Die neue Datenschutzgrundverordnung DSGVO

So integrieren Sie den Datenschutz rechtskonform in Ihr Qualitätsmanagementsystem

Man könnte meinen es ist eigentlich schon genug mit gesetzlichen und behördlichen Anforderungen an Unternehmen, da tut sich ein neues Handlungsfeld auf − die Datenschutzgrundverordnung (DSGVO). Viele Unternehmen sind noch guter Dinge und meinen, die Datenschutzgrundverordnung betrifft nur große Unternehmen und haben bei dieser Einschätzung Datenskandale, wie zuletzt bei Facebook, im Hinterkopf. Diese Hoffnung wird leider enttäuscht. Die Datenschutzgrundverordnung regelt den Datenschutz für alle EU-Bürger und Personen, die sich innerhalb der EU aufhalten. Dabei wird nicht nach Geschäftsleuten oder Privatpersonen unterschieden. Bietet z.B. ein australisches Unternehmen online Leistungen in der EU an und verarbeitet personenbezogene Daten, muss es die Anforderungen der Datenschutzgrundverordnung umsetzen. Ebenso genießt ein Tourist in der EU den Schutz der Datenschutzgrundverordnung, wenn die Daten z.B. von einem deutschen Unternehmen gespeichert und verarbeitet werden. Es gibt auch keine Schwellenwerte für Umsatz oder Mitarbeiterzahl, die die Gültigkeit einschränken. Das heißt: Die Datenschutzgrundverordnung gilt grundsätzlich für ein Großunternehmen genauso wie für den einzelnen Handwerker.


Personenbezogene Daten sind gem. DSGVO besonders zu schützen

Die Datenschutzgrundverordnung sieht personenbezogene Daten als zwingend schutzbedürftig. Deshalb ist für jede Verarbeitung personenbezogener Daten eine ausdrückliche Rechtsgrundlage durch das Gesetz oder eine wirksame Einwilligung erforderlich! Personenbezogene Daten erstrecken sich auf alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen.  Eine Person ist dann „identifizierbar“, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einem Namen, einer Kennnummer oder anderen besonderen Merkmalen identifiziert werden kann. Das betrifft nicht nur private Angaben, sondern auch berufliche und sonstige Informationen über eine Person.

Beispiele für personenbezogene Daten im Sinne der Datenschutzgrundverordnung:

  • Name
  • Beruf
  • Geburtsdatum
  • Bankverbindung
  • E-Mail Adresse
  • Passwort, Nutzerkennung
  • Wohnort
  • IP-Adresse

Personenbezogene Daten mit besonderer Schutzbedürftigkeit Art. 9 Abs. 1 DSGVO:

  • Sexuelle Ausrichtung
  • Gewerkschaftszugehörigkeit
  • Gesundheitszustand
  • Religion

Unser Tipp
Gratis Vorlage:
Mit der gratis Vorlage Erstellung einer Prozessbeschreibung zeigen wir Ihnen, wie Sie Ihre Geschäftsprozessse zielführend beschreiben und in Visualisierungsmodellen darstellen, um Ihren Mitarbeitern Arbeitsabläufe verständlich aufzuzeigen.

Ausbildung: der besuchen Sie die Ausbildung Datenschutzbeauftragter und erfahren Sie alles zum richtigen Umgang mit personenbezogenen Daten gemäß der DSGVO 2018 sowie zur erfolgreichen Umsetzung der Datenschutz Aufgaben.


Relevanz der Datenschutzgrundverordnung für das Qualitätsmanagement

Die ISO 9001 fordert die Erfüllung aller gesetzlichen und behördlichen Anforderungen, die für die Produkte und Dienstleistungen zutreffen.  Die Relevanz ist bereits dann gegeben, wenn sich ein Kunde für ein bestimmtes Produkt oder eine Dienstleistung interessiert, ohne es zu kaufen, bzw. die Dienstleistung in Anspruch zu nehmen. Alle Daten, die zu diesem Kunden gespeichert werden, haben Personenbezug. Typischerweise werden bei Anfragen erfasst: Name, Wohnort, gegebenenfalls Geburtsdatum, Beruf, bei Anfragen über das Internet die IP-Adresse und gegebenenfalls vieles mehr. Am offensichtlichsten ist dies, wenn es sich um Privatkunden handelt. Aber auch im B2B Bereich ist im Auftrag der juristischen Person eine natürliche Person aktiv, deren Daten erfasst werden könnten. Die Erfassung personenbezogener Daten im B2B Bereich geht jedoch weit über die Kategorie der Kundendaten hinaus. Bei der Erfassung des Kontextes des Unternehmens mit der Identifikation interessierter Parteien sollte deutlich werden, dass sicherlich zum Beispiel auf Lieferanten oder die eigenen Beschäftigten den gesetzeskonformen Umgang mit ihren personenbezogenen Daten erwarten.

