Im Mai 2018 trat die sogenannte Datenschutzgrundverordnung - kurz DSGVO - in Kraft. Seit diesem Zeitpunkt ist viel passiert. So wurden auch die ersten Strafen aufgrund von Verstößen verhängt. Besonders, wenn ein Unternehmen mit personenbezogenen Daten arbeitet, müssen besondere Vorkehrungen getroffen werden, um diese zu schützen.
Zugangs- und Vergaberechte im DMS erfüllen eine wichtige Aufgabe. Hier erfahren Sie mehr Datenschutz im DMS.
Es ist das Thema der letzten Jahre - die Datenschutzgrundverordnung. Doch wie erfüllt ein DMS diese Vorgaben?
Regelmäßige Daten-Backups sind aus mehreren Gründen wichtig. Warum, erfahren Sie hier.
Ein verschlüsselter Datentransfer der DMS-Daten ist in Zeiten der DSGVO unabdingbar. Näheres erfahren Sie hier.
Wie steht es um den Datenschutz bei Cloud-basierten Dokumentenmanagementsystemen? Die Antwort erfahren Sie hier.
Lokale DMS Lösungen werden häufig als sicherer empfunden. Wie es sich tatsächlich um den Datenschutz verhält, erfahren Sie hier.
Löschfristen sind ein wichtiger Bestandteil der DSGVO. Wie ein DMS Unternehmen bei der DSGVO-Konformität unterstützt, erfahren Sie hier.
Ein DMS kann Unternehmen maßgeblich bei der Erfüllung der Dokumentationspflicht unterstützen. Wie, erfahren Sie hier.
DSGVO-Verstöße können ein folgenschweres Nachspiel haben. Erfahren Sie hier, wie ein DMS Sie vor Verstößen bewahren kann.
Die Sicherheit der Datenbank ist maßgeblich für einen ausreichenden Datenschutz im DMS. Hier erfahren Sie mehr.
Erfahren Sie, warum Sicherheit in der DMS Oberfläche so wichtig ist.
Wie sicher sind mobile DMS Lösungen? Die Antwort finden Sie hier.
Dabei geht es nicht nur darum, dass man sich als Unternehmen vor Strafen schützen möchte, die unter Umständen im Rahmen einer Kontrolle durch externe Datenschutzbeauftragte verhängt werden könnten. Auch geht es darum, sicherzustellen, dass die Daten nicht für Dritte zugänglich sind und so an die Außenwelt gelangen könnten.
Ein Skandal bzw. ein Datenschutzleck kann dem Image eines Unternehmens nachhaltig schädigen. Aus diesem Grund wollen wir uns an dieser Stelle näher mit dem Thema Datenschutz befassen.
Konkret soll um Datenschutz im Bereich des Dokumentenmanagements gehen. Viele Unternehmen nutzen sogenannte Dokumentenmanagement Systeme - kurz DMS - um Dokumente unterschiedlicher Formate zentral zu verwalten.
So ist die Implementierung eines DMS ein wichtiger Schritt in Richtung ganzheitlicher Digitalisierung und bietet dem Unternehmen zudem eine höhere Effizienz im Bereich sämtlicher Prozesse des Dokumentenmanagements.
In vielen Fällen sind es jedoch gerade diese Dokumente, welche die berüchtigten „personenbezogenen Daten“ enthalten. Auf den ersten Blick mag ein DMS, in dem alle Dokumente zentral verwaltet und gespeichert werden, also wie ein einziges, gravierendes Sicherheitsrisiko scheinen.
Zwar stimmt es, dass es durch den zentralen Aspekt umso wichtiger ist, das System und somit die darin gespeicherten Daten adäquat zu sichern. Doch das DMS selbst kann Unternehmen auch viel datenschutzrechtliche Arbeit abnehmen.
Über welche Funktionalitäten ein Dokumentenmanagement System dies im Detail macht, soll im Folgenden näher thematisiert werden. Zunächst sollte jedoch erläutert werden, auf welche Daten sich die Datenschutzgrundverordnung konkret bezieht und welche Auflagen sie an Unternehmen im Bereich des Datenschutzes hat.
Die Datenschutzgrundverordnung ist maßgebend für die seit Mai 2018 geltenden Datenschutzrichtlinien in der Europäischen Union.
Sie setzt sich aus unter anderem aus Allgemeinen Bestimmungen und Grundsätzen zusammen, thematisiert jedoch auch Bereiche wie die Übermittlung personenbezogener Daten an Drittländer bzw. internationale Organisationen oder die Rechte der betroffenen Person.
Im Detail bedeutet dies für Unternehmen, dass sie jederzeit dazu in der Lage sein müssen, der betroffenen Person - der Person, deren Daten erhoben werden - Auskunft darüber zu geben, wofür ihre Daten verwendet werden.
Dies geht mit Dokumentierungsanforderungen einher. Auch müssen gesetzliche Löschfristen dieser Daten seitens des Unternehmens eingehalten werden, welche im Folgenden näher thematisiert werden.
Unternehmen müssen sicherstellen, dass erhobene Daten, wenn sie nicht mehr benötigt werden bzw. nach Verstreichen gesetzlich geregelter Fristen, gelöscht werden. Dies ist auch der Fall, wenn die betroffene Person von ihrem Widerrufsrecht gebraucht macht. Auch, wenn sie ursprünglich der Datenerhebung eingewilligt hat, kann sie sich jederzeit dazu entschließen, diese Entscheidung zu revidieren.
