Zusammenarbeit von Qualitätsmanagement und Datenschutz: Sensibles Thema Personendaten

Der Datenschutz nimmt in der betrieblichen Praxis von Institutionen eine immer wichtigere Rolle ein. Ein Meilenstein hierbei war die Einführung der EU-Datenschutz-Grundverordnung DSGVO im Mai 2016. Dessen Vorschriften traten im Mai 2018 in Kraft. Seitdem gilt es, noch mehr Fallstricke bei diesem Thema zu vermeiden.

Qualitätsmanagement und Datenschutz müssen deswegen noch enger zusammenarbeiten. Gerade personenbezogene Daten sollten so erhoben, verarbeitet und gespeichert werden, dass Institutionen keine Angriffsfläche bieten. Hierauf legen die Vorschriften der DGSVO besonderen Wert. Aus diesem Grund ist es unerlässlich, über ein prüffähiges System für das Management von Daten zu verfügen.

Anforderungen an sachgerechten Umgang mit Personendaten

Das System muss insbesondere die folgenden sechs Anforderungen für den Umgang mit personenbezogenen Daten erfüllen:

• Die Daten werden für eindeutige, genau festgelegte und legitime Zwecke erhoben.
• Die erhobenen Daten werden gemäß den gesetzlichen Vorgaben transparent und fair verarbeitet.
• Der erhobene Datensatz ist für den vorgesehenen Zweck angemessen und wird nach dem Grundsatz der Datensparsamkeit weiterverarbeitet.
• Die erfassten Daten sollten korrekt und auf dem aktuellen Stand sein. Fehlerhaftes Datenmaterial wird sofort korrigiert oder gelöscht.
• Die Daten werden auf eine Art und Weise gespeichert, die es nur in einem eng begrenzten Zeitrahmen erlaubt, betroffene Personen zu identifizieren. Der Zeitraum darf nicht länger sein, als es für die beabsichtigten Zwecke unbedingt nötig ist.
• Die Daten werden auf eine Art und Weise verarbeitet, die sicherstellt, dass Vertraulichkeit, Integrität und eine angemessene Sicherheit garantiert sind.

Geeignete Standards miteinander verzahnen

Der britische Datenschutzstandard BS 10012 hat sich in der Praxis als Referenznorm bewährt, um hohe Qualität beim Umgang mit sensiblen Daten sicherzustellen. Durch bestehende Gemeinsamkeiten mit dem Qualitätsmanagement nach ISO 9001 lässt sich die Norm sehr gut in die Abläufe einer Institution intergieren, die nach ISO zertifiziert ist. Es gilt hierbei, nie zu vergessen, dass Datenschutz inzwischen ein wesentliches Qualitätsmerkmal einer Institution darstellt. Deswegen sollten unbedingt Vorgänge des Qualitätsmanagements mit bewährten Datenschutzstandards abgeglichen werden. Durch Integration eines bestehenden Datenmanagementsystems vermeidet eine Organisation überflüssigen Zusatzaufwand. Außerdem erhöht dieses Zusammenführen die Sicherheit und erleichtert die Prozesse in der Organisation. Aus mehreren Gründen empfiehlt es sich, bei einer Zertifizierung nach ISO 9001 beim Datenschutz auf den Standard BS 10012 zu setzen und die Systeme miteinander zu verzahnen.

• Beide Systeme verpflichten das Management. Sowohl beim BS 10012 als auch der ISO 9001 sind die Personen an der Spitze der Institution dafür verantwortlich, dass die Vorgaben der jeweiligen Norm erfüllt werden. Die Leiter müssen ihre Mitarbeiter in Führungspersonen dazu anhalten, die Systeme zu implementieren, zu überwachen und zu steuern.
• In beiden Fällen liegt Prozessorientierung vor. Durch die Orientierung an der ISO 9001 legt eine Institution einen größeren Fokus auf die Prozessabläufe innerhalb der Organisation. Deswegen liegt durch das Qualitätsmanagement bereits eine gute Grundlage vor, um ein Managementsystem für Datenschutz einführen zu können. Weitere Gemeinsamkeiten zwischen Datenschutz und Qualitätsmanagement bestehen. Die Qualität von Produkten oder Dienstleistungen wird erheblich davon beeinflusst, wie Daten gewonnen und genutzt werden. Insbesondere bei Daten, die sich auf Personen beziehen, sind die Anforderungen an die Qualität sehr hoch. Aus diesem Grund fließen mögliche oder existierende Risiken bereits in den Prozess des Qualitätsmanagements ein.
• Informationen sind dokumentiert. Für die Anforderungen des BS 10012 in puncto Zuständigkeiten, Prozesse und Informationspflichten können teilweise Dokumente des QMS genutzt werden. Eine solide Basis für den weiteren Vorlauf der Datenschutzdokumentation ist gelegt.
• Qualitätsmanager und Datenschutzbeauftragter. Für den Posten des Datenschutzbeauftragten sind Qualitätsmanager sehr gut geeignet. Sie haben bereits einen fundierten Einblick in Abläufe, Prozesse und Themen rund um den Datenschutz. Auf diese Kenntnisse können sie auch als Datenschutzbeauftragter zurückgreifen. Deswegen bietet es sich für Institutionen an, die beiden Positionen in Personalunion zu besetzen. Ist das nicht möglich, so ist zumindest eine sehr enge Kooperation zwischen Datenschutzbeauftragtem und Qualitätsmanager angeraten. Dies sollte zu einem intensiven Austausch über vorhandenes Wissen und gemachte Erfahrungen führen.
• Verbesserung als kontinuierliche Aufgabe. Sowohl für das Qualitätsmanagement als auch den Datenschutz besteht die Forderung, dass sie sich weiterentwickeln und verbessern. Regelmäßige interne Audits sollten als Hilfsmittel dazu dienen, dass dieser Anspruch auch erfüllt wird. Dies führt dazu, dass sich die Institution überprüft und hinterfragt. Der Weg hin zu permanenter Verbesserung wird eingeschlagen.