Die neuen ISO Normen Nach langen Diskussionen und Beratungen hat die International Organization for Standardization am 23. September 2015 die revidierte Fassung der ISO 9001 veröffentlicht. Die ISO 9001:2015 löst die aktuelle Fassung ISO 9001:2008 ab.
2015 bis 2018
- Ab spätestens dem 14. September 2018 - gemäß Übergangsfrist – müssen ISO 27001, ISO 9001 und ISO 14001 an den neuen Standard angepasst worden sein. Die ISO 18001 ist in 2016 veröffentlicht worden mit der gleichen High Level Structure
- Bis zum 14. September 2018 war es ohne weiteres möglich die Firma nach den alten Standards ISO 9001:2008 bzw. ISO 14001:2008 zertifizieren oder reauditieren zu lassen. Seit dem 14.09.2018 müssen Sie sich nach der neuen Version der Norm zertifizieren lassen!
ISO 9001:2015 - Was hat sich durch die neue Qualitätsnorm für Ihr Unternehmen geändert? Was müssen Sie anpassen?
- Die herausragende Neuerung der ISO 9001:2015 besteht in der Etablierung einer übergeordneten Struktur, der sogenannten High Level Structure. Hintergrund ist, dass alle Managementsysteme auf bestimmten Grundelementen basieren – so auch die ISO-Standards wie ISO 9001, ISO 14001 für Umweltmanagement, BS OHSAS 18001 für Arbeitssicherheit und ISO 27001 für Informationssicherheit. Die gemeinsame Gliederung der Normen erleichtert den Aufbau eines integrierten Managementsystems (IMS), die jetzt 10 Normkapitel (vorher nur 8) umfasst.
- Die neue ISO 9001 verlangt eine aktivere Rolle der obersten Leitung gegenüber dem Qualitätsmanagement. Diese soll künftig die Verantwortung für die Wirksamkeit des Managementsystems allein übernehmen. Stattdessen muss die enge Verzahnung des Qualitätsmanagements mit der strategischen Führung, mit dem Controlling und damit mit der Unternehmensleitung dargestellt werden. Stärker als bisher ist ein klares Bekenntnis zur Führungsaufgabe gefordert. Statt eines Qualitätsmanagementbeauftragten muss künftig ein Mitglied der Unternehmens- oder Organisationsführung das Thema repräsentieren. Die Managementbewertung wird ergänzt um Aspekte der strategischen Ausrichtung, der Berücksichtigung von Stakeholdern und der strategischen Risikobetrachtung.
- Die ISO 9001:2015 geht davon aus, dass ein Grundverständnis für Risikobewertungen für Organisationen aller Arten zunehmend wichtig ist. Deshalb wird erstmals das Konzept des risikobasierten Denkens eingeführt. Zwar wird kein Risikomanagement gefordert, doch sollen Organisationen Risiken identifizieren und angemessen berücksichtigen können. Im Gegenzug entfällt eine spezifische Forderung nach Vorbeugungsmaßnahmen.
- Anstelle von Dokumenten und Nachweisen wird nur noch von dokumentierter Information gesprochen. Die Organisation kann anhand ihrer spezifischen Kompetenzen und Strukturen selbst entscheiden, in welchem Umfang dokumentieren will. Diese Entscheidung muss im Rahmen der Zertifizierung gegenüber dem Auditor begründet werden.
- Dass die Dienstleistungsbranche weiter wächst, schlägt sich auch in der ISO 9001:2015 nieder. Die Neufassung noch stärker auf die Belange von Dienstleistungsunternehmen ausgerichtet. So heißt es nun Produkt / Dienstleistungen
- An zwei Stellen wird in der neuen Version auf die sogenannten interessierten Parteien (englisch: Stakeholder) verwiesen, deren Belange es für die jeweilige Organisation zu berücksichtigen gilt. Konkret heißt das: Organisationen sollen sich nicht nur um gesetzliche und behördliche Anforderungen und ihre Kunden Gedanken machen, sondern auch um die Beziehung zu ihren Beschäftigten, Partnern, Lieferanten, Banken, Gemeinden und sogar Konkurrenten
- Zukünftig muss die Organisation, "erforderliche Inputs" und "erwartete Outputs" für jeden Prozess festzulegen und diesen messen - KPIs (Key Process Indicators) sind jetzt für jeden Prozess gefordert.