Video: Arbeitsanweisung – Lebenszyklus und Erstellung
Video: 7 Punkte zur Erstellung einer Arbeitsanweisung


Das Verarbeitungsverzeichnis als wichtige Basis für die Datenschutzgrundverordnung 

Bietet der Vertrieb Ihres Unternehmens einen Rückrufservice? Führt das Marketing Gewinnspiele durch? Hat das Unternehmen eine elektronische Zeiterfassung installiert? Gibt es ein elektronisches Adressbuch, auf das alle zugreifen können? Diese Fragen betreffen nur die Spitze des Eisbergs, sind aber für das Verarbeitungsverzeichnis wesentlich! Ein sogenanntes Verfahrensverzeichnis musste nach dem Bundesdatenschutzgesetz (BDSG) in Deutschland bereits seit langem geführt werden. Die Datenschutzgrundverordnung löst die alten Verzeichnisse ab und ersetzt sie durch das Verarbeitungsverzeichnis. Ein solches muss geführt werden, falls für das Unternehmen einer der vier nachfolgenden Punkte zutrifft:

  • Mehr als 250 Mitarbeiter
  • Es liegt ein Risiko für die Rechte und Freiheiten betroffener Personen vor
  • Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO
  • Nicht nur gelegentliche Verarbeitung

Aufgrund des vierten Punktes wird wohl kaum ein Unternehmen von der Führung eines Verarbeitungsverzeichnisses verschont bleiben. Es sei denn, es hat nur „gelegentlichen Kontakt zu Kunden“. Sarkastisch betrachtet würde sich das Problem damit von selbst lösen. Das Verarbeitungsverzeichnis enthält strukturierte Informationen zu Tätigkeiten der Verarbeitung personenbezogener Daten. Es ist dabei vollkommen unerheblich, ob die Verarbeitung automatisch, manuell oder in einer Mischform betrieben wird. Den Inhalt eines Verarbeitungsverzeichnisses legt § 30 Abs. 1 S. 2 a-g Datenschutzgrundverordnung fest. Alle Angaben eines Verarbeitungsverzeichnisses müssen dieser Vorgabe folgen. Relevante Lieferanten (Auftragsverarbeiter) haben ein eigenes Verzeichnis zu führen, welches deutlich weniger Informationen enthalten muss.


Unser Tipp
Gratis E-Learning:
Absolvieren Sie gratis E-Learning Kurs Arbeitsanweisungen erstellen und erhalten Sie einen schnellen Einstieg ins Thema. Anhand verschiedener Videos machen wir Sie mit der Struktur sowie dem Lebenszyklus von Arbeitsanweisungen vertraut.


An diesen Stellen sollten Sie die neue DSGVO in Ihr Qualitätsmanagement implementieren

Die folgende Tabelle bietet Ihnen eine Übersicht, wie Sie in den verschiedensten Bereichen Ihres Qualitätsmanagements (ISO 9001), den Datenschutz sowie die Datensicherheit mit einbeziehen können.

 Hauptabschnitt ISO 9001Prozess im UnternehmenZuordnung der Anforderungen der Datenschutzgrundverordnung
4Kontext der OrganisationProzessplanung,

Unternehmensstrategie
Verarbeitungsverzeichnis Art. 30 DSGVO
besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO
Rechtsgrundlage der Verarbeitung It. Art. 6-11
5FührungUnternehmenslenkung,

Personalmanagement (Zuordnung von Verantwortlichkeit)
Nachweis- und Rechenschaftspflicht Art. 5 Abs. 2, Art 24 Abs. 1 DSGVO
Datenschutzbeauftragter nach Art. 37 DSGVO
Datenschutzverpflichtung von Beschäftigten Art. 29, 32 DSGVO
6PlanungRisikomanagement Datenschutzfolgenabschätzung (DSFA), Art. 32, 35 und ggf. Art. 36 DSGVO
7UnterstützungIT-Infrastruktur

Interne und externe Kommunikation,
Lenkung dokumentierter Information
Maßnahmen zur Sicherheit der Verarbeitung, Art. 32 DSGVO,
Empfänger personenbezogener Daten, Art. 4 Nr. 9 DSGVO
Löschen von Daten (Recht auf Vergessenwerden) Art. 17 Abs. 1 DSGVO
8BetriebVertrieb, Marketing (Werbung mittels Newsletter!), Lieferantenmanagement, Leistungsüberwachung, Umgang mit FehlernUmsetzung von Betroffenenrecht, Art. 15, 16, 18, 20, 21, 22 DSGVO
Auftragsverarbeitung, Art. 28 DSGVO
Rechtmäßigkeit der Videoüberwachung, Art. 6 Abs. 1 DSGVO
Umgang mit Datenpannen Art. 33 und 34 DSGVO
9Bewertung der LeistungBuchhaltung, PersonalverwaltungInformations- und Auskunftspflichten, Art. 13, 14, 15 DSGVO
10VerbesserungKorrekturmaßnahmenUmgang mit Datenpannen Art. 33 und 34 DSGVO

Ihre Datenschutz Ausbildung

Alle Ausbildungsinfos zum direkten Download

Sie möchten sich im Bereich Managementsysteme ausbilden?
Wir haben zahlreiche Schulungen in unserem Ausbildungsprogramm – bspw. in den Bereichen Qualitätsmanagement, Automotive, Energie, Umwelt und viele mehr! Schauen Sie sich in unserem PDF-Katalog um und suchen Sie den für Sie passenden Fachbereich aus!

Dabei haben Sie bereits heute bei vielen Schulungen die Wahl zwischen: Präsenzschulung, E-Learning oder Hybrid Lehrgang!

Gratis PDF-Katalog


Popup-Banner-Katalog