Wie ECM- und DMS-Lösungen bei DSGVO-Aufgaben helfen
Die Schonfrist in Sachen europäische Datenschutz-Grundverordnung (EU-DSGVO, engl. GDPR) ist seit 25. Mai dieses Jahres vorbei, denn seitdem können Verstöße gegen sie geahndet werden. Der Informationsbedarf war und ist riesig. Veranstaltungen zu diesem Thema haben Hochkonjunktur, Datenschutzbeauftragte sind über Monate hinweg ausgebucht. »Es gibt einerseits viel Verunsicherung, weil das Thema DSGVO noch nicht richtig verstanden wurde, andererseits ist vieles auch noch nicht richtig ausgereift, wie es in der Praxis gehandhabt werden soll«, schildert Karl Heinz Mosbach, Geschäftsführer von ELO Digital Office, die aktuelle Situation. »Keine Arztpraxis klärt beispielsweise schon bei der ersten telefonischen Terminvereinbarung über die DSGVO auf, was streng genommen passieren müsste, jedoch völlig praxisfremd ist.« Das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig Holstein hat diesen Fall inzwischen praxistauglicher dargelegt. Demnach genügt es für den telefonischen Erstkontakt, wenn die Datenschutzrichtlinien auf der Homepage der Arztpraxis hinterlegt sind. Doch gibt es viele weitere Szenarien, die noch nicht eindeutig geklärt sind.
Wer sich schnell und praxisnah im Internet über das Thema informieren möchte, kann dies über eine Webseite zur DSGVO, die das Bayerische Landesamt für Datenschutzaufsicht erstellt hat. Sie geht in Kurzpapieren auf die Kernpunkte der Verordnung wie Auftragsrecht, Recht auf Vergessenwerden und Auftragsverarbeitung ein und hält unter anderem Maßnahmenpläne sowie Formulare bereit. Vereinen und kleinen Unternehmen wie Bäckereien, Kfz-Werkstätten und Arztpraxen stellt sie auf diese Unternehmensarten zugeschnittene Anforderungsinformationen sowie Musterverzeichnisse für Verarbeitungsarten zur Verfügung.
Grundsätzlich geht es in der DSGVO um den Schutz personenbezogener Daten, die Unternehmen und Vereine speichern und verarbeiten. Unternehmen und Vereine müssen dokumentieren, welche personenbezogenen Daten sie warum und wann gespeichert beziehungsweise gelöscht haben und bei Bedarf diese Daten an die betroffene Person aushändigen. Außerdem muss dokumentiert werden, wie mit den personenbezogenen Daten im laufenden Betrieb umgegangen wird, welche Schutzmechanismen bestehen, wer dafür verantwortlich ist und mit diesen Daten arbeitet.
»Die wesentlichen Anforderungen der DSGVO hängen mit Zugriffsrechten, der Verfügbarkeit und Revisionssicherheit von Daten beziehungsweise Informationen zusammen. All diese Aspekte lassen sich mit einem elektronischen Dokumentenmanagement-System (DMS) optimal abdecken«, so Ralph Rotmann, Business Development Manager von Kyocera Document Solutions. Prinzipiell klingt das logisch, denn bei DMS oder Enterprise-Content-Management-Systemen ist die Dokumentenlenkung beispielsweise bei Workflow-Prozessen und der E-Mail-Archivierung ein wichtiger Punkt. Auch bei der Wahrung von Aufbewahrungs- und Löschfristen und der Rechtevergabe sind sie prädestiniert. In der Praxis bestehen allerdings ein paar Einschränkungen.
DSGVO-Eignungskriterien von ECM- und DMS-Tools
DMS oder ECM-Systeme haben zwar das Potenzial als zentrale Systeme in Unternehmen zu arbeiten, sind es aber häufig nicht. Oft gibt es verschiedene DMS- und ECM-Systeme in einem Unternehmen und sie sind nicht mit weiteren wichtigen Business-Applikationen wie ERP- oder CRM-Systemen und Altsystemen verknüpft. Zudem eignet sich nicht jedes DMS oder ECM-System gleich gut. Laut Heiko Schrörs, Geschäftsführer von Grothe IT-Service und TÜV-zertifizierter Datenschutzbeauftragter sollte eine ECM- und DMS-Lösung folgende Eigenschaften haben, um DSGVO-Aufgaben erfüllen zu können:
- Automatische Löschfristen pro Dokumentenart oder Dokument
- Ablage der Dokumente in verschlüsselter Form
- Gutes Berechtigungsmodul
- Web-Oberfläche mit SSL, um gegebenenfalls Dokumente mit Dritten zu teilen, damit personenbezogene Daten nicht per Mail verschickt werden müssen
- Rechtskonform nach »Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff« GoBD
Zwischen der DSGVO und den GoBD, die für alle Buchführungs- und Aufzeichnungspflichtigen – also quasi alle Unternehmen – schon seit 2015 verpflichtend sind, gibt es einen hohen Deckungsgrad in Bezug auf die Schutzziele der IT-Sicherheit. Trotzdem ist eine Software, egal ob DMS, ECM, E-Mail-Archivierungslösung oder eine andere, mit dem Siegel »GoBD-konform« genauso wenig wie eines mit »DSGVO-konform« ein Freischein.
