Menü

Interview: „Datenschutz und Qualitätsmanagement sind eng miteinander verbunden“

Das Thema Datenschutz gewinnt mehr und mehr an Bedeutung – vor allem, seit die neue EU-Datenschutz-Grundverordnung im Mai 2016 in Kraft getreten ist. Die Redaktion sprach mit DGQ-Trainer Dirk Michael Mülot darüber, wie Unternehmen Synergien zwischen Qualitätsmanagement und Datenschutz schaffen können und welche Fähigkeiten ein Datenschutzbeauftragter haben sollte. Mülot ist selbst zertifizierter Datenschutzbeauftragter, -manager und -auditor und als freier Sachverständiger in den Bereichen Datenschutz, Datensicherheit und IT-Forensik tätig.

"Strukturiertes und selbstständiges Arbeiten mit hohem Durchsetzungsvermögen und sozialer Kompetenz sind weitere wesentliche Fähigkeiten, die ein Datenschutzbeauftragter besitzen sollte.“ Dirk-Michael Mülot

Dirk-Michael Mülot hält es für sehr sinnvoll, ein Datenschutzmanagementsystem in ein bestehendes QM-System zu integrieren.

DGQ-Redaktion: Warum ist Datenschutz aktuell so wichtig für Unternehmen?

Dirk-Michael Mülot: Datenschutz ist ein allgegenwärtiges Pflichtthema für Unternehmen und Behörden sowie für medizinische und soziale Facheinrichtungen. Dieses Jahr wurde die EU-Datenschutz-Grundverordnung (DS-GVO) veröffentlicht, was die Aktualität des Themas unterstreicht. Die Richtlinie wird in Mai 2018 in Kraft treten. Unternehmen und Organisationen haben somit zwei Jahre Zeit, ihre Prozesse den neuen Regelungen der Datenvereinbarung anzupassen. Eine knappe Frist. Der Aufbau eines prüffähigen Datenschutzmanagementsystems sowie die konsequente Durchführung einer Risiko-Folgeabschätzung verlangen aktives Handeln und kompetente Fachleute. Nur durch die frühzeitige Einführung entsprechender Maßnahmen und den Einsatz erfahrener Fachkräfte sind die Herausforderungen in der gegebenen Frist umsetzbar.

Wer kann Datenschutzbeauftragter werden?

Dirk-Michael Mülot: Zum / zur Datenschutzbeauftragen kann jede Person ernannt werden, die über eine nachweisbare Fachqualifizierung verfügt sowie die notwendigen Charaktereigenschaften und einen hohen Grad an Zuverlässigkeit besitzt. Strukturiertes und selbstständiges Arbeiten mit hohem Durchsetzungsvermögen und sozialer Kompetenz sind weitere wesentliche Fähigkeiten. Selbstverständlich darf der / die Datenschutzbeauftragte keine Interessenskonflikte aufgrund anderer ausgeübter Ämter haben. Mitarbeiter die eine Leitungsfunktion in z.B. IT, Personal, Marketing oder Geschäftsführung haben, können nicht als Datenschutzbeauftragte tätig werden. Ansonsten gibt es keine Einschränkungen oder ein vorgeschriebenes Anforderungsprofil.

Sind Qualitätsmanager als Datenschutzbeauftragte geeignet und wenn ja, warum?

Dirk-Michael Mülot: Qualitätsmanager eignen sich sehr gut als Datenschutzbeauftragte, da sie die Prozesse und Verfahren der jeweiligen Einrichtungen sehr genau kennen. Das erleichtert das Verständnis für komplexe Abläufe im Unternehmen und sorgt für einen schnelleren Durchblick. QMBs müssen aber auch über die notwendige datenschutzrelevante Fachkunde verfügen. So ergeben sich zwangsläufig Synergien zwischen Qualitätsmanagement und Datenschutz, die man im Unternehmen nutzen sollte, um die datenschutzrechtlichen Anforderungen ausfindig zu machen und zu erfüllen.

Inwieweit sehen Sie eine Verbindung zwischen Datenschutz und Qualitätsmanagement?

