Die neue europäische Datenschutz-Grundverordnung (DSVGO) Teil 2 – DMS
Durch den Einsatz eines modernen Dokumentenmanagementsystems (DMS) erhalten Unternehmen eine wirkungsvolle Unterstützung bei der rechtskonformen Umsetzung von Datenschutz- und Datensicherheitsanforderungen.
Wie ein Dokumentenmanagementsystem (DMS) Sie bei der EU-DSGVO unterstützt
Die wichtigsten Anforderungen der DSGVO hängen mit der Erhebung, der Verarbeitung und revisionssicheren Speicherung von Daten bzw. Informationen zusammen. Diese Aspekte haben alle mit dem Informations- bzw. Dokumentenmanagement zu tun. Außerdem lassen sich durch die Einführung eines elektronischen DMS nicht nur die Anforderungen der DSGVO erfüllen. Es lassen sich sämtliche Workflows, die mit der Datenverarbeitung zusammenhängen, nachvollziehbar, sicher und kontrollierbar gestalten. Dadurch können Unternehmen Effizienzgewinne erzielen und die Qualität steigern.
Die relevanten Vorschriften in der EU-DSGVO finden sich an unterschiedlichen Stellen, wie zum Beispiel Art. 5, 30, 32 und 35 EU-DSGVO.
Daten sicher und schnell verfügbar haben
Alle Personen, deren Daten innerhalb eines Unternehmens verarbeitet werden, haben ein Recht auf die Information,
- wo das Unternehmen welche Daten über sie speichert
- zu welchem Zweck es sie verwendet.
Das können Mitarbeiter, Vertragspartner und Kunden sein. Daher ist eine schnelle Verfügbarkeit dieser Informationen auch aus datenschutzrechtlicher Sicht wichtig.
Ein modernes DMS verfügt über Such- und Filterfunktionen, mit deren Hilfe man einen einfachen und schnellen Überblick über vorhandenen Daten verschaffen kann. Somit kann das Unternehmen auch leichter die Einhaltung der datenschutzrechtlichen Vorschriften belegen.
Zum anderen müssen laut DSGVO alle Datenpannen, bei denen die Sicherheit personenbezogener Daten gefährdet ist z.B. bei einem Datenverlust, unverzüglich der jeweiligen Datenschutzbehörde angezeigt werden. Art. 33 DSGVO sieht vor, dass die Meldung unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden erfolgen muss. Hierfür ist es notwendig, dass Sie den Vorfall sorgfältig und fristgerecht dokumentieren. Wurden die Prozessschritte zuvor durch ein DMS entsprechend festgehalten, lässt sich die übersichtliche Erstellung der notwendigen Informationenan die Behörde leichter meistern.
Die Vertraulichkeit sowie die Integrität Ihrer Daten sichern
Für die Erfüllung von verschiedenen Aufgaben ist es wichtig, dass auf personenbezogene Daten zugegriffen werden kann. Allerdings muss dieser Zugriff zwingend beschränkt sein, so dass nur derjenige Mitarbeiter darauf zugreifen kann, der sie tatsächlich benötigt (Vertraulichkeit).
Außerdem muss zum Schutz der Betroffenenrechte und zur Gewährleistung der Datensicherheit nachvollziehbar sein, wer Daten eingibt, verändert oder löscht (Integrität). Nur so werden die Rechte der Betroffenen geschützt und die Datensicherheit gewährleistet.
Bei einem DMS können verschiedene Zugriffsberechtigungen eingerichtet werden – je nach dem, welchen Aufgabenbereich ein Mitarbeiter hat. So bekommt jeder nur das zu sehen, was er auch wirklich sehen darf.
Zusätzlich kann ein Dokumentenmanagementsystemdie verschiedenen Versionen aller Dokumente und die Änderungshistorie protokollieren.
Diese Möglichkeit birgt dann allerdings Konfliktpotential mit der Arbeitnehmervertretung, da diese Möglichkeiten auch geeignet sind andere Datenschutzvorschriften (Tracking der Arbeitsleistung##) zu verletzen. Daher ist eine enge Abstimmung nötig, um den widerstrebenden Anforderungen tatsächlich gerechtzu werden.
Daten dürfen Sie nur recht- und zweckmäßig erheben und verarbeiten
Personenbezogene Daten darf man nur dann erheben und verarbeiten, wenn die Einwilligung der betroffenen Person vorliegt. Nur dann ist die Erhebung und Verarbeitung rechtmäßig. Außerdem muss sie zweckgebunden sein. Die Art und der Umfang der Daten müssen dem Zweck entsprechen.
Ein DMS bietet rechtskonforme Dokumentenvorlagen, so dass der Recht- und Zweckmäßigkeit nachgekommen werden kann. Dokumentenbasierte Prozesse können so effektiver gesteuert werden und man bewegt sich in Sachen Datenschutz im Rahmen der gesetzlich Vorschriften.
Das Recht auf „Vergessenwerden“
Unternehmen sind verpflichtet, personenbezogene Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen bestehen. Das heißt, sobald die Daten ihren Zweck erfüllt haben, sollen die Unternehmen die Daten wieder löschen. Nur wenn die weitere Archivierung von öffentlichem Interesse ist oder u.a. wissenschaftliche Zwecke vorliegen, dürfen diese Daten auch länger gespeichert bleiben (Art. 5 ABs, 1b DSGVO). Allerdings muss man in diesem Fall die Identität der entsprechenden Person schützen, indem man die Daten verschlüsselt oder pseudonymisiert.
Mit einem Dokumentenmanagementsystem kann man automatisierte Arbeitsschritte anlegen, in denen die vorhandenen Daten und Dokumente geprüft werden. Der Datenbestand bezüglich der vorhandenen oder erloschenen Zweckbindungen lässt sich somit aktualisieren. In Dokumenten, die zu Revisionszwecken noch aufbewahrt werden müssen, sollten die personenbezogenen Daten entfernt werden, insofern sie für die Revision nicht von Belang sind.
Fazit
Um rechtliche Konsequenzen oder anderen Ärger mit dem Daten- und Dokumentenmanagement zu vermeiden, ist ein Dokumentenmanagementsystem eine hilfreiche Lösung.
In diesem Beitrag erfahren Sie, warum wir ein DMS haben und wie wir es nutzen.