ISO 9001:2015 - Was ist eine High Level Structure? Die High Level Structure sind die allen Normen gemeinsamen Kapitel 1-10 mit folgenden Inhalten:
- Anwendungsbereich
- Normative Verweisungen
- Begriffe
- Kontext der Organisation
- Führung
- Planung für das Qualitätsmanagementsystem
- Unterstützung
- Betrieb
- Bewertung der Leistung
- Verbesserung
ISO 14001:2015 - Was ändert sich durch die neue Umweltnorm für Ihr Unternehmen? Was müssen Sie anpassen? Die NEUE ISO 14001:2015 nutzt nun ebenfalls die sogenannte „High Level Structure“. Diese gliedert sich in die folgenden 10 Kapitel: 1. Anwendungsbereich 2. Normative Verweisungen 3. Begriffe 4. Kontext der Organisation 5. Führung 6. Planung für das Qualitätsmanagementsystem 7. Unterstützung 8. Betrieb 9. Bewertung der Leistung 10. Verbesserung
- Die neue ISO 14001 verlangt ebenfalls eine aktivere Rolle der obersten Leitung. Diese soll künftig die Verantwortung für die Wirksamkeit des Managementsystems allein übernehmen. Die enge Verzahnung des Umweltmanagements mit der strategischen Führung, mit dem Controlling und damit mit der Unternehmensleitung muss dargestellt werden.
- Stärker als bisher ist ein klares Bekenntnis zur Führungsaufgabe gefordert. Statt eines Qualitätsmanagementbeauftragten muss künftig ein Mitglied der Unternehmens- oder Organisationsführung das Thema repräsentieren. Die Managementbewertung wird ergänzt um Aspekte der strategischen Ausrichtung, der Berücksichtigung von Stakeholdern und der strategischen Risikobetrachtung.
- Die ISO 14001:2015 geht davon aus, dass ein Grundverständnis für Risikobewertungen für Organisationen aller Arten zunehmend wichtig ist. Deshalb wird erstmals das Konzept des risikobasierten Denkens eingeführt. Zwar wird kein Risikomanagement gefordert, doch sollen Organisationen Risiken identifizieren und angemessen berücksichtigen können. Im Gegenzug entfällt eine spezifische Forderung nach Vorbeugungsmaßnahmen.
- Anstelle von Dokumenten und Nachweisen wird nur noch von dokumentierter Information gesprochen. Die Organisation kann anhand ihrer spezifischen Kompetenzen und Strukturen selbst entscheiden, in welchem Umfang dokumentieren will. Diese Entscheidung muss im Rahmen der Zertifizierung gegenüber dem Auditor begründet werden.
Am 24.05.2016 trat die DSGVo inkraft. Was bedeutet dieses für ihr Unternehmen? Die Europäische DatenSchutzGrundVerordnung - DSGVO - ist am 24.05.2016 in Kraft getreten und ist ab dem 25.05.2018 als neue Grundlage für den Datenschutz umzusetzen. Die DSGVO löst alle vorherigen Rechtsrahmen des Datenschutzes ab; also alle EU Datenschutzverordnung aus dem Jahre 1995 und alle darauf basierenden nationalen Datenschutzgesetze. Im Verhältnis zu anderen nationalen Gesetzen hat die DSGVO direkten Gesetzesrang. Bereits seit Inkrafttreten des IT-Sicherheitsgesetzes vom 25.07.2015 sind Unternehmen gesetzlich aufgefordert, personenbezogene Daten durch definierte Prozesse und technische Maßnahmen zu schützen. Während das IT-Sicherheitsgesetz der deutschen Bundesregierung hauptsächlich Unternehmen aus dem KRITIS-Bereich betraf, richtet sich die EU Datenschutzgrundverordnung ausnahmslos an alle Unternehmen mit Sitz bzw. Niederlassung in der EU allerdings mit der Absicht des „ungehemmten Austausch personenbezogener Daten in der EU“, damit der Austausch personenbezogener Daten in der EU nicht (mehr) mit dem Argument abgelehnt werden darf, dass der Datenschutz innerhalb der EU verschieden gehandhabt wird. Artikel 1, Absatz (3). Die Dokumentation der internen Prozesse des Datenschutzes zu Nachweiszwecken ist eine wesentliche Forderung der DSGVO. Um dieser Forderung gerecht zu werden, sollten Unternehmen zunächst einmal eine Klassifizierung der zu verarbeitenden Daten im Unternehmen durchführen. Die Daten-Klassifizierung bildet die Basis für weitere Maßnahmen und Prozess-Definition zum Schutz dieser Daten.
