Datenschutz nach der EU-DSGVO schon im Griff?

Kuhn Fachmedien

Artikel vom 20. April 2018

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) gilt verbindlich ab 25. Mai 2018. Sie betrifft nahezu jedes Unternehmen und jede Organisation, denn überall werden in irgendeiner Form personenbezogene Daten verarbeitet. Die Umsetzung der Verordnung ist ohne elektronische Unterstützung kaum möglich.

PRAXIS – Qualitätsmanagement

Qualitätsmanagement und Datenschutz sollten in einem integrierten Managementsystem abgebildet werden. Dazu rät Experte Stephan Killich von Consense. Bilder: Consense

Auf die EU-DSGVO zugeschnittene Softwarelösungen vereinfachen das Datenschutzmanagement erheblich. Noch effizienter ist es, Datenschutz und Qualitätsmanagement gleich „unter einen Hut“ zu bringen – und damit Synergien zu nutzen.

Die neue EU-DSGVO konkretisiert und erweitert die bisherigen Forderungen der Datenschutzrichtlinie 95/46/EG. Unternehmen und Organisationen, die personenbezogene Daten erheben oder verarbeiten, müssen ihre verordnungskonformen Ak

tivitäten durch ein nachvollziehbares Datenschutzkonzept belegen. Die EU-DSGVO bringt Veränderungen in den Bereichen Rechtsgrundlagen, Umgang mit Betroffenenrechten, Nachweis-Dokumentationspflichten, IT-Sicherheit, Outsourcing, Beschäftigtendaten und Haftung mit sich. Bei Verstößen drohen empfindliche Bußgelder, die im Extremfall bis zu 20 Millionen Euro beziehungsweise bis zu vier Prozent des Jahresumsatzes betragen können.

Die DSGVO, die den europäischen Datenschutz vereinheitlicht, konkretisiert und erweitert bisherige Forderungen.

Mit der EU-DSGVO ist ein umfassendes Datenschutzkonzept unabdingbar, denn die damit verbundenen Auflagen sind vielfältig. „Auch wenn der Begriff Managementsystem in der Verordnung nicht explizit fällt, so ist aufgrund der Sanktions- und Haftungsrisiken für die konkrete Umsetzung ein umfassendes und systematisches Datenschutz-Managementsystem notwendig.

Denn nur auf diese Weise lässt sich die in der Verordnung geforderte Rechenschaftspflicht beziehungsweise Accountability umsetzen. Es unterstützt außerdem dabei, mögliche Verstöße bereits im Vorfeld zu erkennen und zu vermeiden“, erklärt Dr. Stephan Killich aus der Geschäftsführung der Consense GmbH. Das Unternehmen ist ein Anbieter von Software für das Qualitäts- und Prozessmanagement sowie für integrierte Managementsysteme. Mit Consense DSGVO ist eine eigene Software für ein Datenschutz-Managementsystem entwickelt worden. Die Experten des Aachener Softwarehauses unterstützen Unternehmen bei der Einführung.

Schnell handeln

Wie also sollte ein Unternehmen vorgehen, um die Anforderungen der EU-DSGVO zu erfüllen? Am Anfang steht die Bestandsaufnahme. Dabei sind unter anderem folgende Fragen zu klären:

• In welchen Prozessen werden personenbezogene Daten verarbeitet? Gibt es bestehende Dokumentationen?
• Welche sind die jeweiligen zugrundeliegenden Rechtsgrundlagen (Gesetz, Rechtsvorschrift oder Einwilligung)?
• Wie ist der Schutz personenbezogener Daten aktuell organisiert? Gibt es Vorkehrungen oder Maßnahmen?
• Gibt es Auftragsverarbeitungsverträge mit Dienstleistern?
• Welche Dokumentation besteht bisher? Gibt es Verfahrensverzeichnisse, Vorabkontrollen, IT-Sicherheitskonzepte?
• Gibt es in den Betriebsvereinbarungen Regelungen zum Umgang mit den Daten der Beschäftigten?