Dirk-Michael Mülot: Datenschutz und Qualitätsmanagement sind eng miteinander verbunden. Aufbau, Einführung und Aufrechterhaltung eines Datenschutzmanagementsystems (DSMS) sollte unbedingt in ein bestehendes QM-System integriert werden. Das erspart zum einen unnötigen Mehraufwand und sorgt zum anderen für mehr Sicherheit. Bestehende Prozesse, welche auch datenschutzrechtlich abgesichert sind, erhöhen das Vertrauen der Mitarbeiter, der Kunden sowie der Kooperationspartner und sind entscheidend für die Zusammenarbeit der einzelnen Parteien. Prozesse und Daten – insbesondere personenbezogene Daten – unterliegen einem hohen Qualitätsanspruch. Nicht zuletzt sind Qualitätsmanagement und Datenschutz beide oftmals Garanten für reibungslose Prozessabläufe und Entscheidungen.

Was erwartet mich als neu ernannter Beauftragter für Datenschutz?

Dirk-Michael Mülot: Sie erwartet ein hoch interessantes und abwechslungsreiches Aufgabengebiet. Durch Ihre Kompetenz sichern Sie die Nachhaltigkeit der geschäftlichen Aktivitäten. Als interner Berater zu allen Fragen rund um das Thema Datenschutz tragen Sie dazu bei, die Prozesse im Unternehmen aus wirtschaftlicher und unternehmerischer Sicht aber auch datenschutzrechtlich auf sichere Füße zu stellen. Durch Ihre Kompetenz mindern Sie Risiken, wie z.B. Bußgelder, Schadensersatz und Strafverfahren erheblich und schließen Sie im besten Fall gänzlich aus. Durch die EU-Datenschutz-Grundverordnung wird die Position von Datenschutzbeauftragten weiter gestärkt. Das ist umso wichtiger und richtig, da Datenschutz in nahezu alle Bereiche eines Unternehmens hineinstrahlt.

Training
Datenschutzbeauftragter
Fachkundeseminar nach BDSG und EU-Datenschutzgrundverordnung

Termin
6. bis 9. Juni 2017 in Frankfurt am Main

27. bis 30. November 2017 in Köln (Brühl)

Weitere Informationen zum Datenschutz-Training >>

Interessenten erhalten weitere Informationen bei:
Andreas Heinz
DGQ-Produktmanager
T 069 95424-257

DGQ hat neue Weiterbildung zur Position des Datenschutzbeauftragten im Programm

Der Umgang mit personenbezogenen Daten ist seit jeher eine heikle Angelegenheit – erst recht, seit die Entwicklung moderner Technik deren massenhafte Verarbeitung ermöglicht. Der Schutz solcher Daten ist für Privatpersonen ein verbrieftes Grundrecht und wird in Deutschland durch das Bundesdatenschutzgesetz geregelt. Dieses trat in seiner ersten Fassung 1978 in Kraft und hat bis zuletzt (Anfang 2016) eine Vielzahl von Anpassungen erfahren; es setzt bis heute die 1995 veröffentlichte EU-Richtlinie  95/46/EG in nationales Recht um.

EU-weit einheitliches Datenschutzrecht mit Hintertürchen

Die neue EU-Datenschutz-Grundverordnung, die nach fünfjähriger Entwicklungsarbeit am 25. Mai 2016 in Kraft trat und nach einer Übergangszeit von zwei Jahren Anwendung finden wird, ist nun nicht mehr als EU-Richtlinie ausgelegt, die noch von den Mitgliedsstaaten an das jeweilige nationale Recht angepasst werden muss. Die Verordnung ist in ihrem Wortlaut für alle Mitgliedssaaten verbindlich und wird insofern das aktuelle deutsche Bundesdatenschutzgesetz dadurch in weiten Teilen auch ersetzen.

Allerdings enthält die Verordnung eine Fülle so genannter Öffnungsklauseln, die es den Mitgliedsstaaten letztlich doch erlauben werden, an der einen oder anderen Stelle nationale Lösungen umzusetzen. Gleichwohl kann nun von einem europaweit einheitlichen Datenschutzrecht gesprochen werden, das auch Angebote an EU-Bürger aus Drittländern betrifft und bisher bestehende Wettbewerbsverzerrungen beseitigt.

