Der Datenschutz spielt eine nicht unwesentliche Rolle bei der ISO 9001:2008 Zertifizierung. Bei vielen Qualitätsbeauftragten herrscht Unklarheit, wie tief eine Prüfung im Bereich Datenschutz durch den QM-Auditor erfolgen kann und welche Punkte geprüft werden.
Die Qualitätsnorm fordert Aufzeichnungen über das wirksame Funktionieren des Qualitätsmanagementsystems. Der Datenschutz regelt die Voraussetzungen und Folgen einer personenbezogenen Erhebung und Verwendung von Daten. Datenschutz schützt nicht die Daten, sondern bewahrt natürliche Personen vor dem Missbrauch ihrer persönlichen Daten.
Regelungen der DIN EN ISO 9001:2008
Abschnitt 7.5.4. Eigentum der Kunden
Fälle von verloren gegangenem, beschädigtem (…) Eigentum des Kunden muss die Organisation an den Kunden berichten. Zum Eigentum des Kunden können auch (…) personenbezogenen Daten zählen.”
1. Legen Sie einen Datenschutzbeauftragten fest
Ein Datenschutzbeauftragter hat die Aufgabe, das Datenschutzmanagementsystem zu betreuen und zu pflegen. Die Bestellung eines Datenschutzbeauftragten ist notwendig, wenn mehr als neun Beschäftigte mit der Verarbeitung personenbezogenrer Daten beschäftigt sind (§ 4f BDSG). Er sichert die Kontrolle der Wirksamkeit sowie die Weiterentwicklung des Datenschutzes im Unternehmen. Dazu gehören auch die Schulung und Sensibilisierung der Mitarbeiter. Sie können statt einem internen Datenschutzbeauftragten eine andere Person beauftragen, beispielsweise einen externen Datenschutzbeauftragten. .
2. Prüfen Sie die datenschutzrechtliche Umsetzung im Unternehmen
Führen Sie zunächst eine Bestandsaufnahme des Ist-Zustandes durch:
- Prüfen Sie die Notwendigkeit der Bestellung eines Datenschutzbeauftragten. (§ 4 f BDSG)
Es kommt eine interne oder externe Bestellung in Frage. Eine schriftliche Bestellung ist notwendig. - Erstellen Sie ein internes und öffentliches Verfahrensverzeichnis.
- Prüfen Sie, ob in Ihrem Unternehmen Verfahren, die besondere personenbezogenen Daten verarbeiten, vor Ihrer Inbetriebnahme durch den Datenschutzbeauftragten geprüft werden und dies dokumentiert wird. (Vorabkontrolle)
- Überprüfen Sie die Vertragsvorlagen, Geschäftsbedingungen, Formulare und Internetseiten auf die Anforderungen des Datenschutzes. Besonders sollten Sie hier auf Verträge im Bereich der Auftragsdatenverarbeitung achten (§ 11 BDSG)
- Prüfen Sie, ob alle Mitarbeiter nach § 5 BDSG auf die Einhaltung des Datenschutzgesetzes verpflichtet wurden und ob eine Schulung zu diesem Thema dokumentiert wurde.
Die Prüfung im Rahmen des Audits wird meist nur oberflächlich erfolgen, da der Auditor in diesem Fachbereich meist nicht sehr tief bewandert ist und eine Detailprüfung nicht Gegenstand des ISO 9001 Zertifizierung ist.
Die hier angesprochen Punkte lassen sich bin wenigen Tage erledigen. Dennoch ist eine Einarbeitung in den Themenkomplex notwendig.
Die activeMind AG unterstützt hier gerne. Angesichts des abgrenzbaren Aufwand sind pauschale Abrechnungen möglich.
Bleiben Sie auf dem Laufenden: Wir informieren Sie regelmäßig über Wissenswertes rund um die Themenbereiche Datenschutz und Datensicherheit - hier geht es zur Anmeldung zum Newsletter.