3 Bereiche, in denen ein DMS-DSGVO-Konformität gewährleistet

Es ist das Thema der letzten Jahre - die Datenschutzgrundverordnung. Doch wie erfüllt ein DMS diese Vorgaben?

Man hört es dieser Tage immer häufiger – Strafen und Bußgelder wegen Verstößen gegen die Datenschutzgrundverordnung in teils empfindlicher Höhe, und das europaweit. Bereits seit Mai 2018 ist die DSGVO in allen EU-Mitgliedsstaaten in Kraft, seit Mitte 2019 liest man vermehrt von verhängten Bußgeldern.

Die Schonfrist ist vorbei, was vor allem die British Airways, Google oder auch die Deutsche Wohnen schmerzhaft zu spüren bekommen haben. Sie durften allesamt gleich mehrere Millionen Euro an die jeweiligen Datenschutzbehörden abdrücken. 

Sensible Daten müssen geschützt sein

Nun mag man sich fragen, was der Datenschutz überhaupt mit Softwareprogrammen wie beispielsweise einem DMS zu tun hat. Letztlich steckt hier die Antwort in der Frage. Ein Dokumentenmanagementsystem sorgt für eben jenes, die Verwaltung und das Management der im Unternehmen umherlaufenden Dokumente. Da diese teils personenbezogene und sensible Daten enthalten können, sollten derartige Systeme den Vorgaben der DSGVO schon entsprechen können. 

Und genau das tuen moderne DMS-Lösungen auch. Sie helfen Unternehmen dabei die Richtlinien einzuhalten und geben ihnen somit letztlich die Sicherheit, die sie für den alltäglichen Geschäftsbetrieb so dringend benötigen. Um verstehen zu können, wie genau DMS-Lösungen die DSGVO umsetzen, lohnt ein Blick auf die Funktionsweise solcher Lösungen.

Was ist ein DMS?  - Eine Definition

Dokumentenmanagementsysteme (DMS) sind Softwarelösungen, die zur Verwaltung, Organisation, Archivierung und Administration von sämtlichen, in einem Unternehmen umherlaufenden Dokumenten, eingesetzt werden. Dabei werden alle Dokumente auf einer zentralen Datenbank gespeichert und allen zugangsberechtigten Mitarbeitern zur Verfügung gestellt. Somit arbeiten alle Stellen mit demselben validen Dokument und es gibt keine vielfachen exklusiven Versionen eines Dokumentes mehr, was grundsätzlich schon einmal die alltägliche Arbeit massiv vereinfacht. 

Viele Bereiche profitieren vom DMS

Jedes Dokument wird zudem mit entsprechenden Metadaten versehen und in einer entsprechenden Ordnerstruktur archiviert. So werden alle Dokumente durch spezielle Suchfunktionen einfach und schnell auffindbar für jeden der danach sucht. Doch DMS-Lösungen leisten weit mehr als das. Es lassen sich beispielsweise Workflows erstellen, die dafür sorgen, dass Dokumente schneller bearbeitet werden und ein Prozess deutlich verschlankt wird.

Automatisierungen werden möglich

An dieser Stelle treten auch vermehrt diverse Automatisierungen auf dem Plan, die durch das DMS vorgenommen werden. Beispielsweise können E-Mails automatisch erkannt und an die richtige Stelle weitergeleitet werden, während etwaige Anhänge ebenfalls ausgewertet und entsprechend in Workflows bzw. in die Archivierung überführt werden. 

Datenschutz muss gewährleistet sein

Bei all diesen Vorgängen muss zu jedem Zeitpunkt gewährleistet werden, dass die rechtlichen Vorgaben bezogen auf die DSGVO, aber auch gemäß anderen Richtlinien, wie beispielsweise gewissen Aufbewahrungs- und Löschfristen, eingehalten werden. Doch was genau verlangt die DSGVO eigentlich von den Unternehmen? 

Was steht eigentlich in der DSGVO?

Im Mai 2018 trat die sogenannte Datenschutzgrundversordnung (DSGVO) in allen EU-Mitgliedsstaaten in Kraft. Anders als die vorherige Richtline 95/46/EG musste die DSGVO nicht erst noch in nationales Recht umgesetzt werden, sondern galt fortan flächendeckend für alle Mitglieder und dem entsprechend auch für alle Unternehmen innerhalb der EU. 