Bewährte Datenschutz-Standards bleiben erhalten

Für Unternehmen und öffentliche Stellen in Deutschland haben sich mit der Novelle eine Reihe von Änderungen ergeben. Diese können jedoch in Summe nicht als eklatant bezeichnet werden, da sich die neue EU-Verordnung zu einem Gutteil an das bestehende, durchaus umfassende deutsche Datenschutzrecht anlehnt. Nach wie vor gilt beispielsweise das so genannte „Verbot mit Erlaubnisvorbehalt“, eine Regelung, die sicherstellt, dass der Umgang mit persönlichen Daten solange verboten ist, bis er entweder gesetzlich genehmigt oder von der betreffenden Person erlaubt wurde. Auch die Grundsäulen des Datenschutzes – Zweckbindung, Datensparsamkeit und Transparenz – sind weiterhin erhalten, teils sogar verschärft, was den allgemeinen Trend zu Big Data vorerst ein wenig ausbremsen könnte.

Und der Datenschutzbeauftragte?

Eine auf den ersten Blick nicht unerhebliche Änderung betrifft die Position des Datenschutzbeauftragten. Zwar wird nun EU-weit in Organisationen unter bestimmten Voraussetzungen ein Datenschutzbeauftragter für die Einhaltung der einschlägigen Vorschriften sorgen, allerdings nach etwas anderen Kriterien, als es das bislang gültige Bundesdatenschutzgesetz vorsieht. Dort ist die Position des Datenschutzbeauftragten mit der Art der Datenverarbeitung und der Anzahl der damit betrauten Mitarbeiter verknüpft – für öffentliche Stellen ab 20 Mitarbeiter, für nichtöffentliche ab zehn Mitarbeiter.

Aus Artikel 37 Abs. 1 der neuen Verordnung geht hervor, wann wegen des Bedarfs einer entsprechenden Kontrolle die Pflicht zur Bestellung eines (behördlichen oder betrieblichen) Datenschutzbeauftragten besteht:

  • „Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.“
  • „Wenn die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangsreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Die Bindung an die Anzahl der mit der Datenverarbeitung betrauten Mitarbeiter ist weggefallen. Auch hier gibt es allerdings eine Öffnungsklausel, die modifizierte Kriterien zulässt. Es kann davon ausgegangen werden, dass Deutschland diese Möglichkeit wahrnimmt und hinsichtlich der Bestellung des Datenschutzbeauftragten eine Lösung wie im bisherigen Bundesdatenschutzgesetz anstrebt.

Unabhängig davon kann und sollte die Position des Datenschutzbeauftragten unbedingt auch unter Qualitätsaspekten gesehen werden. Die freiwillige Beibehaltung oder Neueinrichtung der Position – auch vor dem Hintergrund eines daraus möglicherweise entstehenden Wettbewerbsvorteils – erscheint damit zusätzlich als sinnvoll.

DGQ bietet Datenschutz-Schulungen an

Die DGQ geht davon aus, dass in vielen Organisationen im Zusammenhang mit der Anwendung der neuen EU-Datenschutz-Grundverordnung ab Sommer 2018 bereits im Vorfeld ein erhöhter Schulungsbedarf entstehen wird:

  • für bereits benannte Datenschutzbeauftragte, die die neue Verordnung kennenlernen möchten,
  • für Mitarbeiter von Unternehmen, die mit der neuen Verordnung erstmals zur Bestellung eines Datenschutzbeauftragten verpflichtet sind
  • oder für Mitarbeiter von Organisationen, die sich freiwillig zur Einrichtung der Position entscheiden.

Um die dadurch entstehende Nachfrage nach professioneller Schulung zu decken, hat die DGQ ein Veranstaltungsprogramm entwickelt, das ab März 2017 mit einer Reihe viertägiger Lehrgänge zum Datenschutzbeauftragten beginnen wird. Weitere Informationen zu den Datenschutz-Trainings

Besuchen Sie unsere Themenseite: Finden Sie hier Downloads, Blogbeiträge, Veranstaltungshinweise und Aktuelles zu unseren Themen Datenschutz und Compliance.

Datenschutz im Unternehmen: Wichtiges Qualitätsmerkmal

Beschäftigt ein Unternehmen mindestens zehn Mitarbeiter mit personenbezogener Datenverarbeitung, muss es einen Datenschutzbeauftragten bestellen. Dessen erforderliche Fachkunde muss dabei gewährleistet sein. Die DGQ Weiterbildung vermittelt die dazu erforderlichen Fachkenntnisse.

