23. Aug 2017

EU Datenschutz-Grundverordnung durch Managementsysteme einfach umsetzen

Die Digitalisierung bietet mit der Auswertung wachsender Datenmengen viele neue Chancen. Durch die gleichzeitig steigenden Sicherheitsbedrohungen wurden Datenschutz und Informationssicherheit zu einem wesentlichen Bestandteil guter Unternehmensführung. Entsprechend umfangreich sind auch die Forderungen der neuen Verordnung. Wie können diese einfach und effektiv umgesetzt werden? Wie unterstützt uns dabei das Qualitätsmanagement?

Daten, Wissen und Technologien sind durch Vernetzung und Virtualisierung einer wachsenden Anzahl an Sicherheitsbedrohungen ausgesetzt. Durch die zunehmende Digitalisierung werden immer größere Datenvolumen ausgewertet und daraus u.a. Gewohnheiten und Vorlieben abgeleitet. Damit steigt das Risiko des Datenmissbrauchs. Dies kann zu Rufschädigung und Diskriminierung der Betroffenen oder zu Vertrauensverlust und hohen finanziellen Forderungen für das verarbeitende Unternehmen führen. Gerade in letzter Zeit häufen sich Presseberichte über Datenklau, Phishing Mails, Cyberattacken und andere Sicherheitsvorfälle. Daher fordern Investoren, Kunden, Mitarbeiter, Partner, sowie Gesetze und Behörden einen höheren Datenschutz.

Durch eine optimale Integration von Datenschutz und Informationssicherheit in alle Elemente eines Managementsystems, wie z.B. Qualitätsmanagement, werden Synergien für eine effiziente und effektive Umsetzung genutzt. Dies fördert zudem die Kundenzufriedenheit und nachhaltige Weiterentwicklung des Unternehmens.

Integration in die Strategie

Im Rahmen der Kontextanalyse zur Festlegung der Politik, Ziele und Strategien werden auch die Datenschutzanforderungen der Stakeholder mit den rechtlichen und regulatorischen Anforderungen aller Märkte identifiziert (Art. 35,9). So erhält Datenschutz eine vollkommen neue strategische Rolle: weg vom reinen Kostenfaktor zur Erfüllung gesetzlicher Pflichten hin zum kritischen Erfolgsfaktor und Mehrwert. Wird neben dem gesetzlich geforderten Schutz personenbezogener Daten auch das Wissen der Organisation laut den Forderungen der ISO 9001:2015 geschützt, so fördert dies den nachhaltigen Erfolg. Durch eine sichere Digitalisierung und rechtskonforme Informationsplattformen können neue Märkte und Kundensegmente erschlossen, die Effizienz gesteigert und Kosten gesenkt werden.

Abbildung 1: Integriertes Qualitätsmanagement- und Datenschutz- modell (Stoll)

Integration in die Prozesse

Entsprechend den Forderungen der ISO 9001 werden die Geschäftsprozesse erhoben, dokumentiert und entsprechend den Unternehmenszielen laufend weiter entwickelt. Aus den festgelegten Prozessschritten werden die nötigen internen und externen Daten bestimmt und deren Generierung/Erwerb, Verteilung, Nutzung, Verwahrung, Aktualisierung und Vernichtung auf Umsetzung der Datenschutzbestimmungen hinterfragt, wie z.B. auf Information der Betroffenen (Art. 12-15) und Einholung der Einwilligung (Art. 6-10), Rechtmäßigkeit und korrekte Verarbeitung (Zweckbindung, richtig, aktuell, Integrität, Datenminimierung laut Art. 5, Art. 11). So muss laut Verordnung festgelegt werden, wer auf welche Daten wie lange unbedingt Zugriff benötigt (security by default, Datenminimierung, Speicherbegrenzung) und welche Verfügbarkeit/Wiederherstellung benötig wird (Art. 32). Der Direktor einer Organisation ist begeistert, da so „die Zweckmäßigkeit und Notwendigkeit der Daten hinterfragt wird und die Effektivität und Prozesseffizienz gesteigert werden“. Damit gehen wir weg vom big data hin zum strategischen Datenmanagement und stellen nötige aktuelle Daten zur richtigen Zeit am richtigen Ort den dazu Berechtigten zur Verfügung.

Geeignete Prozesse zur Bearbeitung der Anfragen um Auskunft, Berichtigung oder Löschung (Art. 15-19) und zur Datenübertragung (Art. 20) werden eingefügt. Zur effizienten und nachhaltigen Umsetzung werden die in der Risikoanalyse festgelegten Vorbeugemaßnahmen (siehe unten) und weitere rechtliche Anforderungen optimal in die Arbeitsprozesse integriert (z.B. Ernennung der Verantwortlichen in den HR – Prozess, Risikoanalyse in den Projektmanagementprozess, Sicherheitsanforderungen als Teil der Lieferantenverträge laut Art. 28). Werden die Prozesse gemeinsam mit den beteiligten Mitarbeitern diskutiert, werden auch das Sicherheitsverständnis und der interdisziplinäre Wissensaustausch gefördert.

