4. Erheben und verarbeiten Sie Daten ausschließlich recht- und zweckmäßig
Rechtmäßig ist die Erhebung und Verarbeitung personenbezogener Daten nur dann, wenn eine Einwilligung des Betroffenen vorliegt oder ein gesetzlicher Erlaubnis-Tatbestand besteht und die Verarbeitung für die dort bestimmten Zwecke erforderlich ist. Erforderlich ist eine solche Verarbeitung beispielsweise für die Erfüllung eines Vertrags. Entscheidend ist, dass die Datenerhebung und -verarbeitung stets an einen bestimmten Zweck gebunden ist. Damit geht einher, dass Art und Umfang dem Zweck angemessen sein müssen, also Unternehmen nicht mehr Daten verarbeiten, als notwendig ist, um einen bestimmten Zweck zu erfüllen.
Mit einem DMS können Sie durch rechtskonforme Dokumentenvorlagen bzw. durch die Voreinstellung bestimmter Felder dafür sorgen, dass die Datenerhebung dieser Zweckbindung recht- und zweckmäßig entspricht. Indem Unternehmen wirklich nur jene Daten erheben und verarbeiten, die für den Vorgang – zum Beispiel für die Ausgestaltung eines Arbeits- oder Kaufvertrags – relevant sind, können Sie dokumentenbasierte Prozesse nicht nur effizienter steuern, sondern bleiben zudem in Sachen Datenschutz auf der sicheren Seite.
5. Löschen Sie Daten, nachdem diese Ihren Zweck erfüllt haben
Insbesondere bei Vertragsunterlagen oder Personalakten scheinen die Datenschutzgrundsätze der Zweckbindung und Speicherbegrenzung den gesetzlich geforderten Aufbewahrungsfristen häufig entgegenzuwirken. Tatsächlich stehen aber die Rechte der betroffenen Personen im Vordergrund. Darum dürfen Unternehmen personenbezogene Daten nur so lange speichern, wie sie notwendig sind, um den damit verbundenen Zweck zu erfüllen. Ausnahmen gelten für „im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungs- oder statistische Zwecke“ (Art. 5 Abs. 1b DSGVO). Aber auch dann verlangt die DSGVO „geeignete technische und organisatorische Maßnahmen“ (Art. 89 Abs. 1 DSGVO), wie etwa die Pseudonymisierung und Verschlüsselung personenbezogener Daten, um die Identität der betroffenen Personen zu schützen.
Mit einem DMS lassen sich entsprechend automatisierte Workflows anlegen, die eine Prüfung der vorliegenden Daten und Dokumente vornehmen. Dadurch lässt sich der Daten- und Dokumentenbestand eines Unternehmens hinsichtlich der noch vorhandenen oder bereits erloschenen Zweckbindung einerseits und anhand von gesetzlichen Aufbewahrungsfristen andererseits aktualisieren. Hat ein Unternehmen beispielsweise eine vakante Stelle besetzt, sind die dafür eingereichten Unterlagen und Daten von Bewerbern zu löschen. Ist ein Vertrag zwar nicht mehr aktiv, muss aber noch für eine bestimmte Zeit zu Revisionszwecken aufbewahrt werden, sollten Unternehmen jene Bestandteile mit personenbezogenen Daten entfernen, die für die Revision nicht von Belang sind.
6. Seien Sie sich bewusst, dass Sie für Datenschutz und Datensicherheit verantwortlich sind
Grundsätzlich ist jedes Unternehmen, das personenbezogene Daten erhebt, speichert oder nutzt, für die Einhaltung der rechtlichen Vorgaben verantwortlich. Datenschutz und Datensicherheit sind vom Unternehmen selbst sicherzustellen. Das gilt auch dann, wenn Sie beispielsweise einen externen Dienstleister beauftragen oder eine vom Hersteller gehostete Softwarelösung für die Datenverarbeitung – zum Beispiel ein DMS – einsetzen. Neu ist laut DSGVO, dass der Anbieter oder sogenannte Auftragsverarbeiter zusätzlich zum Auftraggeber in der Verantwortung steht. Beiden Seiten drohen im Falle eines Verstoßes gegen die Datenschutzvorschriften Bußgelder von bis zu 20 Millionen Euro bzw. von vier Prozent des weltweit generierten Umsatzes.
Für Unternehmen sollte das gestiegene Strafmaß also Motivation genug sein, um bei der Datenverarbeitung bzw. der Beauftragung selbiger auf die Rechtsvorschriften zu achten –unabhängig davon, ob die Daten auf dem eigenen Server im Keller, auf externen Serverfarmen im In- und Ausland liegen oder in der Cloud gehostet werden. Achten Sie darauf, wen Sie mit der Verarbeitung der Daten beauftragen, und schließen Sie einen entsprechenden Auftragsverarbeitungsvertrag. Die gute Nachricht: Musste ein solcher Vertrag zwischen Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen, also dem Unternehmen, bisher schriftlich vorliegen, genügt laut DSGVO die elektronische Form. Auch hier kann ein DMS dabei unterstützen, dass ein solcher Vertrag aktuell gültig und rechtskonform vorliegt. Natürlich ist auch das Dokumentenmanagementsystem unter Datenschutzaspekten, wie etwa einem rechtskonformen Hosting, nachweisbaren Zertifikaten und entsprechenden Features für Zugriffsregelungen, Fristenkontrollen und Verfügbarkeit, gewissenhaft auszuwählen.
Fazit
Ein Dokumentenmanagementsystem leistet wirkungsvolle Unterstützung für ein rechtskonformes Daten- und Dokumentenmanagement gemäß neuester Gesetzesanforderungen. Das erspart Unternehmen jede Menge Ärger – und im Ernstfall sogar rechtliche Konsequenzen. Die DSGVO verlangt zudem die Bestellung eines Datenschutzbeauftragten – auch wenn Sie bereits einen IT-Sicherheitsbeauftragen haben. Als Unternehmensunabhängiger verantwortet er die Umsetzung und Einhaltung der Verordnung. Noch ein letzter Tipp: Sehen Sie diese Pflicht als Chance, kompetente Unterstützung zu erhalten, um Ihr Datenmanagement für die Zukunft auf ein rechtssicheres Fundament zu stellen.
Über die Autoren:
Der studierte Diplom-Mathematiker Matthias Kunisch ist Geschäftsführer der forcont business technology gmbh, ein auf Enterprise Content Management (ECM) spezialisiertes Softwarehaus, und seit 1976 in der IT-Branche tätig. Kunisch ist zudem Mitglied des Vorstandes des Cloud-EcoSystem e.V. forcont bietet standardisierte Anwendungsprodukte und individuelle Projektlösungen zur Steuerung dokumentenlastiger Geschäftsprozesse – alternativ auch als Software-as-a-Service (SaaS) aus der Cloud. Zudem leistet das Unternehmen den kompletten Service im ECM-Umfeld von SAP.