DSGVO, GoBD und ISO-Normen haben eine große Gemeinsamkeit: uns allen ist klar, dass es wichtig ist, die teils gesetzlichen Vorschriften in die Praxis umzusetzen, nur lesen sich die Normen und Gesetze leider nicht wie eine Bedienungsanleitung von einem Möbelhersteller.
Komplexe Texte....
Die Belohnung für die Implementierung von DSGVO, GoBD und DIN/ISO 9001 liegt auf der Hand: eine Zertifizierung erlangen oder einfach “nur” eine gesetzliche Vorschrift einhalten. Starten wir mal mit der neuesten Vorschrift: die DSGVO. Auf der Suche nach dem “Was” und vor allem dem “Wie”, lesen wir die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) bis zum bitteren Ende durch. Interessante Lektüre, jedoch nicht gerade ein Text mit konkreten Tipps für die Umsetzung und Einhaltung.
... mit ähnlichen Anforderungen
Der große gemeinsame Nenner der Normen, Gesetze und Verordnungen heißt “Compliance”. Firmen versprechen sich durch Compliance eine höhere Transparenz der Prozesse und eine Steigerung der Effizienz und Effektivität. Kurz gesagt: mit Ordnung im Haushalt ist nicht nur dem Gesetzgeber gedient.
Kategorisieren & Sortieren
Aller Anfang ist schwer und genau deswegen ist es wichtig zu wissen, wo der Anfang genau ist.
Welche Daten sind konkret betroffen?
- DSGVO: betrifft nur personenbezogene Daten. Deswegen ist eine Sortierung nach personen- / nicht-personenbezogenen Daten erforderlich.
- GoBD: betrifft nur Dokumente, die im Zusammenhang mit dem Unternehmen stehen. Rechnungen, Bilanzen, Geschäftskorrespondenz, Inventare, Arbeitsanweisungen, geschäftliche E-Mails usw. brauchen ein dementsprechendes Label.
- ISO 9001: alle Dokumente, die zum Qualitätsmanagementhandbuch gehören, sowie die mitgeltenden Prozessanweisungen, inklusive Revisionsstand. Außerdem fordert ISO 9001 explizit Dokumente zur Qualitätspolitik und -zielen, zu dokumentierten Verfahren und solche, die für die Planung, Lenkung und Durchführung der Prozesse als relevant eingestuft werden.
Information & Auskunft
Welche Fragen sollen diese Daten klären können?
DSGVO
- Welche personenbezogenen Daten sind im Unternehmen vorhanden?
- Wozu dienen diese Daten?
- Wie ist das Unternehmen an die Daten gekommen?
- Wer hat Zugriff auf die Daten?
GoBD
- Wo liegen die Originale der geschäftsrelevanten Dokumente und E-Mails?
- Wie werden die Originale gespeichert und wer hat Zugriff darauf?
- Welche Änderungen wurden von wem wann an diesen Daten vorgenommen?
- Bei einer Betriebsprüfung: welche Daten sind steuerlich relevant?
ISO 9001
- Wie und von wem wurde ein Dokument bewertet und genehmigt?
- Wer hat welche Aufzeichnungen wann und weshalb erstellt und geändert?
- Welche Dokumente sind für das interne Audit erforderlich und in welchem Status befinden sich diese?
- Welche Teile des Qualitätsmanagementhandbuchs müssen bis zum Rezertifizierungsaudit überprüft werden?
- Welche Maßnahmen sollen automatisch zur Sicherung der Qualität bei einer Kundenbeschwerde greifen?
- Welche Kriterien werden von welchen Lieferanten erfüllt, im Vergleich zum letzten Quartal?
- Welche messbaren Qualitätsziele wurden erreicht und in welchen Bereichen ist eine Eskalation notwendig?
Prozesse etablieren & überwachen
Damit die Informationen vollständig und nachvollziehbar zur Verfügung stehen, muss die Einhaltung gewisser Prozesse überwacht werden.
Welche Prozesse sollen festgelegt und überwacht werden?
DSGVO
- Speicherbegrenzung: Informationen müssen nach einer bestimmten Ablauffrist, wenn der Verwendungszweck abgearbeitet wurde oder auf Anfrage der betroffenen Person, gelöscht werden.
- Datenminimierung: Es dürfen nur die Informationen abgelegt werden, die für den Verwendungszweck notwendig sind.
- Integrität und Vertraulichkeit: Daten müssen geschützt sein und vertraulich behandelt werden.
- Auskunft: Bei Anfrage des Betroffenen sind ihm alle Dokumente zu seiner Person vorzuzeigen und ihm bei Wunsch mitzuteilen, wie lange diese im Unternehmen verbleiben und wozu.
GoBD
- Verfahrensdokumentation: eine technische sowie organisatorische Beschreibung aller Archivierungsvorgänge und deren Kontrollmechanismen in einem Unternehmen.
ISO 9001
- Lenkung von Dokumenten
- Lenkung von Aufzeichnungen
- Internes Audit
- Lenkung fehlerhafter Produkte
- Korrekturmaßnahmen
- Vorbeugungsmaßnahmen
FAZIT
Der einfachste Weg zu Compliance ist ein Dokumentenmanagement-System.
