QM-System ISO 9001 und der Datenschutz

Informationen zu ISO 9001 und dem Zusammenhang mit der DSGVO

Knapp über 1,1 Millionen deutsche Unternehmen [Stand 2016 | ISO-Survey] haben ein Qualitätsmanagementsystem eingeführt und dies nach ISO 9001 zertifizieren bzw. re-zertifizieren lassen. Das sind 1,1 Millionen Unternehmen, die den Datenschutz ernst nehmen müssen.

Und das aus Gründen, die der ISO-Zertifizierung inne liegen.

Kapitel 4.2.4 – die sogenannte Lenkung von Aufzeichnungen verlangt von Organisationen, dass diese ein dokumentiertes Verfahren erstellen, welches die Lenkungsmaßnahmen festlegt, die für die Kennzeichnung, die Aufbewahrung, den Schutz, die Wiederauffindbarkeit und die Aufbewahrungsfrist von Aufzeichnungen sowie die Verfügung über Aufzeichnungen erforderlich sind. Aufzeichnungen müssen lesbar, leicht erkennbar und wieder auffindbar sein. Dadurch sind wir in der Regel bereits in der Erfassung personenbezogener Daten und bei den leidigen Aufbewahrungsfristen – und direkt bei Thema DSGVO.

Noch deutlicher wird es in Kapitel 8.2.3 des ISO-Anforderungskatalogs. Da heißt es blumig:

Die Organisation muss die Anforderungen bestimmen, die für die jeweiligen Produkt- und Dienstleistungsarten, die entwickelt werden, von wesentlicher Bedeutung sind. Dabei muss die Organisation Folgendes betrachten: […] c) gesetzliche und behördliche Anforderungen.

ISO-Anforderungskatalog

Eine behördliche und gesetzliche Anforderung ist die DSGVO und das ihr subsidiär zuordnungsfähige Bundesdatenschutzgesetz BDSG-Neu. Diese Gesetzestexte müssen also allein schon wegen der ISO-Zertifizierung eingehalten werden, wie die aktuellen Produkthaftungsgesetze und die Abgabenordnung. Wenn Sie aktuell, ohne ein DSMS [Datenschutzmanagement-System] vorhalten zu müssen, eine frische Re-Zertizierung ergatterten, haben Sie Glück gehabt.

Denn der Fokus der ISO-Auditoren wechselt allmählich auch in den Bereich Datenschutz. Heißt: Es wird vermehrt auf den Datenschutz und damit auf die oben genannte „Einhaltung gesetzlicher und behördlicher Anforderungen“ geachtet. Wir wissen aus Auditorenkreisen, dass einige Unternehmen in dieser Teildisziplin der QM-Zertifizierung nochmals Hand anlegen müssen – weil die Re-Zertifizierung aufgrund eines mangelhaften oder nicht vorhandenen DSMS, seitens des Auditors, verweigert wurde.

Ist Ihnen dies passiert, oder droht Ihnen etwas ähnliches, ist es überhaupt nicht tragisch: Noch ist nichts verloren. Sie haben Alternativen, die Sie vor einer Verschiebung der Zertifizierung oder gar einer Verweigerung der Zertifizierung bewahren:

  • Sie können einen internen Mitarbeiter zu einem Datenschutzbeauftragten weiterbilden, oder
  • Sie können einen externen Datenschutzbeauftragten bestellen [wir haben da einen heißen Tipp] der seinerseits als Interims- oder Dauerlösung Ihr DSMS mit Ihnen und einem schlanken Zeiteinsatz implementiert

Wir empfehlen, sollte die Kompetenz des DSMS bei Ihnen bleiben, tatsächlich die Interimslösung. Ein Datenschutzbeauftragter kann zwar recht schnell gefunden werden [mit allen Vor- und Nachteilen], die Ausbildungszeit ist jedoch ein nicht zu unterschätzender Kill-Faktor. Hinzu kommt, dass der Mitarbeiter neben seinen Haupttätigkeiten eben auch noch die Tools für das DSMS entwickeln muss.

Die Zeit für die Werkzeuge – denn nicht alles findet man bei Google – schätzen wir bei einer Teilzeit-Anstellung als DSB [50 % DSB / 50 % Haupttätigkeit] mit nicht weniger als einem Jahr ein. Dies liegt daran, dass der Datenschützer durch die zertifizierende Stelle [TÜV, Dekra, etc.] zwar das Zertifikat erhält – Werkzeuge werden jedoch in der Regel nicht mitgegeben.

Nehmen Sie – im Falle einer ISO-Prüfung – also bitte Kontakt zu Datenschutz-Unternehmen auf. Lassen Sie sich erläutern, welche Schritte gegangen werden müssen, damit Sie die ISO 9001 [oder vergleichbare] QM-Zertifizierungen erlangen können.

In eigener Sache: Unsere Kunden sind seither problemlos durch die ISO-Prüfung gekommen.