So erfüllen Sie Ihre Dokumentationspflichten mit dem DMS

Ein DMS kann Unternehmen maßgeblich bei der Erfüllung der Dokumentationspflicht unterstützen. Wie, erfahren Sie hier.

Als Unternehmen, welches personenbezogene Daten erhebt, müssen all diese Schritte auch dokumentiert werden. Im Detail muss die Dokumentation alle grundlegenden Angaben zur Datenverarbeitung enthalten. Dazu zählt beispielsweise der Zweck, aus dem sie ursprünglich erhoben werden, aber auch, ob die Daten an Dritte übermittelt werden, und wenn ja, an wen und zu welchem Zweck. 

DMS hilft dabei

Auch muss die Datenkategorie selbst ersichtlich sein. Im unternehmensinternen Dokumentenmanagement System (kurz DMS) sammeln sich über die Jahre meist unzählige Dokumente an, welche personenbezogene Daten diverser Kunden enthalten. So entstehen durch die geltende Dokumentationspflicht auch zusätzliche Anforderungen an das DMS. 

DSGVO muss eingehalten werden

Wie diese im Detail aussehen und wie ein DMS auf der anderen Seite auch dabei helfen kann, einen DSGVO-konformen Umgang mit Dokumenten zu gewährleisten, soll im Folgenden thematisiert werden. 

Dokumentation zum Selbstschutz 

Auf den ersten Blick mag die Dokumentationspflicht wie eine weitere Auflage wirken, die das Leben zahlreicher Unternehmen erschwert und lediglich zusätzlichen Aufwand bedeutet. 

Tatsächlich jedoch hat die Gesetzeslage auch einen praktischen Nutzen für Unternehmen, welche mit personenbezogenen Daten arbeiten, haben diese auch eine sogenannte Rechenschaftspflicht gegenüber der betroffenen Person (der Person, deren Daten erhoben werden). 

Unternehmen müssen Auskunft geben

Die Rechenschaftspflicht verpflichtet ein Unternehmen dazu, der betroffenen Person jederzeit Auskunft über die im Unternehmen verarbeiteten Daten geben zu können. 

Durch die Dokumentation jedes Verarbeitungsschrittes wird es für Unternehmen wesentlich leichter, dieser Rechenschaftspflicht nachzukommen. Verlangt eine Person Auskunft über ihre Daten, kann bei lückenloser Dokumentation jederzeit der aktuelle Status eingesehen werden. 

Dem Datenschutz entsprechen

So kann im Zweifelsfall schnell nachgewiesen werden, dass die Daten zu jedem Zeitpunkt ordnungsgemäß verarbeitet wurden und es zu keinem Verstoß gegen die DSGVO kam. Unternehmen können sich also durch die gesetzliche Dokumentationspflicht auch selbst schützen (vgl. datenschutzbeauftragter-info.de). 

Dokumentation der technischen und organisatorischen Maßnahmen 

Gleiches gilt für die Dokumentation der technischen und organisatorischen Maßnahmen (kurz TOM). Laut DSGVO sind Unternehmen, welche personenbezogene Daten erheben und verarbeiten, zudem dazu verpflichtet, im Vorab entsprechende technische und organisatorische Maßnahmen zu treffen, die einen sicheren, DSGVO-konformen Umgang mit den Daten erleichtern und so die Sicherheit der Daten gewährleisten.

Nachweispflicht auch zum Selbstschutz

Es muss zudem zu jeder Zeit nachgewiesen werden können, dass diese Maßnahmen tatsächlich ergriffen wurden. Besonders, wenn es zu einem datenschutzrechtlichen Zwischenfall wie einem Datenleck kommt, stellt sich schnell die Frage, wie es dazu kommen konnte. 

• „Was haben Sie getan, um die Sicherheit Ihrer Kundendaten zu gewährleisten?“ 
• „Waren diese Maßnahmen unter Umständen unzureichend?“ 
• „Wurde leichtfertig mit den Daten umgegangen, sodass das DMS zu einem attraktiven Ziel für Hacker wurde?“ 

Wenn sich diese Fragen stellen, ist es für Unternehmen von großer Bedeutung, nachweisen zu können, dass sie alles ihnen Mögliche getan haben, um Daten so gut es geht zu schützen. Dazu zählen entsprechende technische und organisatorische Maßnahmen, welche im Vorab getroffen werden müssen. Diese sollen im Folgenden einmal etwas unter die Lupe genommen werden.

Privacy by Default vs. Privacy by Design 

Konkret wird zwischen zwei verschiedenen Arten von Maßnahmen unterschieden: Privacy by Default und Privacy by Design. Letzteres bezieht sich auf die Wahl eines geeigneten DMS Systems bzw. generell gesprochen auf die Wahl einer geeigneten Plattform, welche einen sicheren Umgang mit verarbeiteten Daten gewährleistet. 

