Am 28. Januar ist europäischer Datenschutztag. Anlass genug, um einen Blick auf das Thema DSGVO zu werfen und die Frage zu klären, warum ein fortschrittliches Dokumentenmanagementsystem eine große Hilfe bei der Einhaltung der Vorschriften ist.

Auch im vierten Jahr nach der verpflichtenden Einführung der Datenschutzgrundverordnung ist die Lage ernüchternd: Laut Statista haben gerade einmal 20 % der befragten Unternehmen die Richtlinien der DSGVO vollständig umgesetzt, während sie von weiteren 45 % erst zu einem Großteil realisiert wurden (Quelle: Statista; Erhebung Q4 2021). Dabei ist der Handlungsbedarf groß, denn die Verletzung von datenschutzrechtlichen Vorgaben wird zunehmend geahndet. So wird die Summe der verhängten Bußgelder für Verstöße gegen die DSGVO im vergangenen Jahr europaweit mit 1,1 Milliarden Euro beziffert. Damit ist der Vorjahreswert von 158,5 Millionen Euro um fast 600 % gestiegen (Quelle: DLA Piper Studie zu DSGVO-Bußgeldern 2022). Höchste Zeit also, die Vorgaben der DSGVO schnellstmöglich vollumfänglich umzusetzen.

Doch welche Rolle kommt dabei nun dem DMS zu?

DSGVO versus GoBD

Als zentrales System gewährt ein DMS einen sicheren ort- und zeitunabhängigen Zugriff auf Dokumente und bildet die Grundlage für eine rechtssichere sowie GoBD-konforme digitale Archivierung. Dabei sollte das DMS – wie in unserem Fall – detaillierte, qualitative Zugriffsberechtigungen bis auf Benutzerebene mit der Verschlüsselung von Datenbank und Dateien sowie der Protokollierung von Änderungen kombinieren, um Manipulationsversuche am System aufzudecken. Doch mit Blick auf die Datenschutzgrundverordnung ergibt sich durchaus ein Spannungsfeld zwischen der Pflicht zur Archivierung (GoBD) und dem Recht auf Vergessen (DSGVO), dem das System Rechnung tragen muss. So gilt es auf der einen Seite, die Revisionssicherheit einzuhalten und alle Dokumente in ihrem Originalzustand unveränderbar, gemäß der gesetzlichen Aufbewahrungsfristen zu archivieren. Während auf der anderen Seite das Recht eines Einzelnen auf Löschung von personenbezogenen Daten besteht. Diesen Widerspruch löst die DSGVO in Artikel 6, der besagt, dass personenbezogene Daten archiviert werden dürfen, wenn dies zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen dient, also etwa zur Wahrung der Aufbewahrungsfristen. So steht im Zweifel die Pflicht zur Archivierung von geschäftsrelevanten Dokumenten innerhalb der gesetzlichen Archivierungsfrist vor dem Recht auf Löschung. Konkret bedeutet das zum Beispiel, dass Rechnungen mit Kundendaten ohne Abänderung auch nach der Beendigung eines Vertragsverhältnisses archiviert werden müssen.

Wie unterstützt Sie ein DMS konkret mit Blick auf die Datenschutzgrundverordnung?

1. Mit wenigen Klicks alle personenbezogenen Daten finden

Die DSGVO sieht in Artikel 15 ein Auskunftsrecht vor. Fragt eine Person nach, welche persönlichen Daten von ihr abgelegt sind, muss das Unternehmen innerhalb eines Monats alle personenbezogenen Informationen zusammenstellen – inklusive Verarbeitungszweck der Daten, der Informationsherkunft sowie Dauer der Speicherung. Klingt nach sehr hohem Aufwand? Ohne DMS ganz sicher. Mit einem Dokumentenmanagementsystem können Sie über eine einfache Volltextsuche alle personenbezogenen Daten finden. Das System prüft unmittelbar, ob personenbezogene Daten eines Auskunftssuchenden abgelegt sind oder nicht und stellt diese Dokumente innerhalb weniger Sekunden gebündelt sowie wahlweise für den elektronischen oder papiergebundenen Versand zur Verfügung. Führt ein DMS Stammdatentabellen, muss zudem sichergestellt werden, dass auch diese Einträge gelöscht werden.

2. Daten korrigieren – automatisiert und gesetzeskonform

In Artikel 16 der Datenschutzgrundverordnung ist zudem ein Recht auf Berichtigung personenbezogener Daten aufgeführt. Auch hier zeigt sich ein Spannungsfeld, muss doch gleichzeitig die revisionssichere Archivierung – also die digitale Ablage der Dokumente im Originalzustand – gewährleistet und gleichzeitig eine Korrektur möglich sein. Eine mögliche Lösung im DMS sieht folgendermaßen aus: Im ersten Schritt wird eine Notiz mit den berichtigten Daten bzw. Änderungen mit den entsprechenden Dokumenten verknüpft. Im zweiten Schritt wird auch das Suchkriterium, das nach der personenbezogenen Information recherchiert, auf den berichtigten Begriff geändert. So gewährleistet das DMS, dass ein Dokument bspw. nicht mehr unter den falschen personenbezogenen Daten zu finden ist, es aber dennoch unverändert, gemäß der Originalfassung erhalten bleibt.

3. Personenbezogene Daten nach Ablauffrist automatisiert löschen

Wie bereits angedeutet, ist auch ein Recht auf Vergessen Bestandteil der DSGVO (Art. 17). Stellt also eine Person einen Antrag auf Löschung personenbezogener Daten, muss dem nachgekommen werden, sofern der Vorgang nicht mit einer Aufbewahrungsfrist kollidiert. Aber was, wenn doch? Eine Wiedervorlage für in vier Jahren zu vermerken, erscheint wenig praktikabel und birgt ein hohes Fehlerrisiko. Ein DMS mit einem integrierten DSGVO-Tool hingegen findet zum einen mit einer einzigen Suche alle relevanten Dokumente und prüft gleichzeitig, ob die Löschung gesetzlichen Aufbewahrungsfristen entgegensteht. Falls dies der Fall ist, merkt sich das Modul den Antrag und löscht die Daten automatisiert nach Ablauf der Frist, sodass Sie in jedem Fall rechtskonform handeln.

4. Dokumentationspflicht ohne Aufwand gewährleisten

Ein DSGVO-konform arbeitendes DMS muss auch eine schnelle und einfach umzusetzende Dokumentation der DSGVO-Anfrage und deren Erfüllung ermöglichen, denn bei Anfrage ist der Aufsichtsbehörde zeitnah eine schriftliche Dokumentation zur Verfügung zu stellen. Daher ist es wichtig, dass ein Dokumentenmanagementsystem jeden Bearbeitungsschritt (Anfrage, Verifizierung der Anfrage, Löschanweisung, eigentliche Löschung) kontinuierlich und automatisiert protokolliert. Diese Protokolle lassen sich dann auf Wunsch einfach ausdrucken oder als PDF exportieren.

Fazit

Ein fortschrittliches DMS ist also nicht nur ein maßgeblicher Helfer auf dem Weg der digitalen Transformation, sondern spielt auch im Bereich der Datenschutzgrundverordnung sein Potenzial aus. So sparen Sie mit einem DSGVO-konformen DMS bei Anfragen, in Berichtigungsfällen sowie der Dokumentationspflicht viel Zeit und Aufwand und können gleichzeitig sichergehen, gesetzeskonform zu handeln.

Bildquelle: © stock/adobe/fotogestoeber