Für jeden Prozess werden die nötige Verfügbarkeit und tolerierbare Wiederherstellungszeit bestimmt (Art. 32). Aus den Prozessen wird das Verzeichnis der Verarbeitungstätigkeiten (Art. 30) mit Angabe der Datenquellen, Verarbeitungszwecke, verarbeiteten Datenkategorien, Verantwortlichen, ev. Datenempfänger und der Speicherdauer der Daten abgeleitet. Dazu sind Organisationen mit mehr als 250 Mitarbeitern oder risikobehafteten Verarbeitungen verpflichtet.

 

Datenschutz-Folgeabschätzung/Risikoanalyse

Für Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen fordert die Verordnung eine Folgeabschätzung/Risikoanalyse (Art. 35). Dazu gehören der Einsatz neuer Technologien, die Verarbeitung umfangreicher sensibler (Art. 9) oder strafrechtlicher Daten (Art. 10), die Überwachung öffentlich zugänglicher Bereiche, umfassende Auswertungen zur Profilierung oder andere Verarbeitungsarten großen Umfangs oder besonderer Umstände. Dabei muss insbesonders auf unbeaufsichtigte oder unrechtmäßig Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung, unbefugter Zugang bei der Übermittlung oder Speicherung der Daten geprüft werden. Entsprechend dem security by design Ansatz (Art. 25) muss die Risikoanalyse vor Beginn der Verarbeitung durchgeführt werden.
Nachdem das schwächste Glied der Kette das gesamte Sicherheitsniveau bestimmt, werden zu den Prozessen und den dort verarbeiteten Datenklassen die zugehörigen IT Services mit den zugehörigen Komponenten und deren Interaktionen über alle IT Architekturebenen systematisch erhoben. So können aus den Sicherheitsanforderungen der Prozesse und den festgelegten Abhängigkeiten zwischen den Komponenten die Sicherheitsanforderungen hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität für alle darunter liegenden Komponenten über den gesamten Daten/Produktlebenszyklus abgeleitet werden. So wird z.B. die Kritikalität der Speichersysteme für deren Betrieb, Löschung und die Entsorgung bestimmt.

Entsprechend der Risikoanalyse anderer Managementsysteme (z.B. Umwelt, Hygiene, Arbeitssicherheit) werden unter Berücksichtigung der gegebenen Anforderungen die möglichen Bedrohungen für den Datenschutz mit deren Eintrittswahrscheinlichkeit und der Schwere der potentiellen Auswirkungen analysiert. Dabei sind neben den rechtlichen und regulatorischen Anforderungen aller Zielländer, technische und organisatorische Aspekte (Prozessanforderungen, Sicherheitsbedrohungen, Sicherheitsereignisse/vorfälle, Umfeld, Sicherheitsbewusstsein, IT Kompetenz der Anwender u.a.), sowie Sicherheitsrichtlinien und das Sicherheitsverständnis der Mitarbeiter zu berücksichtigen. Die Norm zur Datenschutz – Folgeabschätzung, ISO 29134, die ISO 31000 für das Risikomanagement, Verhaltensregeln laut Art. 40 und die Richtlinie der EU Arbeitsgruppe zur Datenschutz–Folgeabschätzung bieten dazu Unterstützung. Mögliche Bedrohungen können durch die Verwendung anerkannter Richtlinien (z.B. ISO 27000 Serie, COBIT, US NIST Serie SP 800, BSI IT Grundschutzkatalog) systematisch bestimmt werden.

Unter Berücksichtigung der bereits umgesetzten technischen und organisatorischen Vorbeugemaßnahmen werden die Restrisiken bestimmt und diese akzeptiert oder weitere Maßnahmen beschlossen (z.B. Pseudonymisierung, Verschlüsselung, Logging). Handelt es sich um hohe Restrisiken, so muss laut Art. 36 die Datenschutzbehörde eingebunden werden. Eine optimale Balance zwischen Sicherheit, Kosten/Nutzen und einfacher Handhabung der Sicherheitsmaßnahmen ist essentiell für die Akzeptanz und nachhaltige Umsetzung. Für die verbleibenden akzeptierten Restrisiken werden Notfallmaßnahmen zur Einschränkung der Auswirkungen und zur Absicherung der nötigen rechtlichen und vertraglichen Verpflichtungen einschließlich der Meldung der Datenschutzverletzungen festgelegt (Art. 33, 34). Dabei bieten bestehende Notfallpläne anderer Managementsysteme (z.B. Umwelt, Business Continuity Management) Unterstützung. Darin werden auch die zusätzlichen Sicherheitsmaßnahmen integriert.