Durch den Einsatz der Software alleine ist keineswegs automatisch gewährleistet, dass das Unternehmen entsprechende Konformität besitzt. Roland Latzel, Director of Marketing bei MailStore Software, äußert sich hierzu klar: »Wir halten es für fahrlässig, wenn Kunden suggeriert wird, dass ein Unternehmen durch die Verwendung einer Software alleine rechtssicher in Bezug auf die DSGVO sei, beispielsweise mit Hilfe eines selbstgestalteten Siegels »DSGVO-konform«. Die DSGVO ist im Kern immer noch ein Prozessthema, das man nicht alleine mit dem Erwerb einer Software abhandeln kann.«
Bei Mailstore komme es immer wieder vor, dass Kunden fragen, ob sie durch die Verwendung der angebotenen E-Mail-Archivierungssoftware rechtssicher in Bezug auf die DSGVO sind. Jedoch weist das Unternehmen mit Nachdruck darauf hin, dass einzelne Soft- oder Hardware aufgrund der Komplexität der DSGVO keine DSGVO-Konformität garantieren. Vielmehr ist eine Gesamtstrategie mit einem organisatorischen und technologischen Maßnahmenmix erforderlich.
Trotzdem bemühen sich viele Anbieter aus dem ECM-Bereich, ihre Software so zu gestalten, dass die Vorschriften der DSGVO möglichst automatisiert abgearbeitet werden können. Kommt beispielsweise eine Anfrage nach der Verwendung von personenbezogenen Daten, kann dies Unternehmen viel Zeit kosten. Schließlich können diese in unterschiedlichsten Anwendungen und Dokumenten liegen.
ECM- und DMS- Systeme für DSGVO-Zwecke in der Praxis
Daher hält beispielsweise die kürzlich vorgestellte »ELO ECM Suite 11« von ELO Digital Office mit »ELO for DSGVO« ein Funktionspaket bereit, das Unternehmen bei der Einhaltung der neuen Datenschutzrichtlinie unterstützt. So kann zum Beispiel jedes Dokument über das Feld »Personenbezug« vorgangs- und bereichsübergreifend ein eindeutiges Personenmerkmal (Name, Personalnummer, Kundennummer usw.) mitführen. Sensible Dokumente werden dabei mit entsprechenden Zugriffsberechtigungen oder durch Verschlüsselung geschützt. Bei Bedarf lassen sich dann per Knopfdruck Listen mit Informationen zu bestimmten personenbezogenen Daten erstellen. Ebenso gibt es neue globale Datenfelder wie »Löschdatum« oder »Aufbewahren bis«. Um Drittsysteme zu erreichen, die nicht direkt mit ELO verbunden sind, wie ERP-Systeme oder Kundenakten, existierten eine Middleware und Schnittstellen. Wird ein System nicht angebunden, ist dieses in den entsprechenden DSGVO-Formularen zu erfassen, und im Fall einer Abfrage nach personenbezogenen Daten gesondert zu betrachten.
Aber auch Kunden, die noch nicht auf die neueste ELO-Version gehen, haben die Chance die DSGVO mit Hilfe von ELO zu erfüllen. Anwender können manuell Datenfelder wie »Löschfristen« und »Personenbezug« nachtragen und verankern. »Hierzu stellen wir über unsere Partner auch Skripte zur Verfügung, die man in ältere Systeme einbauen kann. Viele wichtige Funktionen wie Filtern, Verschlüsselung sensibler Daten, Export oder automatisiertes und protokolliertes Löschen sind allerdings bereits seit langem im ELO Standard-System enthalten«, meint Mosbach.
Im Hinblick auf die DSGVO-Aspekte Vertraulichkeit und Integrität im Zusammenhang mit DMS-Lösungen ergänzt Matthias Kunisch, Geschäftsführer, forcont business technology: »So wichtig der Zugriff auf personenbezogene Daten ist, um Unternehmens- und Arbeitgeberaufgaben adäquat erfüllen zu können, so unverzichtbar ist es auch, den Zugang zu beschränken, damit die Daten nur für diejenigen verfügbar sind, die sie tatsächlich benötigen.« Auch wer Daten eingibt, verändert oder löscht, müsse zum Schutz der Betroffenenrechte und zur Gewährleistung der Datensicherheit nachvollziehbar sein. Einerseits lässt sich dies über die Verteilung von Berechtigungen steuern, andererseits auch über die Versionierungsfunktionen, die zur DMS-Basisausstattung gehören.
Ein DMS erfasst in der Regel alle Versionierungen von Dokumenten und protokolliert, wer wann welche Änderungen vorgenommen hat. In einem DMS lassen sich daher rollenbasierte Zugriffsberechtigungen für bestimmte Personen oder Personengruppen einrichten. Im Sinne der Vertraulichkeit gehört beispielsweise auch dazu, dass Protokolle der Eingabekontrolle beispielsweise nur zur Gewährleistung von Informationssicherheit und Datenschutz, aber nicht zur Arbeitszeitkontrolle verwendet werden.
Zwar können ECM- und DMS-Systeme nicht alle DSGVO-Anforderungen erfüllen, aber ein entscheidende Hilfe sein, wenn es darum geht, bestimmte DSGVO-Aufgaben leichter zu erledigen oder gar zu automatisieren.
- DSGVO-Interview mit Heiko Schrörs, TÜV-zertifizierter Datenschutzbeauftragter und Geschäftsführer von ECM-Systemhaus Grothe IT-Service
- EU-DSGVO? Mit ELO bestens gerüstet
- SER-Umfrage: drei von vier Unternehmen nicht DSGVO-ready
- EU-DSGVO: Mit der richtigen Strategie rechtzeitig ans Ziel
- Laut M-Files ist DSGVO-Compliance bestens mit ECM-Lösung umsetzbar
- Weiteres zum Datenschutz und DSGVO auf unserem Schwesterportal speicherguide.de