Die Organisation muss sorgfältig mit dem Eigentum der Kunden oder der externen Anbieter umgehen, solange es sich unter Aufsicht der Organisation befindet oder von ihr verwendet wird.
ISO 9001, Kapitel 8.5

Die in der ganzen EU seit Juni 2018 gültige Datenschutzgrundverordnung (kurz DSGVO) enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Sie zwingt eine Organisation, die diese Daten verarbeitet, zur Erfüllung einer umfassenden Informationspflicht und verhilft einem „Betroffenen“, also dem Besitzer der personenbezogenen Daten, zu umfassenden Rechten:

  • Auskunftsrecht
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht

Unter dem Titel „Verarbeitung von personenbezogenen Daten“ verstehen wir das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Verwenden, Anpassen, Ändern, Auslesen, Abfragen, Offenlegen durch Übermittlung, Verbreiten oder Bereitstellen in jeder Form, Abgleichen, Verknüpfen, Einschränken, Löschen oder Vernichten solcher schützenswerter Daten mit oder ohne Hilfe automatisierter Verfahren. Es ist also praktisch jeglicher Umgang mit personenbezogenen Daten als Datenverarbeitung zu
sehen. Sensible Daten sind eine besondere Kategorien personenbezogener Daten, aus denen Informationen über die Gesundheit, die rassische und ethnische Herkunft, sexuelle Orientierung, politische Meinungen, religiöse oder weltanschauliche Überzeugungen eines Betroffenen hervorgehen oder eine eindeutige Identifizierung einer natürlichen Person ermöglichen.

Die Sache ist klar. Ein Unternehmen der IT-Branche ist auf jeden Fall von der DSGVO betroffen. Die gute Nachricht ist: Qualitätsmanagement nach ISO 9001 kann bei der Bewältigung der Anforderungen der DSGVO helfen. Eine gut gepflegte QM-Dokumentation ist eine wichtige Säule für die Erfüllung der Informationspflicht. Aufgrund des prozessorientierten Ansatzes der ISO 9001 haben wir einen Überblick über alle unternehmenskritischen Prozesse. Prozesse beschreiben wir in einer einheitlichen Form, die u.a. auch einen Bezug einer Tätigkeit zu einem IT-Service herstellt. Auf diese Weise lässt sich leicht herausfinden, welche Prozesse bezüglich der DSGVO eine Rolle spielen, weil dort IT-Services verwendet werden, in denen personenbezogene Daten verarbeitet werden.

Anhand der folgenden Zitate aus der DSGVO zeige ich, wo unser QM-System eine echte Hilfe bei der Umsetzung der Verordnung ist. Aber Achtung: Diese Aufzählung ist keinesfalls vollständig. Ich bin aber überzeugt, dass in einem “lebenden” QM-System noch viele weitere Potentiale stecken.


Grundsatz der DSGVO: Datenminimierung

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. DSGVO Artikel 5c
Continue reading

Grundsatz der DSGVO: Richtigkeit

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
DSGVO Artikel 5d

Continue reading


Grundsatz der DSGVO: Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
DSGVO Artikel 5F

Continue reading