DMS Datenschutz

Datenschutz ist ein allgegenwärtiges Thema. Wie ein DMS für mehr Datenschutz sorgt, erfahren Sie hier.

Im Mai 2018 trat die sogenannte Datenschutzgrundverordnung - kurz DSGVO - in Kraft. Seit diesem Zeitpunkt ist viel passiert. So wurden auch die ersten Strafen aufgrund von Verstößen verhängt. Besonders, wenn ein Unternehmen mit personenbezogenen Daten arbeitet, müssen besondere Vorkehrungen getroffen werden, um diese zu schützen.

Lesen Sie mehr über DMS-Datenschutz

Dabei geht es nicht nur darum, dass man sich als Unternehmen vor Strafen schützen möchte, die unter Umständen im Rahmen einer Kontrolle durch externe Datenschutzbeauftragte verhängt werden könnten. Auch geht es darum, sicherzustellen, dass die Daten nicht für Dritte zugänglich sind und so an die Außenwelt gelangen könnten.

Ein Skandal bzw. ein Datenschutzleck kann dem Image eines Unternehmens nachhaltig schädigen. Aus diesem Grund wollen wir uns an dieser Stelle näher mit dem Thema Datenschutz befassen.

Was ist ein DMS?

Konkret soll um Datenschutz im Bereich des Dokumentenmanagements gehen. Viele Unternehmen nutzen sogenannte Dokumentenmanagement Systeme - kurz DMS - um Dokumente unterschiedlicher Formate zentral zu verwalten.

So ist die Implementierung eines DMS ein wichtiger Schritt in Richtung ganzheitlicher Digitalisierung und bietet dem Unternehmen zudem eine höhere Effizienz im Bereich sämtlicher Prozesse des Dokumentenmanagements.

DMS und der Datenschutz

In vielen Fällen sind es jedoch gerade diese Dokumente, welche die berüchtigten „personenbezogenen Daten“ enthalten. Auf den ersten Blick mag ein DMS, in dem alle Dokumente zentral verwaltet und gespeichert werden, also wie ein einziges, gravierendes Sicherheitsrisiko scheinen.

Zwar stimmt es, dass es durch den zentralen Aspekt umso wichtiger ist, das System und somit die darin gespeicherten Daten adäquat zu sichern. Doch das DMS selbst kann Unternehmen auch viel datenschutzrechtliche Arbeit abnehmen.

Über welche Funktionalitäten ein Dokumentenmanagement System dies im Detail macht, soll im Folgenden näher thematisiert werden. Zunächst sollte jedoch erläutert werden, auf welche Daten sich die Datenschutzgrundverordnung konkret bezieht und welche Auflagen sie an Unternehmen im Bereich des Datenschutzes hat.

DSGVO – Was steht drin?

Die Datenschutzgrundverordnung ist maßgebend für die seit Mai 2018 geltenden Datenschutzrichtlinien in der Europäischen Union.

Sie setzt sich aus unter anderem aus Allgemeinen Bestimmungen und Grundsätzen zusammen, thematisiert jedoch auch Bereiche wie die Übermittlung personenbezogener Daten an Drittländer bzw. internationale Organisationen oder die Rechte der betroffenen Person.

Personenbezogene Daten und die Auskunftspflicht

Im Detail bedeutet dies für Unternehmen, dass sie jederzeit dazu in der Lage sein müssen, der betroffenen Person - der Person, deren Daten erhoben werden - Auskunft darüber zu geben, wofür ihre Daten verwendet werden.

Dies geht mit Dokumentierungsanforderungen einher. Auch müssen gesetzliche Löschfristen dieser Daten seitens des Unternehmens eingehalten werden, welche im Folgenden näher thematisiert werden.

Gesetzliche Löschfristen im DMS

Unternehmen müssen sicherstellen, dass erhobene Daten, wenn sie nicht mehr benötigt werden bzw. nach Verstreichen gesetzlich geregelter Fristen, gelöscht werden. Dies ist auch der Fall, wenn die betroffene Person von ihrem Widerrufsrecht gebraucht macht. Auch, wenn sie ursprünglich der Datenerhebung eingewilligt hat, kann sie sich jederzeit dazu entschließen, diese Entscheidung zu revidieren.

Hier gilt es, die erhobenen Daten umgehend – das heißt ohne unsachgemäße Verzögerung – von den Servern zu entfernen. Dies kann sich durchaus als kompliziert erweisen, wenn mehrere Kopien desselben Datensatzes an unterschiedlichen Stellen gespeichert sind.

DMS hilft bei der Einhaltung der Löschfirsten

An dieser Stelle kann ein DMS Abhilfe schaffen. Zunächst sollte das Dokumentenmanagement System in jedem Fall über entsprechende Schnittstellen in die IT-Infrastruktur des Unternehmens sein, um Datensilos zu vermeiden. Zudem lassen sich im System selbst meist automatisierte Löschvorgänge einrichten.

Die Relevanz von Schnittstellen

Besteht eine Schnittstelle zum CRM System, kann jederzeit eingesehen werden, welche betroffene Person die Löschung ihrer Daten wünscht und wie es sich um den Status des Löschungsprozesses verhält. Automatisierte Dringlichkeitserinnerung helfen bei der Einhaltung der Löschfristen.

