Qualitätsmanagement (QM) wird von so manchem Manager als Belastung empfunden. Das ist schade, denn – richtig eingesetzt – ist das Qualitätsmanagement strukturgebende Kraft und zugleich Legislative der Organisation. Es gibt Mitarbeiter:innen Orientierung und fördert das effektive Zusammenarbeiten im Unternehmen. Schon allein aus diesem Grund ist es für jedes Unternehmen sinnvoll, sich mit Methoden des Qualitätsmanagements auseinanderzusetzen und die jeweils passenden Methoden umzusetzen.
Wichtiges Thema sind Regeln für die strukturierte Ablage von Informationen. Diese sind von autorisierter Stelle festzulegen, in den Datenverwaltungssystemen abzubilden und in Einklang mit der Datenschutzgrundverordnung (DSGVO) sowie eigenen Datenrichtlinien den Nutzern zur Verfügung zu stellen. Und so geht’s:
Schritt 1 – Stellen Sie Anforderungen an die Datenablage zusammen
Die Anforderungen an die Struktur der Datenablage ist mit dem Zweck und der Strategie Ihres Unternehmens verbunden. Grundsätzlich gilt: (1) nicht nur Sie, sondern auch Partner und Mitarbeiterinnen müssen sich in der Struktur zurechtfinden. Daher müssen Informationen so gebündelt werden, dass sich möglichst viele Personen leicht zurechtfinden. (2) Informationen haben einen unterschiedlichen Schutzbedarf. Denken Sie an die Umsetzung der Datenschutzgrundverordnung oder an Daten, die Sie lieber nicht mit anderen teilen möchten. Und (3) Informationen sollten schnell zu finden sein. Viele Ordner auf einer Eben oder tiefe Verschachtelungen erhöhen den Suchaufwand und das Risiko von Dubletten.
Vielleicht fällt Ihnen noch mehr ein. Mindestens jedoch sollten Sie folgende Fragen beantworten:
- In welche Kategorien lassen sich die Daten einteilen?
- Gibt es besonderen Schutzbedarf für die Daten?
- Wer muss auf die Daten zugreifen können?
- Wer darf die Daten nicht einsehen?
Schritt 2 – Ordnen Sie Ihre Daten nach Kategorie und Schutzbedarf
In diesem Abschnitt finden Sie einen Vorschlag, wie Daten kategorisiert und unter Berücksichtigung von Informationsschutz–klassen eingeteilt werden könnten. Daraus lässt sich im nächsten Schritt ein erster Entwurf für die Datenablage ableiten:
Handelt es sich bei den Daten um Stammdaten des Unternehmens?
Stammdaten des Unternehmens sind Daten, die selten benötigt werden und einen sehr hohen Informationsschutzbedarf haben. Zu ihnen gehören sämtliche Bescheide, Genehmigungen und Verträge, die für den gewöhnlichen Betrieb erforderlich sind. Diese Daten sollten in einem eigenen Ordner abgelegt sein, zu dem nur ein kleiner Personenkreis Zugang hat.
Handelt es sich um Finanzdaten?
Daten zu Budget und Buchhaltung, Informationen über Stundensätze oder Gemeinkosten, Bankgeschäfte, Versicherungsabschlüsse und Mietverträge, sowie Steuerbescheide und gesetzliche Vorgaben zu Sozialversicherung von Arbeitnehmerinnen sind Daten mit sehr hohem Informationsschutzbedarf. Diese Daten gehören ebenfalls in einen separaten Ordner, der vor unbefugtem Zugriff durch geeignete Maßnahmen besonders geschützt wird.
Handelt es sich um personenbezogene Daten?
Personenbezogenen Daten unterliegen gesetzlichen Bestimmungen zur Speicherung, Verarbeitung und Vernichtung. Daten wie Name und Wohnort, Sozialversicherungsnummer, Krankenkasse und Bankverbindung sind sensible Daten und müssen strikt vor unbefugtem Zugriff geschützt werden. Das gilt auch für Arbeitsverträge, Abwesenheitsnachweise, Berichte zur Arbeitssicherheit, Gehaltsabrechnungen und Stellenbeschreibungen.
Handelt es sich um kundenspezifische Daten?
Kundenspezifische Daten sind Stammdaten von Unternehmen und umfassen mindestens Kundennummer, Adresse und Bankverbindung, manchmal aber auch Vereinbarungen über Preise und Konditionen, sowie Kontaktinformationen der Ansprechpartner. Diese Daten haben einen mittlerem Informationsschutzbedarf. Zur verwaltung von Kundendaten bietet sich ein Kunden-Hauptordner mit alphabetisch gelisteten Kundenordnern an.
Handelt es sich um projektspezifische Daten?
Projektspezifische Daten umfassen sämtliche Daten, die mit der Anbahnung, der Durchführung und dem Abschluss des Projekts verbunden sind. Diese Daten müssen oft und auch mehreren Mitwirkenden zur Verfügung stehen. Projektspezifische Daten haben einen mittleren Informationsschutzbedarf. Wichtig ist hier, dass nur jene Personen Zugriff auf Projektordner haben, die tatsächlich mit der Abarbeitung des Auftrags befasst sind.