 

Integration in das Ressourcenmanagement

Aus der Festlegung der Verantwortlichen und verarbeiteten Daten für die jeweiligen Prozessschritte werden die nötigen Zugriffsrechte gemäß security by default für alle Funktionen/Rollen abgeleitet (siehe Prozessintegration).

Behörden und Unternehmen mit hohem Risiko benötigen einen Datenschutzbeauftragten (Art. 37). Seine Ernennung, Rolle und Aufgaben werden in die Aufbauorganisation integriert. Das Kompetenzmanagement der ISO 9001 unterstützt die geforderte Qualifikation und den laufenden Wissenserwerb. Menschliche Fehler sind die häufigste Ursache für Sicherheitsvorfälle. Daher muss Datenschutz von den Mitarbeitern und Partnern aller Ebenen der gesamten Wertschöpfungskette gemeinsam, effizient, effektiv und nachhaltig umgesetzt werden. Praktische, einprägsame Schulungen, bei Bedarf schnell auffindbare, kurze, klar verständliche, aktuelle und einfach zu handhabende Richtlinien, eine laufende Sensibilisierung u.a. fördern laut wissenschaftlichen Studien das Sicherheitsbewusstsein der Mitarbeiter.

Abbildung 2: Modell Verantwortlichkeit - Ablauf - Dokumente/Daten (Stoll)

Systemdokumentation

Die festgelegten Vorbeugemaßnahmen werden optimal in die Prozesse und Lieferantenverträge mit zugehörigen Überprüfungen und Messungen oder in Verhaltensregeln/Organisationsrichtlinien integriert (Art. 28 Verarbeitung laut Anweisung des Verantwortlichen). Zur effektiven und effizienten Nutzung sollten die Verhaltensregeln als einfaches, attraktives und praxisorientiertes Nachschlagewerk für bedarfsorientiertes, Arbeitsplatz integriertes Lernen zur Verfügung stehen. Auch die von den Normen geforderte strukturierte und systematische Änderung der Systemdokumentation unterstützt den Datenschutz nachhaltig.

 

Integration in die laufende Weiterentwicklung

Die Anforderungen der Interessenten, die internen und externen Umfeldbedingungen und die Bedrohungen ändern sich laufend. Daher fordert die Verordnung ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen (Art. 32,1d). Die ISO 9001:2015 bietet dazu die Verbesserung und die Bewertung der Leitung. Entsprechend werden erkannte Potentiale aus Audits, internen und externen Sicherheitsereignissen/vorfällen, beinahe Vorfällen u.a. laut oben beschriebenen Ansatz systematisch und nachvollziehbar integriert. Zudem fördern bewährte Qualitätswerkzeuge, wie Ideenmanagement/Verbesserungsvorschlagswesen, Qualitätszirkel, best practices, Erfahrungsaustausch/lessons learned u.a. den nachhaltigen Datenschutz. Weiters unterstützt eine optimale Integration von Datenschutzaspekten in den Projektmanagementprozess (Change process). Die Normreihen ISO/IEC 27000 für das Informationssicherheitsmanagement und ISO/IEC 20000 für das IT Service Management bieten Anleitungen für nachhaltigen Datenschutz.

Wie Qualitätsziele werden auch einprägsame, klar verständliche Datenschutzziele einfacher und wirkungsvoller kommuniziert als umfangreiche Richtlinien. Werden aus unternehmensweiten Sicherheitszielen spezifische Ziele für alle Beteiligten entsprechend ihren Rollen und Aufgaben kohärent abgeleitet, wird Datenschutz Teil der Bewertung der Leitung, aller Zielgespräche und Lieferantenverträge. Begeistert berichtet ein Manager: "Unsere Mitarbeiter entwickeln ein ausgeprägtes strategisches Sicherheitsdenken und sehen Datenschutz als alltägliches Selbstverständnis zur Sicherung des Arbeitsplatzes“. Empfängerorientierte Lageberichte zu den festgelegten Zielen unterstützen die Steuerung der Zielerreichung, dokumentieren die Einhaltung aller Verpflichtungen und kommunizieren den Nutzen. Folglich wird Datenschutz als Mehrwert für Kunden und Unternehmen von allen Beteiligten effizient und effektiv umgesetzt.

