • anlassbezogene Schulungen


Im nächsten Teil dieser Serie gehe ich speziell auf Verarbeitungen ein, die potentiell ein Risiko für die Rechte und Freiheiten Betroffener bergen. Der Umgang mit diesen Verarbeitungen stellt die Verantwortlichen regelmäßig vor eine Hürde. Was ich meinen Kunden in diesen Frage rate - das gibt es im nächsten Teil dieser Serie.

Ich freue mich über Feedback, Fragen oder Anregungen über unsere Social Media Kanäle, über ein Kommentar unter diesem Beitrag oder per Mail.

Ähnliche Beiträge

Alle ansehen