Handelt es sich um IT-bezogene Daten?
IT-bezogene Daten sind Informationen zu IT – Infrastruktur, IT-Dienstleistern und Software Lizenzen. Der Schutzbedarf dieser Daten ist eher hoch. Der Zugriff auf diese Daten sollte einigen wenigen Spezialisten vorbehalten bleiben. Neben der Ablage der vollständigen Vertragsunterlagen empfiehlt sich hier die Aufarbeitung der Daten in der Art, als dass ein Fristenmanagement ermöglicht wird.
Handelt es sich um QM Daten?
Ein QM System enthält Daten und Informationen, die ihre Wirkung über ganze Organisationseinheiten entfalten und verbindlichen Charakter haben. Der Schutzbedarf der Informationen ist bis auf wenige Ausnahmen gering. Im QM System liegen Verhaltens- und Verfahrensanweisungen, Handbücher, Prozessdokumentationen, Vorlagen, Nachweise, Organigramme und Produktinformationen. In kleinen Unternehmen werden auch Daten über Zulieferer und Zuliefererverträge oder auch Ergebnisse aus Risikoanalysen und Umfragen abgelegt. Ein QM System kommuniziert von der verantwortlichen Stelle in die Organisation. Leserechte für Nutzer des QM Systems sind in der Regel ausreichend.
Schritt 3 – Bilden Sie die Kategorien auf Ihrer Datenbank, im Filesystem oder im klassischen Archiv ab
Haben Sie die für Ihr Unternehmen beste Datenstruktur gefunden, dann erstellen Sie die entsprechenden Ordner und Unterordner in Ihrer Datenbank oder im Filesystem. Achten Sie darauf, dass nicht mehr als sieben bis neun Ordner in einer Ebene liegen (außer bei alphabetischen Aufzählungen), und versuchen Sie, die Tiefe der Datenablage auf drei Ebenen zu beschränken.
Manchmal ist es erforderlich, dass Papierkopien aufbewahrt werden müssen. Folgen Sie in der Strukturierung der Papierablage eben jener Logik, die Sie in der digitalen Umgebung nutzen vice versa. Es hat sich zudem bewährt, auf den Innenseiten der Ordner die Inhalte des Ordners zu vermerken.
Für das Beispiel im Text ergibt sich folgende Struktur der digitalen Ablage:
01_Firma 02_Finanzielles 03_Personal 04_Kunden 05_Projekte 06_IT_und_Software 07_QM 08_Miscellaneous
Die oberste Ebene der Datenablage bietet Platz für sämtliche Daten des Beispielunternehmens. Die darunter liegenden Ebenen beginnen mit der Zahl des Mutterordners und bilden die im Text beschriebenen Sub-Kategorien ab.
01_Firma
11_Bescheide
12_Genehmigungen
13_Verträge
02_Finanzielles
21_Budget
22_Controlling
23_...
Schritt 4 – Einrichten der Zugriffsrechte
Auf die so entstandene Struktur müssen Zugriffsrechte vergeben werden. In den IT-System sind Klassen für Zugriffsrechte normalerweise vorkonfiguriert. Man unterscheidet mindestens Lesen, Lesen & Schreiben, Lesen, Schreiben & Löschen sowie Lesen, Schreiben, Löschen & Teilen. In manchen IT Systemen lassen sich zusätzliche Einschränkungen umsetzen. So kann verhindert werden, dass Daten kopiert, heruntergeladen oder vernichtet werden.
Zugriffsrechte lassen sich effizient verwalten, wenn zunächst Gruppen definiert und diesen dann Mitarbeiter:innen zugeordnet werden. Übernimmt eine Mitarbeiter:in im Laufe der zeit mehr Verantwortung, erfolgt die Zuordnung in die entsprechenden Gruppen und alle Zugriffsrechte sind vergeben. Umgekehrt werden alle Zugriffsrechte effektiv entzogen, wenn Mitarbeiter:innen das Unternehmen verlassen.
Das Einführen von Gruppen im Access Rights Management (ARM) mag in kleinen Unternehmen nicht sinnvoll sein, aber bereits ab Unternehmen mit 15 Personen lohnt sich der Umweg über Gruppen. Sinnvoll ist zudem die penible Dokumentation der Datenlogik, der Zugriffsrechte und wann diese von wem geändert wurden. So lassen sich leicht Datenlecks erkennen und schließen.
Schlusswort
Das Entwickeln der Logik für Ablage und Zugriffsrechte in Einklang mit der Aufbauorganisation von Unternehmen gehört zu den Kernkompetenzen der Sinamono e.U. – Dr. Kuske Interim & Consulting. Wir bringen schnell die notwendige Ordnung in jede Datenablage. Wenn auch Ihr Unternehmen bei dieser wirklich wichtigen Aufgabe Unterstützung benötigt, dann melden Sie sich gern. Wir unterstützen Sie unkompliziert und rasch!
Rückfragen gern an sybille.kuske@sinamono.at. Ich freue mich auf Ihre Anfrage!