2018/4 | Fachbeitrag | IT-Sicherheit

DSGVO-konform dank Dokumentenmanagement: Sechs Tipps zu Datenschutz & Datensicherheit

von Matthias Kunisch, Michael Steiner

Inhaltsübersicht:

Unabhängig davon, ob es sich um Verträge, Prozessdokumentationen oder Personalunterlagen handelt – alle Dokumente, die personenbezogene Daten enthalten, erfordern aus datenschutzrechtlicher Sicht einen besonders sensiblen Umgang. Zunächst einmal legt die DSGVO einige Grundsätze hinsichtlich der Erhebung, Verarbeitung und Speicherung solcher Daten fest. Unternehmen müssen alle aktuellen Prozesse und bestehenden Systeme einer eingehenden Prüfung unterziehen und gegebenenfalls anpassen bzw. neue Prozesse und Systeme gleich unter Einhaltung aller Datenschutzbedingungen etablieren. Die folgenden sechs Tipps helfen Unternehmen dabei, ihr Daten- und Dokumentenmanagement rechtskonform zu gestalten.

1. Richten Sie ein Datenschutzmanagementsystem ein.

Die DSGVO bzw. das neue BDSG enthält strukturierte Anforderungen dazu, wie Datenschutz im Unternehmen aussehen soll. Hierbei ist von „geeigneten technischen und organisatorischen Maßnahmen“ (Art. 5 Abs. 1b DSGVO sowie Art. 25 DSGVO) die Rede, welche die Einhaltung der Datenschutzgrundsätze garantieren sollen, um einerseits Daten vor unrechtmäßiger Verarbeitung, Verlust, Zerstörung oder Beschädigung zu schützen und andererseits die Betroffenenrechte zu wahren. Um diese Anforderungen gewährleisten zu können, müssen Unternehmen ein Datenschutzmanagementsystem einführen, das alle Prozesse und Regelungen, die das Unternehmen zur Einhaltung von Datenschutz und Datensicherheit festlegt, dokumentiert und verwaltbar macht.
An dieser Stelle kann ein modernes Dokumentenmanagementsystem dafür sorgen, dass alle erforderlichen Datenschutzunterlagen vorliegen. Dazu gehören nicht nur Dokumente wie Vertrags- und Personalakten, die direkt personenbezogene Daten enthalten, sondern auch Vorgabe- und Nachweisdokumente, beispielsweise Prozessdokumentationen wie Arbeitsanweisungen oder Einwilligungserklärungen. Entscheidend für die Einhaltung der Datenschutzanforderungen ist dabei stets die Aktualität dieser Dokumente: Arbeiten die betroffenen Mitarbeiter noch im Unternehmen? Sind die Verträge noch gültig? Haben sich unter Umständen Zuständigkeiten geändert? Ein DMS kann die regelmäßige Überprüfung automatisch veranlassen. Für die Durchführung von Zertifizierungsaudits, welche die DSGVO anzustreben empfiehlt, schafft ein DMS zudem die optimale Basis, um die Einhaltung von Datenschutz- und Datensicherheitsbestimmungen gegenüber dem Prüfer nachzuweisen.

2. Gewährleisten Sie die sichere Verfügbarkeit von Daten.

Die Systeme im Unternehmen, die personenbezogene Daten speichern und verarbeiten, müssen zuverlässig betriebsbereit sein, damit ausschließlich der berechtigte Zugriff auf relevante Daten gewährleistet ist. Ein DMS sorgt beispielsweise dafür, dass Mitarbeiter auf die für ihre Arbeit notwendigen Dokumente, wie beispielsweise Kundenverträge, verlässlich zugreifen können.
Auch aus datenschutzrechtlicher Sicht ist die Verfügbarkeit wichtig: Hintergrund sind zum einen die Rechte der Betroffenen, also jener Personen, deren Daten verarbeitet werden. Mitarbeiter, Vertragspartner und Kunden haben ein Informationsrecht, wo das Unternehmen welche Daten über sie vorliegen hat und zu welchem Zweck es sie verwendet. Dank Such- und Filterfunktionen ermöglicht ein DMS den Unternehmen, schnell und einfach den Überblick über die vorhandenen Datenbestände zu behalten und damit auch die Einhaltung datenschutzrechtlicher Vorschriften belegen zu können. Zum anderen müssen laut DGSVO jedwede Vorfälle, bei denen die Sicherheit personenbezogener Daten gefährdet ist, unverzüglich der jeweiligen Datenschutzbehörde anzeigt werden. Die geforderte sorgfältige Dokumentation dieser Vorfälle lässt sich nur dann fristgerecht und unkompliziert erstellen und an die Behörde übermitteln, wenn zuvor alle Prozessschritte der Datenverarbeitung – etwa mit Hilfe eines DMS – festgehalten wurden.