Privacy by Design

Sind Dokumente, welche die personenbezogenen Daten einer betroffenen Person enthalten, über diverse Ordner innerhalb des Unternehmens verteilt, die für jeden Mitarbeiter frei zugänglich sind, erfüllt dies wohl kaum das Kriterium „Privacy by Design“. 
In diesem Fall ist es ratsam, ein DMS mit entsprechenden Zugangsberechtigungen zu implementieren. So kann sichergestellt werden, dass Unbefugte es nicht leicht haben, sich Zugriff zu sensiblen Dokumenten zu verschaffen. 

Privacy by Default

Privacy by Default bezieht sich auf detaillierten datenschutzfreundlichen Voreinstellungen, welche im DMS getroffen werden müssen. Durch eine Automatisierung datenschutzrechtlicher Prozesse kann dieses Kriterium erfüllt werden. 

Funktionen innerhalb des DMS, die diese Anforderungen erfüllen, sind beispielsweise eine automatisierte Löschung der Daten nach Verstreichen der gesetzlichen Aufbewahrungsfirst. Da Löschfristen nun automatisch vom System berücksichtigt werden, ist die Wahrscheinlichkeit, dass es durch menschliches Versagen zu einem Verstoß kommt, kaum noch existent. 

Datenschutz und Dokumentationspflicht im DMS 

Es gibt noch viele weitere Funktionen, die innerhalb des DMS bei der Einhaltung der Dokumentationspflicht bzw. beim generellen Datenschutz helfen können. Häufig liegen diverse Versionen eines Dokumentes im Unternehmen vor, da es beispielsweise zu nachträglichen Änderungen gekommen ist. 

DMS hilft beim Überblick

Ohne ein entsprechenden Dokumentenmanagement System ist es mit zunehmendem Dokumentenvolumen auch immer schwerer, den Überblick über sämtliche Änderungen zu behalten und diese auch noch ordnungsgemäß zu dokumentieren. 
Besonders, wenn es über die Jahre zur Anhäufung von Datensilos gekommen ist und in anderen Abteilungen mit einer anderen Version des Dokumentes bzw. des Datensatzes gearbeitet wird, besteht kaum noch Transparenz in Bezug darauf, was sich wann wie geändert hat. 

Änderungen automatisch protokollieren

Hier kann der Einsatz eines DMS Abhilfe schaffen. Agile DMS Software ist in der Lage, (manuell) durchgeführte Änderungen an Dokumenten automatisch zu protokollieren. Dies spart nicht nur Zeit, da ein manueller Arbeitsschritt hinfällig wird, sondern stellt auch sicher, dass nicht durch Unachtsamkeit eine wichtige Protokollierung unter den Tisch fällt (vgl. e-commerce-magazin.de). So kann ein Unternehmen Problemlos seiner Dokumentationspflicht – und im Ernstfall auch seiner Rechenschaftspflicht – nachkommen. 

Entlastung für KMUs 

Besonders kleine Unternehmen werden durch die Auflagen der DSGVO vor eine Herausforderung gestellt, da sie oftmals nicht über die Ressourcen verfügen, alle Auflagen effizient umsetzen zu können, ohne das eigene Tageschgeschäft zu beinträchtigen. Aus diesem Grund werden Unternehmen, welche von der EU-Kommission als kleine und Mittelständische Unternehmen eingestuft werden (kurz KMUs), davon, befreit, ein Verzeichnis über alle Datenverarbeitungstätigkeiten zu führen. 

Dokumentationspflicht belastet KMUs

Diese Befreiung ist jedoch an einige Bedingungen geknüpft. So können Unternehmen beispielsweise von der Dokumentationspflicht weitestgehend befreit werden, wenn sie lediglich gelegentlich Daten erheben und die Verarbeitung der Daten keine Gefährdung der Rechte und Freiheit der betroffenen Person darstellt. (vgl. dsgvo-gesetz.de). 

Besondere Daten bedürfen besonderen Umgang

Zudem ist eine Befreiung kategorisch ausgeschlossen, wenn sensible, personenbezogene Daten erhoben werden, die der Definition nach „besonderer Datenkategorien“ angehören. Dies ist beispielsweise der Fall, wenn es sich um Daten über Religionszugehörigkeit, ethnische Herkunft, Gesundheit oder sexuelle Orientierung handelt. Auch biometrische Daten zur eindeutigen Identifizierung einer Person fallen in diese Kategorie. 

Fazit – Alles halb so wild bei richtiger Arbeitsweise

Zusammenfassend lässt sich festhalten, dass die Dokumentationspflicht wesentlich leichter einzuhalten ist, wenn sie nicht als eine weitere, bürokratische Auflage verstanden und ihr wiederwillig nachgekommen wird, sondern sie vielmehr als ein Werkzeug genutzt wird, bei datenschutzrechtlichen Zwischenfällen die eigene Unschuld nachweisen zu können. 

Durch automatisierte Prozesse im DMS wird es zudem zunehmend leichter, Daten DSGVO-konform zu verwalten.