9. Oktober 2014
DGQ-Regionalkreis Schwerin: Risikobasierte Vorgehensweise am Beispiel Datenschutz und Datensicherheit
Zu diesem Thema referierte DGQ-Trainer Andreas Altena (Altena-TCS GmbH, Krefeld) im DGQ-Regionalkreis Schwerin am 7. Oktober 2014.
Die Revision der DIN EN ISO 9001 stellt als eine Änderung ganz stark auf das ‚Risikobasierte Denken‘ ab. Es soll zwar von ISO 9001 kein formelles Risikomanagementsystem gefordert werden. Dennoch ist die Berücksichtigung von Chancen und Risiken absehbar Bestandteil vieler Normforderungen (etwa 4 Kontext der Organisation, 5 Führung, 6 Planung, 9.3 Managementbewertung, 10 Verbesserung…).
Unabhängig von Unternehmensgröße und Branche wird künftig jede Organisation Risikobewertungen vornehmen und Maßnahmen ableiten sowie dokumentierte Informationen dazu lenken und aufbewahren.
Nach der Übergangsfrist auf die ISO 9001:2015 wird dies für alle wesentlichen Prozesse des Unternehmens gelten. Das neue Verfahren will erprobt sein, ein schlecht vorbereitetes Ausrollen auf die Kernprozesse birgt ja selbst wieder Risiken. Eine gute Gelegenheit, die geforderte Vorgehensweise zu erproben, sind die bisher schon geltenden rechtlichen Vorschriften. Eine dieser rechtlichen Anforderungen ist die Einhaltung des Bundesdatenschutzgesetzes, die für alle Unternehmen die personenbezogene Daten verarbeiten, zum Tragen kommt. Daten sind aber auch Kundeneigentum, das nach (alter wie neuer) ISO 9001 sorgfältig zu behandeln ist. Obwohl dies ein Bereich mit extrem hoher öffentlicher Wahrnehmung ist, wird Datenschutz und Datensicherheit im betrieblichen Alltag häufig nicht die nötige Aufmerksamkeit gewährt. Neben den technischen sind aber auch erhebliche unternehmerische Risiken (Imageverlust, Schadenersatz…) vorhanden. Daher bietet sich dieser Bereich für die Erprobung des risikobasierten Vorgehens nach neuer ISO 9001 geradezu an. „Industrie 4.0 und das ‚Internet der Dinge‘ mit der Steuerung von Anlagen und Gebäude stellen hier neben den herkömmliche Risiken des Datenschutzes und der Datensicherheit ganz neue Herausforderungen dar“ so der langjährige Informationssicherheits- und Qualitäts-Auditor Altena.
Risiken und Chancen richtig zu managen, ist ein fortlaufender Prozess, da sich Rahmenbedingungen für Unternehmen und Organisationsbereiche ständig verändern – jeder kann von einem systematischen Risikomanagement profitieren.
„Für viele Unternehmen sind das große Herausforderungen. Konsens ist: Den Regelkreis der Risikoerkennung, -Bewertung, und –Steuerung kann erfolgreich nur im integrierten Managementsystem gelingen“, so Altena. Die nötigen Antworten sind aber als Erfahrungswissen in vielen Organisationen, sicher aber im DGQ-Netzwerk, schon vorhanden. Gefährdungsbeurteilungen etwa sind im Umwelt- und Arbeitsschutz lange praktiziert. Branchenregelwerke haben teils eigene Ansätze, auf deren Erfahrung man zurückgreifen kann. Im Medizinproduktebereich (ISO 13485) ist die Risikoanalyse für Produkte und Prozesse gefordert, die Reifegradabsicherung Neuteile (RGA des VDA) der Automobilindustrie sammelt und ordnet etliche bewährte Risikowerkzeuge des Qualitätsmanagements. „Letztlich hat jeder, der bisher in Audits schon die Wirksamkeit von Vorbeugungsmaßnahmen nachgewiesen hat, bereits risikominimierend gearbeitet. Die gute Praxis etwa mit der Risikopriorisierung der FMEA-Methodik ist ein guter Ansatz für Risiken Produkt, Prozess und System. Ob diese RPZ am Ende auf drei Stellen hinter dem Komma genau sind ist unerheblich, der Gewinn für die Organisation liegt schon in der Diskussion, dem Bewusstwerdungsprozess der Risiken“ sagt Kai-Uwe Beherends, Leiter der Landesgeschäftsstelle Nord der DGQ. Dass die neue ISO 9001 Risiko als Thema von der Einleitung bis in die Managementbewertung durchgehend verlangt, wird als große Stütze für den Diskussionsprozess seitens der QMunity gesehen. Dem Vernehmen nach arbeitet der Normenausschuss auch an einer ISO 9002 als unterstützendes Dokument für die Umsetzung der 9001 – hier werden sicher die Risikothemen eine gewichtige Rolle spielen.
Im Rahmen der Regionalkreissitzung im TGZ Schwerin wurde Prof. Dr.-Ing. Manfred Krüger von der Hochschule Wismar für seine 20jährige Mitgliedschaft in der DGQ geehrt. Er verbindet seit Jahrzehnten sein leidenschaftliches Engagement für die Qualität, für den Mehrwert durch Managementsysteme, damit für den Standort und die Arbeitsplätze in der Region sowohl hauptamtlich in der Ingenieursausbildung als auch im Netzwerk der DGQ. „Bücher lesen, sich Wissen aneignen ist das Eine – der praktische Erfahrungsaustausch im Regionalkreis ist die andere wesentliche Komponente von QM-Kompetenz“ so der Jubilar.
