Die „Großen“ hat es bereits erwischt. Höchststrafe für Google! 50 Millionen Euro aufgrund von Datenschutzverletzungen. Die Begründung: Fehlende Transparenz! Und es wären bis zu 3,7 Milliarden Euro möglich gewesen. Auch Amazon Prime, Netflix und Apple könnten Milliardenstrafen drohen aufgrund von Verletzungen des Auskunftsrechts.
Seit der Einführung der neuen Datenschutzgrundverordnung am 25.05.2018 dreht sich vieles in der Arbeitswelt und auch in unserem Privatleben um das Thema Datenschutz. Wir fragen uns: Was bedeuten die neuen Vorschriften für uns als Unternehmen beim täglichen Umgang mit personenbezogenen Daten? Wie verändert das unsere internen Abläufe und Strukturen? Können wir den neuen Anforderungen überhaupt gerecht werden? Sie merken schon, wenn wir mal ehrlich sind, treten wir dem Thema DSGVO eher skeptisch gegenüber. Der Grund: viele Unsicherheiten und Fragezeichen in unserem Kopf.
Andererseits, wenn erst mal die Weltkonzerne, wie Google oder Amazon zur Rechenschaft gezogen werden, brauchen wir uns doch noch keine Sorgen machen, erst recht nicht als Mittelständler, oder?
Google und Co. mögen vielleicht erst „Warnschüsse“ für andere Unternehmen darstellen. Aber denken Sie, Sie können sich deswegen zurücklehnen? Die Aufsichtsbehörden machen kaum Unterschiede zwischen den Verstößen von Google und Ihren Verstößen gegen die DSGVO. Deswegen stellen wir uns in diesem Beitrag die Frage, wie uns unsere IT-Systeme, wie ein Dokumentenmanagementsystem (DMS), bei einer guten DSGVO-Performance unterstützen können.
Anforderungen eines Dokumentenmanagementsystems
Sie haben mit Sicherheit schon einige Maßnahmen getroffen, die der Einhaltung der DSGVO dienen. DSGVO-konformes Arbeiten ist keine einmalige Umsetzung, sondern ein kontinuierlicher Prozess, den man an vielen Stellen ausbauen kann. Genau aus diesem Grund ist das Thema Dokumentenmanagement mit DSGVO-Funktionalitäten so interessant. Als grundlegende Anforderungen an ein DMS kristallisieren sich zwei Grundsätze heraus, die miteinander vereinbar sein müssen: Einerseits muss die Revisionssicherheit eingehalten werden. Die Dokumente müssen in ihrem Originalzustand unveränderbar, gemäß der gesetzlichen Aufbewahrungsfrist, archiviert werden. Andererseits muss ein Unternehmen den Betroffenen gerecht werden, welche im Folgenden näher erläutert werden.
Auskunftsrecht nach Artikel 15 der EU-DSGVO
Jeder Marktteilnehmer, der personenbezogene Daten verarbeitet, muss sich an das Auskunftsrecht halten. Demnach müssen Sie auf Anfrage einer Person unmittelbar prüfen, ob über sie personenbezogene Daten vorhanden sind. Ist dies gegeben, müssen Sie in der Lage sein, der betroffenen Person alle Informationen über sie innerhalb eines Monats vollständig zusammenzustellen. Diese Informationen beinhalten unter anderem den Verarbeitungszweck der Daten, die Informationsherkunft sowie die Dauer der Speicherung.
Grundsätzlich gilt: Ein DMS gewährleistet die Verfügbarkeit aller im Unternehmen befindlichen, eingepflegten Dokumente. Daraus schließen wir: Die Anforderung an ein DMS mit DSGVO-Funktionalitäten ist, dass uns das Archiv auf Knopfdruck alle nötigen Informationen liefern kann.