3. Sichern Sie die Vertraulichkeit und Integrität Ihrer Daten.

So wichtig der Zugriff auf personenbezogene Daten ist, um Unternehmens- und Arbeitgeberaufgaben adäquat erfüllen zu können, so unverzichtbar ist es auch, den Zugang zu beschränken, damit die Daten nur für diejenigen verfügbar sind, die sie tatsächlich benötigen (Vertraulichkeit). Auch wer Daten eingibt, verändert oder löscht, muss zum Schutz der Betroffenenrechte und zur Gewährleistung der Datensicherheit nachvollziehbar sein (Integrität).

Dies lässt sich beispielsweise über ein DMS lösen, das alle Versionierungen von Dokumenten protokolliert und erfasst, wer wann welche Änderungen vorgenommen hat. In einem DMS lassen sich daher rollenbasierte Zugriffsberechtigungen für bestimmte Personen oder Personengruppen einrichten. Im Sinne der Vertraulichkeit gehört beispielsweise auch dazu, dass Protokolle der Eingabekontrolle beispielsweise nur zur Gewährleistung von Informationssicherheit und Datenschutz und nicht zur Arbeitszeitkontrolle verwendet werden.

4. Erheben und verarbeiten Sie Daten ausschließlich recht- und zweckmäßig.

Rechtmäßig ist die Erhebung und Verarbeitung personenbezogener Daten nur dann, wenn eine Einwilligung des Betroffenen vorliegt oder ein gesetzlicher Erlaubnis-Tatbestand besteht und die Verarbeitung für die dort bestimmten Zwecke erforderlich ist. Erforderlich ist eine solche Verarbeitung beispielsweise für die Erfüllung eines Vertrags. Entscheidend ist, dass die Datenerhebung und -verarbeitung stets an einen bestimmten Zweck gebunden ist. Damit geht einher, dass Art und Umfang dem Zweck angemessen sein müssen, also Unternehmen nicht mehr Daten verarbeiten, als notwendig ist, um einen bestimmten Zweck zu erfüllen.

Mit einem DMS können Sie durch rechtskonforme Dokumentenvorlagen bzw. durch die Voreinstellung bestimmter Felder dafür sorgen, dass die Datenerhebung dieser Zweckbindung recht- und zweckmäßig entspricht. Indem Unternehmen wirklich nur jene Daten erheben und verarbeiten, die für den Vorgang – zum Beispiel für die Ausgestaltung eines Arbeits- oder Kaufvertrags – relevant sind, können Sie dokumentenbasierte Prozesse nicht nur effizienter steuern, sondern bleiben zudem in Sachen Datenschutz auf der sicheren Seite.

5. Löschen Sie Daten, nachdem diese Ihren Zweck erfüllt haben.

Insbesondere bei Vertragsunterlagen oder Personalakten scheinen die Datenschutzgrundsätze der Zweckbindung und Speicherbegrenzung den gesetzlich geforderten Aufbewahrungsfristen häufig entgegenzuwirken. Tatsächlich stehen aber die Rechte der betroffenen Personen im Vordergrund. Darum dürfen Unternehmen personenbezogene Daten nur so lange speichern, wie sie notwendig sind, um den damit verbundenen Zweck zu erfüllen. Ausnahmen gelten für „im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungs- oder statistische Zwecke“ (Art. 5 Abs. 1b DSGVO). Aber auch dann verlangt die DSGVO „geeignete technische und organisatorische Maßnahmen“ (Art. 89 Abs. 1 DSGVO ), wie etwa die Pseudonymisierung und Verschlüsselung personenbezogener Daten, um die Identität der betroffenen Personen zu schützen.