Für die Datenschutzfolgenabschätzung kann die Risikobewertung mit der auch im QM eingesetzten Risikomatrix durchgeführt werden.

Um den Handlungsbedarf zu ermitteln, müssen Aspekte wie Rechtsgrundlagen, Betroffenenrechte, Dokumentationspflichten, Meldepflichten und Datensicherheit einbezogen werden. Für die Umsetzung der Forderungen ist dann die Anpassung von Prozessen, die Implementierung von Informationspflichten, die Erstellung von Löschkonzepten und einiges mehr erforderlich – eine umfangreiche Aufgabe. „Um hier die Übersicht zu behalten, sollten alle datenschutzrelevanten Aktivitäten zunächst in eine transparente Struktur gebracht werden. Dies ist ohne eine geeignete Softwarelösung zur Abbildung von elektronischen Managementsystemen kaum zu leisten“, betont Killich.

Die von Consense entwickelte Softwarelösung unterstützt bei der Umsetzung der EU-DSGVO und sorgt dafür, den Aufwand zu reduzieren. Sie führt Routinetätigkeiten aus, automatisiert Abläufe mittels Workflows und bietet viele weitere hilfreiche Funktionen. „Unsere Lösung übernimmt unter anderem zeitaufwändige Arbeiten zur Erfüllung der Rechenschaftspflicht, bei der Vorgabedokumentation mit den zugehörigen Revisionen und erleichtert zum Beispiel die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten. Außerdem stellt die Software sicher, dass immer auf aktuelle Dokumente und Prozesse zugegriffen wird. Mit ihr können zum Beispiel Prozesse für die Meldepflicht bei Datenschutzverstößen sowie für das Löschen von Informationen abgebildet werden und die entsprechenden Kenntnisnahmen der Mitarbeiter erfasst werden. Die Software unterstützt den konformen Umgang mit Betroffenenrechten und Informationspflichten“, ergänzt Killich.

Unter einem Hut

Um den Aufwand zu minimieren und die Umsetzung schnellstmöglich zu erreichen, empfehlen die Experten von Consense, auf Bestehendem aufzubauen und bereits im Unternehmen vorhandene Ressourcen, Strukturen, Inhalte und Methoden zu nutzen. „Bei der Bestandsaufnahme stellt sich häufig heraus, dass Unternehmen unbewusst schon viel aktiver in Sachen Datenschutz sind, als sie selbst annehmen“, berichtet Killich.

Softwarelösungen vereinfachen das Datenschutzmanagement erheblich.

Insbesondere das Qualitätsmanagement nach DIN EN ISO 9001 ist ein geeignetes Werkzeug, um die Umsetzung der EU-DSGVO entscheidend zu erleichtern. Denn die DSGVO weist viele Parallelen in Vorgehensweisen und Strukturen mit der QM-Norm ISO 9001 auf. Wer bereits über ein bestehendes QM-System verfügt, hat es also erheblich leichter, den neuen Forderungen nachzukommen. Der Experte nennt einige Beispiele, die verdeutlichen, warum sich eine integrierte Lösung aus QM und Datenschutz lohnt:

• Vorgabedokumentation inklusive Revisionierung: Der Aufbau der Vorgabedokumentation für den Datenschutz profitiert von Parallelen zum QM, das vor allem für die Rechenschaftspflicht nutzbare standardisierte Prozesse entwickelt hat. Im QM-System sind Prozesse und Abläufe bereits dokumentiert und Verantwortlichkeiten klar definiert. Bestehende Prozesse müssen systematisch auf datenschutzrechtliche Aspekte geprüft werden. Alle datenschutzrechtlichen Vorgaben sollen dabei nach bewährter QM-Vorgehensweise nachvollziehbar gehandhabt, also revisioniert werden. Managementsoftware unterstützt mit workflowgestützten Verfahren zur Revisionierung, Prüfung, Freigabe, Wiedervorlage und Kenntnisnahme und reduziert den Aufwand für Dokumentationspflichten. Die Software stellt sicher, dass Mitarbeiter immer auf jeweils aktuelle und gültige Revision von Dokumenten und Prozessen Zugriff haben.
• Datenschutzfolgenabschätzung und Maßnahmen: Zur Aufstellung der geforderten Datenschutzfolgenabschätzung können bestehende Mechanismen des Risikomanagements angewendet werden. Wie die QM-Norm, so fordert auch die EU-DSGVO im Fall von Abweichungen das Ergreifen geeigneter Lenkungsprozesse bzw. Maßnahmen. Diese lassen sich im Idealfall direkt in der Managementsoftware hinterlegen. Mit ihr werden den Maßnahmen wie im QM Verantwortlichkeiten zugewiesen. Die Durchführung und Kontrolle der Umsetzung werden durch standardisierte Workflows gelenkt, die Wirksamkeit später geprüft.
• Verzeichnis der Verarbeitungstätigkeiten: Viele Informationen für das von der EU-DSGVO geforderte Verzeichnis können aus der QM-Dokumentation generiert werden. Eine integrierte Softwarelösung aus QM und Datenschutz ermöglicht beispielsweise die Analyse der Vorgabedokumentation im Hinblick auf die Verarbeitung personenbezogener Daten. Zudem können Relationen zwischen den Prozessen und den zugehörigen Verarbeitungstätigkeiten hergestellt werden und daraus das Verzeichnis der Verarbeitungstätigkeiten abgeleitet werden.
• Verantwortlichkeiten und Kenntnisnahmen: Wie im QM müssen auch im Datenschutzmanagement Verantwortlichkeiten und Kenntnisnahmen nachvollziehbar geregelt sein. Im QM ist ein „Ja“ oder „Nein“ beim Nachweis der Kenntnisnahmen ausreichend, im Datenschutz ist zusätzlich dazu Datum und Uhrzeit notwendig. Eine geeignete Software erfasst die Kenntnisnahmen von neuen Inhalten, Anweisungen und Änderungen elektronisch und somit jederzeit nachweisbar. Dadurch lassen sich zum Beispiel die Verantwortungen für jeden Prozess(schritt) und jedes Dokument festlegen und dokumentieren. Mitarbeiter werden vom System zur Kenntnisnahme aufgefordert.
• Schulungen/Unterweisungen: Nach EU-DSGVO sind Unterweisungen der Mitarbeiter im Umgang mit vertraulichen Daten durchzuführen. Hier lassen sich bestehende Schulungs- und Qualifikationskonzepte aus dem Qualitätsmanagement anwenden. Ein softwaregestütztes System bietet die Möglichkeit, eine Qualifikationsstruktur anzulegen und Fachqualifikationen der Mitarbeitet mit Gültigkeitsdauer zu versehen. Nützliche Extras wie eLearning und Tutorials ermöglichen orts- und zeitunabhängige Unterweisungen.

Die Beispiele belegen: Besonders effizient und einfach lässt sich die EU-DSGVO mit einer integrierten Lösung aus Datenschutzmanagement und Qualitätsmanagement umsetzen. „Für viele Unternehmen sind QM und Datenschutz noch Parallelwelten. Doch wer zwei getrennte Systeme betreibt, läuft Gefahr, Wesentliches zu übersehen. Wir kennen die Nachteile der Insellösungen aus den Anfängen des Qualitätsmanagements. Diesen Fehler sollte man heute von Anfang an durch ein Integriertes Managementsystem vermeiden“, meint Killich.

Der Experte unterstreicht: „Insgesamt gilt: Datenschutz ist ebenso wie Qualitätsmanagement ein lebendiger Prozess, der ständig angepasst werden muss. Das Engagement lohnt sich nicht nur im Hinblick auf die Vermeidung der empfindlichen Bußgelder. Bestehende Prozesse, die auch datenschutzrechtlich abgesichert sind, erhöhen das Vertrauen von Kunden und Kooperationspartnern.“

Infokasten:

Whitepaper EU-DSGVO & QM

Die Consense GmbH hat ein Whitepaper herausgegeben, das ausführlich beschreibt, wie die Umsetzung der EU-DSGVO im Zusammenhang mit einem QM-System erleichtert wird.