Recht auf Berichtigung der Daten nach Artikel 16 EU-DSGVO
Liegen in Ihrem Unternehmen falsche Daten über eine Person vor, kann diese die Berichtigung verlangen. Diese Berichtigung müssen Sie innerhalb eines Monats durchführen. Ein DMS muss demnach gewährleisten, dass ein Dokument bspw. nicht mehr unter den falschen personenbezogenen Daten zu finden ist, aber dennoch unverändert in seinem Originalzustand erhalten bleibt (Revisionssicherheit).
Recht auf Vergessenwerden bzw. Löschung von Daten nach Artikel 17 EU-DSGVO
Stellen Sie sich vor, eine Person verlangt die Löschung ihrer personenbezogenen Daten auf einem Vertrag. Dieser ist zwar bereits ausgelaufen, also hat die Grundsätze der DSGVO „Zweckbindung und Speicherbegrenzung“ erfüllt. Jedoch dürfen Sie ihn, gemäß der Aufbewahrungsfrist, erst in zwei Jahren löschen. Welche Vorschrift steht nun im Vordergrund?
Bestenfalls kann dieses Problem in den Prozess eines DMS inkludiert werden, um sicherzustellen, dass rechtskonform gehandelt wird. Das DMS würde also für Sie entscheiden, dass lediglich die personenbezogenen Daten, die der Revisionssicherheit nicht entgegenstehen, gelöscht werden können.
Auch der Löschvorgang selbst stellt eine Herausforderung dar. Ein revisionssicher archiviertes Dokument kann nicht „einfach“ gelöscht werden. An dieser Stelle kommt das DMS wieder zum Einsatz. Die personenbezogenen Daten werden unauffindbar gemacht indem ihre Indexdaten gelöscht werden. Vereinfacht gesagt werden die Spuren, die zu diesen Daten führen, entfernt.
Dokumentationspflicht nach Artikel 30 EU-DSGVO
Das vierte Feature, das jedes DSGVO-konform arbeitende DMS beherrschen sollte, ist die Dokumentationspflicht. Während der oben beschriebenen Vorgänge muss ein modernes DMS in der Lage sein, datenschutzerforderliche Bearbeitungsschritte kontinuierlich zu protokollieren, damit Sie dies gegebenenfalls der Aufsichtsbehörde vorzeigen können.
Die neue DSGVO als Chance für Ihr Unternehmen!
Zum Schluss noch ein kleiner Impuls: Warum fürchten wir uns vor dem Thema DSGVO? Hat es nicht auch ein paar Vorteile für uns im Gepäck? Jeder sollte sich noch einmal bewusstmachen, dass die neuen Richtlinien in erster Linie nicht verfasst wurden, um Unternehmen zu ärgern oder mehr Arbeit aufzubrummen. Sie ersetzen veraltete Richtlinien aus dem Jahr 1995. Die Hintergrundgedanken dazu: Das Grundrecht auf informationelle Selbstbestimmung muss der heutigen digitalisierten Welt angepasst werden. Außerdem sollen einheitliche Bestimmungen für alle EU-Bürger und Unternehmen gelten.
Auch die Data Privacy Benchmark Studie des amerikanischen Unternehmens Cisco Systems behauptet, dass wir auch als Unternehmen von den neuen Regularien profitieren und gibt uns somit einen völlig neuen Blickwinkel auf die DSGVO. Die neuen Vorgaben können wir als Chance für eine „saubere“, qualitativ hochwertige Datengrundlage sehen, da falsche oder ungebräuchliche Informationen aussortiert werden. Das kann man gut vergleichen mit dem „Ausmisten“ des Kleiderschranks von Kleidung, die nicht mehr passt oder die wir sowieso nie angezogen haben. Auch das Thema Datensicherheit wird durch die DSGVO präventiv angegangen. Langfristig gesehen gewinnen Ihre Geschäftspartner durch Ihren verbesserten Datenschutz mehr Vertrauen in Sie, was sich auf Ihren geschäftlichen Erfolg positiv auswirken kann. Also, warum DSGVO-konformes Arbeiten mit einem DMS als ideales Fundament nicht als Chance sehen, um Wettbewerbsvorteile auszubauen?
Bildquelle: © Michael Traitov/stock.adobe.com