Mit einem DMS lassen sich entsprechend automatisierte Workflows anlegen, die eine Prüfung der vorliegenden Daten und Dokumente vornehmen. Dadurch lässt sich der Daten- und Dokumentenbestand eines Unternehmens hinsichtlich der noch vorhandenen oder bereits erloschenen Zweckbindung einerseits und anhand von gesetzlichen Aufbewahrungsfristen andererseits aktualisieren. Hat ein Unternehmen beispielsweise eine vakante Stelle besetzt, sind die dafür eingereichten Unterlagen und Daten von Bewerbern zu löschen. Ist ein Vertrag zwar nicht mehr aktiv, muss aber noch für eine bestimmte Zeit zu Revisionszwecken aufbewahrt werden, sollten Unternehmen jene Bestandteile mit personenbezogenen Daten entfernen, die für die Revision nicht von Belang sind.

6. Seien Sie sich bewusst, dass Sie für Datenschutz und Datensicherheit verantwortlich sind.

Grundsätzlich ist jedes Unternehmen, das personenbezogene Daten erhebt, speichert oder nutzt, für die Einhaltung der rechtlichen Vorgaben verantwortlich. Datenschutz und Datensicherheit sind vom Unternehmen selbst sicherzustellen. Das gilt auch dann, wenn Sie beispielsweise einen externen Dienstleister beauftragen oder eine vom Hersteller gehostete Softwarelösung für die Datenverarbeitung – zum Beispiel ein DMS – einsetzen. Neu ist laut DSGVO, dass der Anbieter oder sogenannte Auftragsverarbeiter zusätzlich zum Auftraggeber in der Verantwortung steht. Beiden Seiten drohen im Falle eines Verstoßes gegen die Datenschutzvorschriften Bußgelder von bis zu 20 Millionen Euro bzw. von vier Prozent des weltweit generierten Umsatzes.

Für Unternehmen sollte das gestiegene Strafmaß also Motivation genug sein, um bei der Datenverarbeitung bzw. der Beauftragung selbiger auf die Rechtsvorschriften zu achten –unabhängig davon, ob die Daten auf dem eigenen Server im Keller, auf externen Serverfarmen im In- und Ausland liegen oder in der Cloud gehostet werden. Achten Sie darauf, wen Sie mit der Verarbeitung der Daten beauftragen, und schließen Sie einen entsprechenden Auftragsverarbeitungsvertrag. Die gute Nachricht: Musste ein solcher Vertrag zwischen Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen, also dem Unternehmen, bisher schriftlich vorliegen, genügt laut DSGVO die elektronische Form. Auch hier kann ein DMS dabei unterstützen, dass ein solcher Vertrag aktuell gültig und rechtskonform vorliegt. Natürlich ist auch das Dokumentenmanagementsystem unter Datenschutzaspekten, wie etwa einem rechtskonformen Hosting, nachweisbaren Zertifikaten und entsprechenden Features für Zugriffsregelungen, Fristenkontrollen und Verfügbarkeit, gewissenhaft auszuwählen.

Fazit

Ein Dokumentenmanagementsystem leistet wirkungsvolle Unterstützung für ein rechtskonformes Daten- und Dokumentenmanagement gemäß neuester Gesetzesanforderungen. Das erspart Unternehmen jede Menge Ärger – und im Ernstfall sogar rechtliche Konsequenzen. Die DSGVO verlangt zudem die Bestellung eines Datenschutzbeauftragten – auch wenn Sie bereits einen IT-Sicherheitsbeauftragen haben. Als Unternehmensunabhängiger verantwortet er die Umsetzung und Einhaltung der Verordnung. Noch ein letzter Tipp: Sehen Sie diese Pflicht als Chance, kompetente Unterstützung zu erhalten, um Ihr Datenmanagement für die Zukunft auf ein rechtssicheres Fundament zu stellen.

