Mit Strategie und System zur rechtssicheren Dokumentation
Die ISO 9001:2015 schreibt, anders als die Vorgängerversion, als Pflichtdokument kein Managementhandbuch mehr vor. Anstelle eines Qualitätsmanagementhandbuchs bzw. Managementhandbuchs verlangt die Norm sogenannte dokumentierte Informationen. Diese sind auch nur dann fällig, soweit diese von der Norm an den verschiedenen Stellen selbst gefordert werden, z. B. zu Prozessen, um die Durchführung der Prozesse zu unterstützen oder um nachzuweisen, dass die Prozesse wie geplant durchgeführt werden. Ein weiteres Szenario wäre die Festlegung der Qualitätspolitik und von Qualitätszielen.
Damit legt die Norm die Gestaltung der Unternehmensdokumentation stärker in die Eigenverantwortlichkeit der Unternehmen und schafft auch Gestaltungsraum für eine flexible Integration der Datenschutzdokumentation in die QM- und Unternehmensdokumentation. Auch zur Überwachung, Messung, Analyse und Bewertung bei internen Audits und zum Nachweis der Verwirklichung des Auditprogramms und der Ergebnisse verlangt die Norm dokumentierte Informationen.
Dokumentierte Informationen im Sinne der Norm sind Dokumente (auch elektronische Dateien), deren Autorenschaft (Dokumentenverantwortlicher), Versionierung, Freigabe, Verteilung, Nutzung, Art und Form der Speicherung, Änderung und Änderungshistorie sowie Speicherung und Löschung geregelt und gelenkt werden. Die Norm dokumentiert Informationen, die von einer Organisation gelenkt und aufrechterhalten werden müssen – deren Existenz, Umgang und Nutzung also geregelt und die Einhaltung der enthaltenen Regelungen kontrolliert und belegt werden müssen.
QM-Handbuch: Auch ohne Pflicht ein sinnvolles Tool
Auch wenn ein QM-Handbuch von der Norm nicht mehr explizit gefordert wird, verbietet es sich deshalb nicht, ein solches anzulegen oder, wenn es bereits vorhanden ist, weiter aufrechtzuerhalten. Gerade gegenüber Kunden und externen Stellen wie Aufsichtsbehörden, Zertifizierungsstellen und anderen interessierten Stellen ist ein derartiges Dokument ein geeignetes Mittel, um einen transparenten Überblick über das Unternehmen und dessen Organisation zu vermitteln. Der Inhalt, die Form und die Ausgestaltung der Datenschutzstrategie und der Datenschutzziele spiegeln sich in der Datenschutzdokumentation und diese wiederum in der Unternehmensdokumentation wider.
Datenschutzstrategien sind zwar in der DSGVO nicht als gesetzliche Forderung enthalten, aber in ihrer Existenz vorausgesetzt. Dies ergibt sich z. B. aus Erwägungsgrund Nr. 78 zu Art. 25 DSGVO, der vom Verantwortlichen fordert, zum Nachweis der Einhaltung der Vorschriften der Verordnung interne Strategien festzulegen und Maßnahmen zu ergreifen, die die Einhaltung der Grundsätze des Datenschutzes gewährleisten. Die Erwägungsgründe besitzen zwar keine verbindliche Gesetzesqualität, können aber zur Interpretation des Verordnungstextes herangezogen werden.
Datenschutzstrategien als gesetzliche Voraussetzung
Auch in der Verordnung selbst, und zwar in Art. 39 Abs. 1b DSGVO, wird das Vorhandensein von Strategien für den Schutz personenbezogener Daten vorausgesetzt. Dort wird als eine seiner Kernaufgaben die Überwachung der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten beschrieben. Diese Strategien müssen, um überhaupt formal existent zu sein, im Managementkonzept des Unternehmens konkretisiert werden. Um überprüfbar und bewertbar zu sein, müssen sie in der Unternehmensdokumentation in den sogenannten dokumentierten Informationen nach Art, Inhalt und Ausmaß bestimmt und überprüfbar beschrieben sein.
Mit systematischer Dokumentation Transparenz schaffen
Ob mit oder ohne Managementhandbuch empfiehlt es sich deshalb, eine Systematik der Datenschutzdokumente und der datenschutzrelevanten Dokumente zu schaffen und, soweit nicht bereits eine QM-basierte Unternehmensdokumentation besteht, die Datenschutzdokumentation in die Systematik dieser Dokumente einzuordnen und durch entsprechende Verweise miteinander zu verknüpfen. Dies hat den Vorteil, dass eine für den Benutzer sehr transparente und leicht zu handhabende Dokumentation entsteht, die auch Dritten, zum Beispiel einem Auditor, einen schnellen und zielführenden Einstieg und eine klare Orientierung über die Unternehmensdokumentation erlaubt.
Die nachfolgende Struktur zeigt beispielhaft eine mögliche Gliederung. Sie unterteilt sich in einen Block mit sicherheitsrelevanten und in einen anderen Block mit datenschutzrelevanten Dokumenten. Die Dokumente bilden eine Hierarchie mit über- und untergeordneten Dokumenten bzw. Dokumentengruppen. Aus Datenschutzsicht sind die Dokumente „Verfahrensverzeichnis, Datenschutz-Folgenabschätzung“ und „Technische und organisatorische Maßnahmen“ Pflichtdokumente, weil diese Dokumente vorgeschrieben sind.
Diesen Fachbeitrag vollständig lesen?
Wir freuen uns über Ihr Interesse. Diese Themen und viele andere rund um den betrieblichen Datenschutz finden Sie in unserem Fachportal für Datenschutz und Datensicherheit.
Kostenlos 4 Wochen lang testen
Sie sind bereits Nutzer von Datenschutz und Datensicherheit?
Zu diesem Beitrag finden Sie in Ihrem Ratgeber „Prozessorientiertes Datenschutzmanagement - DSGVO“ weitere Inhalte. Melden Sie sich hier an und lesen Sie alles zum Thema.
Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:
- Datenschutz-Fokusthemen
- Veröffentlichungen der Behörden
- Relevante Gerichtsentscheidungen
Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.