News

ISO-Managementsysteme um Datenschutzprozesse ergänzen und Synergien schaffen

Managementsysteme um Datenschutzprozesse ergänzen und Synergien schaffen

Kategorie: Prozessmanagement

Integration der Datenschutz-Grundverordnung in ISO-Managementsysteme schafft Synergien

Das Prozessmanagement- und Datenschutzteam von FKC CONSULT hilft bei der Umsetzung.

Die Vorgaben der EU-Datenschutz-Grundverordnung (EU-DSGVO) zu erfüllen, kostet Unternehmen Ressourcen und Zeit. Doch der Aufwand lohnt sich – nicht nur, um Bußgelder zu vermeiden. Gelebter Datenschutz ist ein Qualitätsmerkmal, dass das Vertrauen von Kunden, Geschäftspartnern und Mitarbeitern stärkt. Organisationen, die bereits Geschäftsprozesse oder Managementsysteme nach der ISO High Level Structure implementiert haben, schaffen wertvolle und ressourcenschonende Synergien.

Die DS-GVO verlangt ein organisiertes Datenschutz-Management. In Art. 24, der das Kapitel IV der Verordnung einleitet, in dem die Pflichten der Verantwortlichen und Auftragsverarbeiter formuliert sind, umreißt in drei Sätzen Anforderungen, die nur mit einem ordentlichen Datenschutz-Management angemessen erfüllt werden können. 

Das Kapitel IV der DS-GVO in Gänze enthält sämtliche Elemente, die nach den ISO-Standards zu einem wirksamen Managementsystem gehören. Und diese Elemente finden sich in der ISO High Level Structure (HLS), nach der alle ISO-Managementsystemstandards aufgebaut sind. 

Die Gegenüberstellung der Anforderungen der DS-GVO (= Art.) zur ISO HLS (= Kap.) sieht in groben Zügen wie folgt aus:

  • Mit dem Verzeichnis der Verarbeitungstätigkeiten (Art. 30) wird, bezogen auf den Datenschutz, der Kontext der Organisation (Kap. 4) erfasst, also die Frage beantwortet, was bezüglich der Verarbeitung personenbezogener Daten von wem gemacht wird, welche Stellen und Systeme und welche interessierten Parteien einbezogen sind.
  • Die strenge Fokussierung auf den Verantwortlichen für die Datenverarbeitung, bei dem sämtliche Fäden zusammenlaufen (bes. Art. 5 und 29), entspricht der Maßgabe in den ISO-Managementsystemnormen, dass ohne das klare Bekenntnis und das Engagement der Unternehmensführung (Kap. 5) eine strukturierte und wirksame Steuerung betrieblicher Belange nicht möglich ist. 
  • Die in verschiedenen Facetten angelegte Pflicht, technische und organisatorische Maßnahmen zum Datenschutz und zur Datensicherheit zu treffen und zwar immer unter Berücksichtigung der Risiken für die Rechte und Freiheiten der von den vorgenommenen oder vorzunehmenden Verarbeitungen betroffenen Personen (Art. 24, 25 und 32), entspricht dem in den Managementsystemnormen verankerten risikobasierten Ansatz. Dieser Ansatz verlangt, Maßnahmen immer auf Grundlage einer Bewertung der Risiken und Chancen zu treffen (Kap. 6).
  • Die umfangreichen Dokumentationspflichten, die sich in der DS-GVO vor allem aus dem Grundsatz der Rechenschaftspflicht des Verantwortlichen ergeben (bes. Art. 5 und 30), finden ihre Entsprechung in der dokumentierten Information, die den Kern des Nachweises eines ordentlich aufgebauten Managements bildet (Kap. 7).
  • Das Bedienen der Rechte betroffener Personen (Art. 15-21) verlangt nach einem strukturierten Prozess, genauso wie die Beurteilung der Risiken und  Chancen (Art. 24, 25, 32 und 35) die mit der Verarbeitung personenbezogener Daten für die Betroffenen, aber auch für den Verantwortlichen verbunden sind. Diese und weitere datenschutzrelevante Prozesse, wie etwa die Handhabung von Datenschutzverstößen, sind zentrale Elemente der betrieblichen Steuerung des Datenschutzes (Kap. 8).  
  • Datenschutzverstöße nicht nur melden, sondern vor allem dokumentieren und aufarbeiten zu müssen, sind Pflichten, die unabhängig einer Meldung an die Aufsichtsbehörde oder der Benachrichtigung Betroffener, immer und bei jeder Datenschutzverletzung greifen (Art. 33), entsprechen dem Umgang mit Nichtkonformitäten im Sinne der Normen (Kap. 9).
  • Die Pflicht Maßnahmen zu überprüfen und gegebenenfalls zu aktualisieren und die Überwachungsfunktion der Datenschutzbeauftragten (Art. 24, 32 und 39), die keineswegs ersatzlos wegfällt, wenn ein Unternehmen nicht verpflichtet ist einen Datenschutzbeauftragten zu benennen, läuft hinaus auf die fortlaufende Verbesserung, die das Wesen eines jeden Managementsystemstandards ist (Kap. 10). Der Prozess der fortlaufenden Verbesserung und der Prozess der regelmäßigen Überprüfung des Datenschutzmanagements durch Audits sind den bereits genannten Prozessen hinzuzufügen.
  • Zusammengefasst, die Strukturen und das Wissen, die ein Unternehmen braucht, um das Teilführungssystem Datenschutz-Management wirksam zu integrieren und zu betreiben, sind bereits da, wenn ein ISO-Managementsystemstandard implementiert ist. Ein solches Andocken an ein schon bestehendes Managementsystem ist guter Ansatz hin zu einem integrierten Datenschutz-Management. Denn wie jeder andere Management-Bereich ist Datenschutz nur wirksam betreibbar, wenn er in die täglichen Abläufe eingebunden und mit anderen Themenfeldern der täglichen Arbeit harmonisiert ist.
    ©DGQ-Information 03-2019

Möchten auch Sie Ihre Datenschutzprozesse systematisch regeln und in Ihre vorhandenen Managementsysteme integrieren? Dann setzen Sie sich mit uns in Verbindung. Wir beraten Sie gern im persönlichen Gespräch.

Außerdem bieten wir Ihnen eine Datenschutzschulung zur Umsetzung eines Datenschutzmanagements und Datenschutzprozessen nach den Anforderungen der EU-DSGVO an. 

 

prozessberatung@fkc-gmbh.de