Ziel der DSGVo. Was bedeutet dieses für ihr Unternehmen? Ziel ist eine Vollharmonisierung des Datenschutzes in der gesamten Europäischen Union sowie die Stärkung der Rechts- und Marktpositionen europäischer Unternehmen im Verhältnis zum Nicht-EU-Ausland. EU-Unternehmen müssen damit künftig nur noch die Datenschutz-Rechtsgrundlage ihres Staates beachten und müssen keine besonderen Maßnahmen für oder in anderen Ländern der EU ergreifen, da diese per Gesetz absolut gleich sein sollen. Der Anwendungsbereich der DSGVO bezieht sich daher räumlich auf Datenverarbeitungsvorgänge von Unternehmen, die Sitz oder Niederlassung in der EU haben. Die DSGVO geht zudem direkt auf die aktuelle technische Entwicklung ein, ist jedoch weitgehend technikneutral abgefasst. Der Anwendungsbereich der DSGVO bezieht sachlich wie bisher auf Datenverarbeitungsvorgänge und gilt ab dem 25.05.18 für personenbezogene Daten, wenn sie entweder ganz oder teilweise automatisiert erfolgen. Da mittlerweile fast alle Daten elektronisch erfasst werden, umfasst der Anwendungsbereich der DSGVO faktisch alle Datenverarbeitungsvorgänge. Das Recht auf Vergessenwerden, das in der Überschrift des Artikel 17 ausdrücklich so genannt wird, ist eines der zentralen Rechte der DSGVO. Es umfasst einerseits, dass eine betroffene Person das Recht hat, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen. Darüber hinaus muss aber auch der Verarbeiter selbst aktiv die Daten löschen, wenn es keinen Grund mehr für eine Speicherung und Verarbeitung gibt. Andere Gesetze, die den Datenschutz nur am Rande betreffen, z.B. das IT Sicherheitsgesetz – welches die technisch sichere Ausgestaltung der IT-Infrastrukturen betrifft - bleiben von der DSGVO unberührt. In anderen Fällen ergänzt das IT-Sicherheitsgesetz die DSGVO, da zum Beispiel Art. 25 DSGVO den Datenschutz durch Technikgestaltung regelt und damit das Gesetze welches die Datensicherheit betrifft, mit der DSGVO verknüpft.
ZERTIFZIERUNG NACH ISO 27001:2015 - Was bedeutet dieses für ihr Unternehmen? Zertifizierungen spielen zur Absicherung von Datenschutzprozessen in der DSGVO eine sehr große Rolle. Zertifizierungen stellen eine Verbindung z.B. zu den Anforderungen der ISO 27001 her, da auch dort Prozesse dokumentiert und geprüft sowie Risiken analog zum BSI Grundschutz eingeschätzt und mit Maßnahmen belegt werden. Dies ist nach der DSGVO z.B. im Rahmen der Datenschutz-Risikoabschätzung gleichfalls erforderlich. Hier kann für die Dokumentation der Maßnahmen nach der DSGVO auf die Erfahrungen und Tools der ISO-Zertifizierung nach ISO EN 27001:2015 zurückgegriffen werden. Die DSGVO führt einige vollständig neuen Grundprinzipien in die Datenverarbeitung ein bzw. erhärtet einige andere, bereits bestehende. Die Vielzahl der geforderten notwendigen Änderungen der datenschutzrechtlichen Prozesse und die Höhe der angedrohten Strafen bei fehlerhaften Umsetzung lässt Überprüfungen durch die Datenschutzbehörden erwarten, da alle Unternehmen in Europa diesem Standard entsprechen müssen. Die Datenschutzaufsichtsbehörden können künftig durchsetzbare Anordnungen und Bußgelder nicht nur gegen private Datenverarbeiter, sondern auch gegenüber Behörden erlassen, wenn das im nationalen Recht vorgesehen ist. Die Höhe der Bußgelder für Ordnungswidrigkeiten ist nun begrenzt auf • € 20 Millionen • bis zu vier Prozent des weltweiten Jahresumsatzes • die gesamten Gewinne aufgrund des Verstoßes gegen die DSGVO
