Der 28. Januar ist seit vielen Jahren der europäische Datenschutztag. International trägt der Feiertag zum Datenschutz den Namen „Data Privacy Day“ – eigentlich noch bezeichnender, denn der sagt genau aus, wofür der Tag steht: Privacy. Und die gilt es im Unternehmen bestmöglich zu schützen und zu gewährleisten. Dazu kann ein professionelles DMS nicht nur beitragen – ohne ein Dokumentenmanagementsystem wird es sogar wirklich schwierig, die vielfältigen Regelungen, Vorgaben und Pflichten zum Datenschutz einzuhalten. Denn häufig kollidieren diese mit anderen Vorgaben, wie etwa den Aufbewahrungspflichten im Unternehmen. Schauen wir uns also genauer an, wieso der europäische Datenschutztag für alle Unternehmen mit einem DMS ein Feiertag ist.
Vergessen oder Archivieren? Der Konflikt zwischen DSGVO und GoBD
Häufig ist es gar nicht so einfach, die verschiedenen Verordnungen und Grundlagen unter einen Hut zu bekommen. So geben die GoBD – also die Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form – vor, dass gewisse Daten revisionssicher archiviert werden müssen. Diese enthalten häufig auch personenbezogene Daten Dritter. Dem gegenüber steht dann die DSGVO (Datenschutz-Grundverordnung), die das Recht eines Einzelnen auf Löschung von personenbezogenen Daten festsetzt. Eine verzwickte Lage, aus der sich Unternehmen mit einem DMS zuverlässig herausmanövrieren können.
Als zentrales System bietet ein DMS einen sicheren, ort- und zeitunabhängigen Zugriff auf Dokumente. So ist das DMS die Grundlage für eine rechtssichere digitale Archivierung – auch im Sinne der GoBD. Wichtig ist hierbei, dass das DMS detaillierte, qualitative Zugriffsberechtigungen bis auf Benutzerebene ermöglicht. Diese können mit der Verschlüsselung von Datenbanken und Dateien sowie der Protokollierung von Änderungen kombiniert werden. So können eventuelle Manipulationsversuche am System aufgedeckt werden. Es gilt also im Sinne der Rechtssicherheit alle Dokumente in ihrem Originalzustand unveränderbar, gemäß der gesetzlichen Aufbewahrungsfristen zu archivieren.
Wie lässt sich die rechtssichere digitale Archivierung mit dem Recht auf Vergessen laut DSGVO vereinbaren?
Des Rätsels Lösung findet sich im Artikel 6 der DSGVO. Denn er gibt der Pflicht zur Archivierung Vorrang gegenüber dem Recht auf Löschung. Wünscht ein Kunde also beispielsweise die Löschung seiner Daten, ist das Unternehmen trotzdem berechtigt, archivierungspflichtige Dokumente, wie Verträge oder Rechnungen, aufzubewahren. Nicht-archivierungspflichtige Unterlagen hingegen müssen aufgespürt und entsprechend gelöscht werden. Keine leichte Aufgabe, doch ein fortschrittliches DMS hilft hierbei zuverlässig und schnell.
Personenbezogene Daten auf Tastendruck
Wenn eine Person Auskunft darüber wünscht, welche persönlichen Daten ein Unternehmen von ihr gespeichert hat, ist dieses laut DSGVO, Artikel 15, verpflichtet, dem Auskunftsrecht innerhalb eines Monats nachzukommen. Kein Problem – schließlich ermittelt ein DMS personenbezogene Daten mithilfe weniger Klicks binnen Sekunden. Hierfür steht ganz unkompliziert eine Volltextsuche zur Verfügung. Das System gibt die personenbezogenen Daten eines Auskunftssuchenden aus und stellt sie wahlweise für den elektronischen oder papiergebundenen Versand zur Verfügung. Auf diese Weise lassen sich die Daten dann eben auch rechtskonform löschen.
Doch nicht nur im Zuge der Auskunft ist es wichtig, die personenbezogenen Daten dem DMS zu überlassen. Mit dem entsprechenden Modul kümmert es sich auch um die automatische Löschung der entsprechenden Einträge nach deren Ablauffrist. Das kann zum Beispiel nötig sein, wenn eine Person die Löschung ihrer Daten verlangt, diese aber noch einer Aufbewahrungsfrist unterliegen. Wir haben schon erfahren, letztere hat dann Vorrang. Aber sobald diese Frist erlischt, müssen die Daten gelöscht werden – und das kann natürlich auch erst Jahre später der Fall sein. Diesen Pflichten manuell nachzukommen, ist wohl keine Option. Glücklicherweise ist das auch nicht nötig. Ist ein DMS mit einem DSGVO-Tool ausgestattet, übernimmt es den kompletten Prozess. Es findet alle relevanten Dokumente und weiß automatisch, ob sie nach geltender Rechtslage gelöscht werden dürfen oder nicht. Unterliegen sie der Aufbewahrungspflicht, löscht das System sie erst, wenn diese nicht mehr gilt – und zwar automatisch und rechtskonform.
Dabei wird jeder einzelne Schritt zuverlässig dokumentiert, von der Anfrage über ihre Verifizierung bis hin zur Löschanweisung und der eigentlichen Löschung. Wenn nötig, kann diese Dokumentation anschließend problemlos als PDF exportiert oder ausgedruckt werden. So ist der Anwendende bei der Löschung personenbezogener Daten auf der sicheren Seite. Aber was, wenn die gespeicherten Daten fehlerhaft sind und korrigiert werden sollen? Dürfen wir sie dann ändern oder verstoßen wir gegen die GoBD?
Rechtskonformes Korrigieren gelingt mit einem DMS
Je nach Ausführung ist die Antwort ja oder nein. Zunächst unterliegen alle Dokumente der Pflicht zur revisionssicheren Archivierung. Einfach Ändern ist also nicht erlaubt, denn das digitale Dokument muss im Originalzustand erhalten bleiben. Mit einem DMS ist die gewünschte Korrektur aber trotzdem möglich. Dazu wird zunächst eine Notiz mit den berichtigten Daten bzw. Änderungen erstellt, die dann mit dem entsprechenden Dokument verknüpft wird. Anschließend wird das Suchkriterium zur personenbezogenen Information korrigiert. Dank des DMS ist ein Dokument also nicht länger anhand falscher personenbezogener Daten zu finden, gleichzeitig bleibt die Originalfassung unverändert. Ohne ein DMS wäre das kaum umsetzbar.
Fazit
Ein modernes DMS ist eine große Hilfe bei der Einhaltung von gesetzlichen Vorgaben. Es erleichtert nicht nur die Auffindbarkeit und Ver- bzw. Bearbeitung von Daten – es führt auch dazu, dass Unternehmen rechtlich auf der sicheren Seite sind und sich Verantwortliche auf die Gesetzeskonformität im Betrieb verlassen können. Darum stellen wir schon mal den Sekt kalt, um auf den 28. Januar, den europäischen Datenschutztag, anzustoßen.