Doch muss die DSGVO in einigen Staaten noch in Einklang mit dem national geltenden Recht auf freie Meinungsäußerung und Informationsfreiheit gebracht werden, wofür die Verordnung an manchen Stellen einigen Spielraum vorsieht. Dabei darf jedoch der Datenschutz weder abgeschwächt, noch verstärkt werden. 

Recht auf Vergessenwerden

Die Datenschutzgrundverordnung sieht gleich eine ganze Palette von verschiedensten Maßnahmen zum Schutz von personenbezogenen Daten vor. Eine dieser Maßnahmen beschreibt das Recht auf das Vergessenwerden. Unternehmen, oder auch Vereine und andere intentionelle Einrichtungen, müssen dafür Sorge tragen, dass personenbezogene Daten, die intern gespeichert wurden zuverlässig und vor allem fristgerecht gelöscht werden. Dazu müssen sie über entsprechende Löschwerkzeuge verfügen, die dies garantieren. Zudem hat die betroffene Person das Recht, vom Unternehmen zu verlangen, seine Daten unverzüglich zu löschen. 

Recht auf Datenübertragbarkeit

Ebenso enthält die DSGVO Vorgaben zum Recht der Betroffenen auf Berichtigung der Daten, auf Einschränkungen bei der Verarbeitung dieser und auch auf Datenübertragbarkeit. So hat die betroffene Person das Recht, die ihn betreffenden Daten, vom Unternehmen ausgehändigt zu bekommen, damit diese einsehen kann, über welche Daten das Unternehmen überhaupt verfügt. Ebenso kann sie die Datenübertragung an einen anderen Verantwortlichen verlangen, was aber nicht gleichsam zur Löschung der Daten bei dem eigentlichen Verantwortlichen führen muss. 

Verarbeitung personenbezogener Daten

Mit der DSGVO hat man die bereits bestehende Richtlinie 95/46/EG weiter präzisiert und an einigen Stellen ausgeweitet. Gerade im Bereich der Datenverarbeitung hat man nochmals weitreichende Regelungen getroffen, die in aller erster Linie eine entsprechende Einwilligung der Person zur Verarbeitung seiner Daten vorsehen. Zudem sieht die DSGVO sieben Grundsätze bei der Verarbeitung der personenbezogenen Daten vor:

• Die Rechtmäßigkeit der Verarbeitung
• Die Zweckmäßigkeit der Verarbeitung
• Das Prinzip der Datenminimierung
• Die Korrektheit der Daten
• Das Prinzip der Speicherbegrenzung
• Das Prinzip der Integrität und Vertraulichkeit
• Rechenschaftspflicht der Verantwortlichen

Es gilt für Unternehmen also sicherzustellen, dass all diese Grundsätze in Bezug auf die Verarbeitung von personenbezogenen Daten, eingehalten werden. Die technische Umsetzung all dieser Prinzipen stellt für viele eine große Herausforderung dar, weshalb DMS-Lösungen vermehrt auch an dieser Stelle ansetzen und unterstützen. 

DMS-Lösungen helfen bei der Umsetzung

Mit vielen verschiedenen Funktionen werden Unternehmen bei der Einhaltung aller Regelungen durch das DMS unterstützt und können in ihrer täglichen Arbeit ein Stück Sicherheit im Umgang mit personenbezogenen Daten zurückgewinnen. So lassen sich beispielsweise Löschungen von personenbezogenen Daten fristgerecht über das DMS regeln, sodass die Anwender nicht ständig an derartig Fristen denken müssen.

Das DMS kann einfach eine entsprechende Erinnerung geben, welche Daten und Dokumente sich der Löschfrist nähern und die Löschung dann auch final umsetzen. 

Zugangsrechte helfen beim Datenschutz

Auch können weitere Einstellungen zum Schutz der Daten mit dem DMS vorgenommen werden, etwa bei der Zugangsberechtigung für Mitarbeiter im Unternehmen. Nicht jeder Mitarbeiter muss auch zwangsläufig alle Daten einsehen können, weshalb ein DMS unterschiedliche Zugangsrechte für Mitarbeiter vorsieht.

Beantragt eine betroffene Person die Löschung seiner Daten, so wird auch diese entsprechend über das DMS verarbeitet, sodass letztlich dafür Sorge getragen wird, dass dem Wunsch entsprochen wird. Wird beispielsweise eine derartig beantragte Löschung ignoriert oder geht im Geschäftsalltag unter, kann dies zu teil empfindlichen Strafen seitens der Datenschutzbehörden führen.