Diese Artikel könnten Sie auch interessieren

7 Praxis-Tipps: So vermeiden Sie Schatten-IT in Ihrer Team-Kommunikation

Lahmgelegte Systeme und kritische Datenlecks: Pro Tag registriert das Bundesamt für Sicherheit (BSI) 320.000 neue Schadprogramme, wie sein im September 2020 veröffentlichter Lagebericht zur IT-Sicherheit in Deutschland offenbart. Die beunruhigenden Zahlen zeigen nicht nur, dass Cyber-Kriminalität eine zunehmende Bedrohung darstellt, sondern auch, wie wichtig es ist, (potenzielle) Sicherheitslücken...

Weiterlesen

Veränderung als Chance nutzen!

Die heutige Arbeitswelt ist dynamischer als je zuvor! Sie verlangt von Organisationen, sich ständig zu hinterfragen und ihre Abläufe zu verbessern. Kleinere und größere Change-Prozesse sind daher allgegenwärtig und aus dem Unternehmensalltag nicht mehr wegzudenken. Um Veränderungen rasch und effektiv umzusetzen, ist eine transparente Kommunikation einer der wichtigsten Grundpfeiler. Nur wenn all...

Weiterlesen

Digitalisiert & vernetzt: Daten im (Work-)Flow

Daten gelten als Gold des 21. Jahrhunderts. Sie haben sich als vierter Produktionsfaktor neben Boden, Arbeit und Kapital fest etabliert. In vielen Organisationen tragen sie - als elementarer Wissensbaustein - mittlerweile sogar mit mehr als 60 Prozent zur Wertschöpfung bei. Doch trotz ihrer wachsenden Bedeutung für die Wettbewerbsfähigkeit werden Daten in vielen Organisationen nach wie vor vernachlässig...

Weiterlesen

Die E-Rechnung kommt! Fristen, Hintergründe & Chancen

Deutschland rückt dem Ziel einer standardisierten digitalen Arbeitswelt ein wichtiges Stück näher. Denn die letzte Frist für die Umsetzung der E-Rechnungsverordnung (ERechV) steht kurz bevor: Ab dem 27. November 2020 dürfen öffentliche Auftraggeber - bis auf wenige Ausnahmen - nur noch sogenannte E-Rechnungen annehmen. Für manche Dienstleister ist die Umstellungspflicht ein alter Hut. Doch für...

Weiterlesen

Suchen Sie noch oder finden Sie schon?

WISSENplus
Ein Großteil der Arbeitszeit wird damit verbracht, wichtige Informationen und bereits erarbeitete Unterlagen oder Lösungen zu suchen. Häufig werden die gewünschten Inhalte jedoch auch nach längerem Durchstöbern der Fileserver nicht gefunden. Meist liegt die erfolglose Suche an der dezentral organisierten und unstrukturierten Ablage....

Weiterlesen

In the Loop: Input & Output Management verknüpfen

WISSENplus
In der Kommunikation gilt: Des einen Input ist des anderen Output - und umgekehrt. Im Sinne eines ganzheitlichen Informationsmanagements sollten daher dokumentenbasierte Prozesse als "Closed Loop" technisch und organisatorisch verknüpft sein....

Weiterlesen

IT-Sicherheit - auch im Homeoffice

Fernarbeit ist bei LogMeIn nicht erst seit Corona an der Tagesordnung. Die Sicherheitskultur des SaaS-Anbieters ist entsprechend hoch, das Konzept ist auch auf Mitarbeiter im Home Office oder auf Reisen ausgelegt. Es lässt sich auf jedes Unternehmen, ob klein, mittelständisch oder Konzern übertragen, denn aktuell benötigt es neben einer sicheren IT-Infrastruktur und Zugriffsrechten auch die passende Si...

Weiterlesen

Drei Szenarien für das Digital Office

WISSENplus
Gerade zu Beginn der Corona-Krise gab es eine hohe Nachfrage nach cloudbasierten Digital-Office-Lösungen. Denn der Großteil an Unternehmen musste aus der Not heraus schnell neue Arbeits- und Kommunikationsweisen etablieren. Laut einer Sonderauswertung des Bitkom-ifo-Digitalindexes arbeiteten im April diesen Jahres 75 Prozent aller Unternehmen von zu Hause aus - in der Informations- und Kommunikatio...

Weiterlesen