Hier gilt es, die erhobenen Daten umgehend – das heißt ohne unsachgemäße Verzögerung – von den Servern zu entfernen. Dies kann sich durchaus als kompliziert erweisen, wenn mehrere Kopien desselben Datensatzes an unterschiedlichen Stellen gespeichert sind.
An dieser Stelle kann ein DMS Abhilfe schaffen. Zunächst sollte das Dokumentenmanagement System in jedem Fall über entsprechende Schnittstellen in die IT-Infrastruktur des Unternehmens sein, um Datensilos zu vermeiden. Zudem lassen sich im System selbst meist automatisierte Löschvorgänge einrichten.
Besteht eine Schnittstelle zum CRM System, kann jederzeit eingesehen werden, welche betroffene Person die Löschung ihrer Daten wünscht und wie es sich um den Status des Löschungsprozesses verhält. Automatisierte Dringlichkeitserinnerung helfen bei der Einhaltung der Löschfristen.
Doch auch bei oben genannten Dokumentationsanforderungen in Bezug auf die in der DSGVO definierte Auskunftspflicht seitens des Unternehmens kann ein DMS behilflich sein. Es sorgt dafür, dass alle vom Unternehmen ergriffenen datenschutzrechtlichen Maßnahmen und Prozesse dokumentiert und verwaltet werden.
Durch den Einsatz eines DMS hat ein Unternehmen im Wesentlichen zwei Fliegen mit einer Klappe geschlagen.
Zum einen erleichtert es sich selbst die Arbeit, indem das System den Dokumentierungsprozess weitestgehend automatisiert durchführt und eine manuelle Nachbearbeitung nur selten notwendig wird.
Zum anderen erfüllt ein geeignetes DMS die sogenannten „technischen und organisatorischen Maßnahmen“, die Unternehmen nach DSGVO ergreifen müssen, um den Schutz ihrer Kundendaten zu gewährleisten.
Viele werden die Begriffe Zugriffsberechtigungen und Rollenvergabe bereits aus dem eigenen Arbeitsalltag kennen. Jedes Unternehmen, welches in irgendeiner Form Unternehmenssoftware nutzt, muss sich damit auseinander setzen, welcher Mitarbeiter bzw. Systemanwender Zugriff auf welche Daten haben sollte.
Spätestens, wenn das Unternehmen nicht mehr zu den Kleinstunternehmen mit weniger als 10 Mitarbeitern zählt, sollte nicht mehr jeder Mitarbeiter Zugriff auf alle Daten und Funktionen des Systems hab. Dies hat zum einen ganz praktische Gründe: Wird nur ein kleiner Teil benötigt, ist es deutlich schwerer, diesen in einem komplexen, weitläufigen DMS, welches diverse Abteilungen abdeckt, zu finden.
Allein aus Gründen der Übersichtlichkeit und Nutzerfreundlichkeit sollte also der Zugriff zu Bereichen, welche nicht zwangsläufig zur Arbeitsausführung benötigt werden, eingeschränkt werden. Doch auch im Bereich des Datenschutzes helfen Zugriffberechtigungen.
So wird beispielsweise durch die zugewiesene Rolle eines Mitarbeiters definiert, ob dieser die Berechtigung hat, bestimmte Datensätze zu exportieren. Auf diese Weise wird sichergestellt, dass Daten nicht unbeabsichtigt in die falschen Hände geraten.
Die Verschlüsselung sensibler Daten ist ein weitere Möglichkeit, Daten vor dem Zugriff Dritter zu schützen, die sich Unternehmen in jedem Fall zu Nutze machen sollten.
Eine gängige Verschlüsselungsart während der Datenübertragung, die vermutlich einigen Lesern geläufig sein wird, ist die sogenannte end-to-end encryption (kurz E2EE). Auf diese Weise sind die Daten während des gesamten Übertragungsprozesses verschlüsselt und nur Sender und Empfänger bekannt.
Wer die Implementierung eines DMS in Betracht zieht, stellt sich früher oder später die Frage, ob eine lokale Datenspeicherung auf eigenen Servern oder eine Cloud Lösung die bessere Alternative wäre. Tatsächlich stehen nach wie vor aus datenschutzrechtlichen Bedenken noch einige Unternehmen skeptisch gegenüber der Nutzung cloudbasierter DMS.
Dennoch bieten Cloud Lösungen viele Vorteile, die andere Unternehmen nicht missen möchten. In jedem Fall sollten Sie sich vor der Einführung einer Cloud Lösung über die für den Anbieter geltenden Datenschutzrichtlinien informieren, da diese außerhalb der Europäischen Union nicht mit denen der DSGVO übereinstimmen.
Bei einer lokalen Datenspeicherung liegt ein ordnungsgemäßer Datenschutz in eigener Verantwortung. So muss auch für den Schutz der Server selbst gesorgt werden.
Unabhängig von der Installationsart des DMS sollten regelmäßige Backups durchgeführt werden, um im Ernstfall über Sicherheitskopien der Datensätze zu verfügen. Mittels DMS lässt sich dieser Prozess meist weitestgehend automatisieren.
Zusammenfassend kann ein korrekt genutztes DMS den Datenschutz personenbezogener Daten innerhalb des Unternehmens nicht nur erhöhen, sondern auch erleichtern.
So wird potenziellen Verstößen gegen die DSGVO vorgebeugt und sensible Daten sind adäquat geschützt. Zudem sind Unternehmen durch die Nutzung eines DMS in der Lage, die rechtskonforme Handhabung personenbezogener Daten jederzeit nachzuweisen.