Welches sind BESONDERS GESCHÜTZTE DATEN - Was bedeutet dieses für ihr Unternehmen? • Persönliche Merkmale, Wohnort, Größe, Gewicht, Augenfarbe, Konfession, ethnische Herkunft, sexuelle Ausrichtung sowie vergleichbare Daten aus dem persönlichen Lebensbereich des Betroffenen, einschließlich Foto, Videos • Gesundheitsdaten Daten, aus denen auf den Gesundheitszustand des Betroffenen geschlossen werden kann; einschließlich Daten aus der Erbringung von Gesundheitsdienstleistungen • Persönliche Vorlieben, Einkaufsverhalten • Informationen bez. Bank und Kreditkarten, Zahlungsverhalten, Bonitätsauskünfte (Schufa, Creditreform) • Fingerabdruckinformation aus Smartphones (z.B. Apple-LogIns) • GPS-Daten, wie Aufenthaltsorte, gesuchte und tatsächliche Fahrtziele, Daten aus ortsbasierten Diensten die Suchmaschinen wie sie z.B. Google erheben • Weltanschauliche Überzeugungen, politische oder persönliche Meinungen, Gewerkschaftszugehörigkeit (z.B. als Information in Bewerbungen) Die Haftung und Recht auf Schadensersatz wird in Art. 82 DSGVO geregelt. Gut informiert werden Sie unter: https://dsgvo-gesetz.de/
Die OHSAS 18001 Norm des Arbeitsschutzmanagementsystems wird zur ISO 45001. Was bedeutet dieses für ihr Unternehmen? Das wichtigste Ziel – die Optimierung von Prozessen in Unternehmen aller Branchen, so dass Gesundheit und Leben von Beschäftigten bestmöglich geschützt werden – wird auch mit der neuen Norm weiterhin gelten. Die wesentlichste Neuerung besteht in der Einführung einer sogenannten High Level Structure mit dem Ziel, für sämtliche Managementsystem-Normen eine einheitliche Struktur anzuwenden. Außerdem wird es einige veränderte Schwerpunkte und eine Reihe ergänzter Inhalte geben. So wird ein stärkerer Fokus auf dem Umfeld des jeweiligen Unternehmens liegen; dies könnte erfordern, dass sich Unternehmen über die eigenen Arbeitnehmer hinaus mit den Arbeitsbedingungen entlang ihrer Wertschöpfungskette auseinandersetzen müssen. Erwartet wird außerdem, dass Unternehmen Chancen für die Verbesserung der Arbeitssicherheit in einem eigenen Prozess identifizieren. Ferner ist damit zu rechnen, dass die Rolle des Top-Managements deutlicher betont wird. Trotzallem wird diese Norm weiterhin wie der BS OHSAS 18001 auf dem „Plan – Do – Check – Act“-Modell beruhen. Unternehmen, deren Arbeits- und Gesundheitsschutzmanagementsystem nach BS OHSAS 18001 zertifiziert ist, sind nach Veröffentlichung der ISO 45001 zur Umstellung auf die neue Norm verpflichtet. Dafür wird es eine Übergangsfrist geben, so dass ausreichend Zeit bleibt, die geänderten Anforderungen erfolgreich umzusetzen. Dies bedeutet zwar Aufwand, doch zertifizierte Unternehmen werden von der Zukunftsorientiertheit der neuen Norm spürbar profitieren – durch weiter optimierte Prozesse des Arbeits- und Gesundheitsschutzes, weniger Störungen der Betriebsabläufe, geringere Unfall- und Krankheitsquoten, gesteigertes Sicherheitsbewusstsein und nachhaltige Wettbewerbsvorteile.
|