 

Sicherheitskultur

Eine angemessene Sicherheitskultur mit kontinuierlicher Sensibilisierung und der sichtbare Einsatz des Managements fördern die nachhaltige Umsetzung. Wie Qualität nicht alleinig durch Qualitätskontrollen und technische Maßnahmen umgesetzt wird, benötigt auch Datenschutz den aktiven Einsatz aller Mitarbeiter. Daher wird Datenschutz in die laufende Unternehmenskommunikation und den Arbeitsalltag integriert (z.B. periodische Sicherheitshinweise als email, Plakate, Bildschirmhinweise). Insbesonders der sichtbare Einsatz der obersten Leitung durch hinreichende Berücksichtigung von Datenschutz bei allen Entscheidungen und das aktive Vorleben fördert eine angemessene Sicherheitskultur. Damit wird Informationssicherheit und Datenschutz integraler Bestandteil der Unternehmenskultur.

Ein integrativer, effizienter und effektiver Ansatz zur Umsetzung der Datenschutzverordnung nutzt Synergien, und spart Kosten. So können ein eventuell noch ausstehender Normumstieg und die neue EU Verordnung einfach gemeinsam umgesetzt werden. Wird neben den gesetzlich geforderten Personendaten auch das Wissen der Organisation geschützt, wird zusätzlich zur Rechtskonformität der nachhaltige Unternehmenserfolg gesichert. Eine Zertifizierung nach ISO/IEC 27001 erleichtert den Nachweis zur Einhaltung der Verordnung und macht dies auch nach außen für Kunden und potentielle Mitarbeiter sichtbar.

 

Erfolgsfaktoren

  • Stakeholder/Kontext, Ziel und Risiko orientiert
  • Systemisch und ganzheitlich: Technik, Organisation/Prozesse und Faktor Mensch
  • Interdisziplinär mit Einbindung der Beteiligten und Fachexperten
  • Ausgewogen: Sicherheit, Kosten/Aufwand und Handhabbarkeit
  • Effektiv, effizient, einfach und systematisch
  • Integriert in alle Prozesse und Aufgaben
  • Über den gesamten System- und Datenlebenszyklus und alle Anwendungsbereiche
  • Nachhaltig durch laufende Anpassung und Weiterentwicklung
  • Sicherheitskultur

Autor

Dr.techn. Margareth Stoll
qualityaustria Netzwerkpartnerin und Auditorin für ISO 9001, ISO 27001, ISO 22301 und ISO 20000.
E-Mail

Ansprechpartner Qualität

Team

Herr Eckehard Bauer, MSc

Prokurist Business Development für Sicherheitsmanagement, Business Continuity, Risiko, Security, Compliance und Transport

Team

Frau Mag. Dr. Anni Koubek

Prokuristin Innovation, Business Development Zertifizierung Qualität

Weitere News & Events

Immer topaktuell informiert

07. Okt 2022

ISO 14064 – Nutzen für Organisationen und Projekte

Basis für die Umwelt- und Nachhaltigkeitsbilanz

Mehr erfahren
06. Okt 2022

Klimaneutralität bei Events – was bedeutet das?

Quality Austria als Teil der „turn to zero“ Marke der illwerke vkw AG

Mehr erfahren
05. Okt 2022

Was ist für eine*n Assessor*in drin?

Erfahrungsbericht von Mario Mauracher

Mehr erfahren
03. Okt 2022

5 Tipps für KMU zur Erhöhung der Energie­effizienz

Wann, wenn nicht jetzt?

Mehr erfahren
30. Sep 2022

Einkaufen von Medizin­produkten im Gesundheits­wesen

Welche Anforderungen aus normativer ­Sicht gelten

Mehr erfahren
28. Sep 2022

Junge Talente fördern – Ideen pushen!

Jetzt als „Qualitäts-Talent“ und „Qualitäts-Champion“ bewerben

Mehr erfahren
26. Sep 2022

Was bedeuten die neuen Berichts­pflichten (CSRD) für Unternehmen?

Gastbeitrag von Mag. Anneli Fischer, MSc

Mehr erfahren
23. Sep 2022

Qualitäts­management in medizinischen Laboratorien

ISO 15189 – eine Norm im Spannungsfeld von Medizin und Technik

Mehr erfahren
22. Sep 2022

Management­systeme von A bis Z

Auffrischung für Ihr Wissen gefällig?

Mehr erfahren
19. Sep 2022

Wie man zu hoher (Unternehmens-) Qualität kommt

FH Campus Wien gibt Tipps für den Weg zur Exzellenz

Mehr erfahren
16. Sep 2022

Neue Kooperation mit ENFIT für höchste Standards

HQF-Zertifizierung nach ENFIT Standard innerhalb von Lieferketten

Mehr erfahren
12. Sep 2022

Lieferketten­gesetz – Jetzt Know-how aneignen!

Gastbeitrag von Mag. Anneli Fischer, MSc

Mehr erfahren
+43 732 34 23 22