Beim Datenschutz geht es um personenbezogene Daten und deren Schutz vor Missbrauch während deren Erhebung, Verarbeitung und Nutzung. Jeder Mensch soll nach dem Grundgesetz selbst darüber entscheiden, wie mit seinen persönlichen Daten umgegangen wird. Auch für Unternehmen ist Datenschutz längst ein Thema. Das Bundesdatenschutzgesetz (BDSG) schreibt das Bestellen eines Datenschutzbeauftragten (DSB) vor, wenn mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zum Beauftragten für den Datenschutz darf laut § 4f Absatz 2 BDSG „nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt“. Die Deutsche Gesellschaft für Qualität vermittelt über die DGQ Weiterbildung in vier Tagen das nötige Grundlagenwissen für die Tätigkeit als Datenschutzbeauftragter. Diese Tätigkeit ist für Unternehmen und öffentliche Einrichtungen von großer Bedeutung. Andreas Heinz, Produktmanager der DGQ Weiterbildung, erklärt: „Sowohl Unternehmen als auch Kunden nehmen Datenschutz heute als wichtiges Qualitätsmerkmal wahr“. Vor diesem Hintergrund bietet die DGQ ab März 2017 ein Training an, um künftigen Datenschutzbeauftragten die gesetzlich geforderte Fachkunde zu vermitteln. Diese Tätigkeit ist für Unternehmen und öffentliche Einrichtungen von großer Bedeutung, zumal die EU-Datenschutz-Grundverordnung ab 2018 in Kraft treten wird und hier die Pflichten und Haftungsrisiken für Unternehmen und Behörden erheblich ausgeweitet werden.

Qualifizierung zum DGQ-Datenschutzbeauftragten

Der professionelle Datenschutz in Unternehmen, Behörden und kommunalen Einrichtungen wird vom Know-how und dem Verantwortungsbewusstsein des DSB getragen. Denn er übernimmt einen anspruchsvollen Aufgabenbereich, der sich ständig verändert und auf dessen Anforderungen umgehend reagiert werden muss. „Neben rechtlichen Grundlagen zu Datenschutz, Aufbau- und Ablauforganisation vermittelt das DGQ Fachkunde-Seminar auch technisch organisatorische Maßnahmen eines professionellen Datenschutzes“, verdeutlicht Heinz. Den Nutzen des Seminars sieht der DGQ-Produktmanager neben dem Nachweis der gesetzlich geforderten Fachkunde vor allem im Vermeiden möglicher Bußgeldzahlungen. Zudem steige das Vertrauen bei Kunden und Partnern, wenn diese wissen, dass ihre Daten professionell vor unbefugtem Zugriff geschützt seien.

Mit dem Training richtet sich die DGQ an Datenschutzbeauftragte sowie an Personen, die zum Datenschutzbeauftragten bestellt werden. Produktmanager Heinz verspricht: „Das viertägige Training wird sich nicht nur mit den deutschen Regelungen beschäftigen, sondern zudem die Grundlagen des europäischen Datenschutzrechts – hier EU-Datenschutz Grundverordnung – thematisieren“.

Datenschutz-Update für alle DSB

Für Datenschutzbeauftragte, aber auch DSB-Unterstützungspersonal sowie Datenschutzreferenten, Datenschutzkoordinatoren oder Datenschutzassistenten bietet die DGQ zusätzlich das Tagesseminar „Datenschutz-Update“ an. Externe Datenschutzbeauftragte, die sich auf den aktuellen Stand bringen wollen, sind gleichermaßen angesprochen. Sie alle sind dazu verpflichtet, sich über aktuelle Neuerungen im nationalen und internationalen Datenschutz auf dem neuesten Kenntnisstand zu halten. „Das ist für eine Tätigkeit als Datenschutzbeauftragter unabdingbar“, sagt Heinz. Neben dem Erhalt der gesetzlich geforderten Fachkunde beurteilt der DGQ-Produktmanager den Nutzen dieses Updates pragmatisch: „Die Teilnehmer sichern ihre Geschäftsgrundlage und vermeiden Ärger mit Behörden sowie Zahlungen von hohen Bußgeldern“.

Interessenten erhalten weitere Informationen bei DGQ-Projektmanager Andreas Heinz, T. 069-95424257,  E-Mail: hei@dgq.de.