DSGVO und Dokumentationsanforderungen

Doch auch bei oben genannten Dokumentationsanforderungen in Bezug auf die in der DSGVO definierte Auskunftspflicht seitens des Unternehmens kann ein DMS behilflich sein. Es sorgt dafür, dass alle vom Unternehmen ergriffenen datenschutzrechtlichen Maßnahmen und Prozesse dokumentiert und verwaltet werden.

Dokumentationsanforderungen im DMS

Durch den Einsatz eines DMS hat ein Unternehmen im Wesentlichen zwei Fliegen mit einer Klappe geschlagen.

TOM: Technische und organisatorische Maßnahmen

Zum einen erleichtert es sich selbst die Arbeit, indem das System den Dokumentierungsprozess weitestgehend automatisiert durchführt und eine manuelle Nachbearbeitung nur selten notwendig wird.

Zum anderen erfüllt ein geeignetes DMS die sogenannten „technischen und organisatorischen Maßnahmen“, die Unternehmen nach DSGVO ergreifen müssen, um den Schutz ihrer Kundendaten zu gewährleisten.

Zugriffsberechtigungen im DMS

Viele werden die Begriffe Zugriffsberechtigungen und Rollenvergabe bereits aus dem eigenen Arbeitsalltag kennen. Jedes Unternehmen, welches in irgendeiner Form Unternehmenssoftware nutzt, muss sich damit auseinander setzen, welcher Mitarbeiter bzw. Systemanwender Zugriff auf welche Daten haben sollte.

Spätestens, wenn das Unternehmen nicht mehr zu den Kleinstunternehmen mit weniger als 10 Mitarbeitern zählt, sollte nicht mehr jeder Mitarbeiter Zugriff auf alle Daten und Funktionen des Systems hab. Dies hat zum einen ganz praktische Gründe: Wird nur ein kleiner Teil benötigt, ist es deutlich schwerer, diesen in einem komplexen, weitläufigen DMS, welches diverse Abteilungen abdeckt, zu finden.

Rollenvergabe auch für Unternehmen von Vorteil

Allein aus Gründen der Übersichtlichkeit und Nutzerfreundlichkeit sollte also der Zugriff zu Bereichen, welche nicht zwangsläufig zur Arbeitsausführung benötigt werden, eingeschränkt werden. Doch auch im Bereich des Datenschutzes helfen Zugriffberechtigungen.

So wird beispielsweise durch die zugewiesene Rolle eines Mitarbeiters definiert, ob dieser die Berechtigung hat, bestimmte Datensätze zu exportieren. Auf diese Weise wird sichergestellt, dass Daten nicht unbeabsichtigt in die falschen Hände geraten.

Verschlüsselung und verschlüsselter Datentransfer

Die Verschlüsselung sensibler Daten ist ein weitere Möglichkeit, Daten vor dem Zugriff Dritter zu schützen, die sich Unternehmen in jedem Fall zu Nutze machen sollten.

E2EE: End-to-end encryption

Eine gängige Verschlüsselungsart während der Datenübertragung, die vermutlich einigen Lesern geläufig sein wird, ist die sogenannte end-to-end encryption (kurz E2EE). Auf diese Weise sind die Daten während des gesamten Übertragungsprozesses verschlüsselt und nur Sender und Empfänger bekannt.

Lokale Datenspeicherung vs. Cloud DMS

Wer die Implementierung eines DMS in Betracht zieht, stellt sich früher oder später die Frage, ob eine lokale Datenspeicherung auf eigenen Servern oder eine Cloud Lösung die bessere Alternative wäre. Tatsächlich stehen nach wie vor aus datenschutzrechtlichen Bedenken noch einige Unternehmen skeptisch gegenüber der Nutzung cloudbasierter DMS.

Dennoch bieten Cloud Lösungen viele Vorteile, die andere Unternehmen nicht missen möchten. In jedem Fall sollten Sie sich vor der Einführung einer Cloud Lösung über die für den Anbieter geltenden Datenschutzrichtlinien informieren, da diese außerhalb der Europäischen Union nicht mit denen der DSGVO übereinstimmen.

Bei einer lokalen Datenspeicherung liegt ein ordnungsgemäßer Datenschutz in eigener Verantwortung. So muss auch für den Schutz der Server selbst gesorgt werden.

Unabhängig von der Installationsart des DMS sollten regelmäßige Backups durchgeführt werden, um im Ernstfall über Sicherheitskopien der Datensätze zu verfügen. Mittels DMS lässt sich dieser Prozess meist weitestgehend automatisieren.

Fazit: DMS unterstützt rechtskonforme Datenhandhabung

Zusammenfassend kann ein korrekt genutztes DMS den Datenschutz personenbezogener Daten innerhalb des Unternehmens nicht nur erhöhen, sondern auch erleichtern.

So wird potenziellen Verstößen gegen die DSGVO vorgebeugt und sensible Daten sind adäquat geschützt. Zudem sind Unternehmen durch die Nutzung eines DMS in der Lage, die rechtskonforme Handhabung personenbezogener Daten jederzeit nachzuweisen.