Digitales Dokumentenmanagement -
Der Lichtblick im DSGVO-Dschungel?
- Veröffentlicht am
Am 25. Mai 2018 hat das Bürokratiemonster zugeschlagen und uns die Datenschutz-Grundverordnung (DSGVO) beschert. Das Ganze ist schon eine Ewigkeit her und dementsprechend haben wir in den letzten Jahren auch einige Artikel zu dem Thema veröffentlicht. Eine Übersicht finden Sie hier: https://www.dmsfactory.com/tag/datenschutz/
Trotz der Zeit, die vergangen ist, haben noch einige Unternehmen mit der Einhaltung und Berücksichtigung der unzähligen Vorschriften der DSGVO zu kämpfen. Das liegt vor allem an den hohen Anforderungen an die detaillierte Dokumentation jedes einzelnen Schrittes und dem damit einhergehenden Organisationsaufwand.
Wir fügen unserer Sammlung an DSGVO-Artikeln heute einen weiteren hinzu, denn wir schauen uns heute genauer an, inwiefern uns digitale Lösungen im DSGVO-Dschungel weiterhelfen können.
Was ist die DSGVO?
Die DSGVO, im Englischen GDPR, ist eine EU-weite Vorschrift, die sämtliche Regeln zur Verarbeitung personenbezogener Daten von Menschen aus und in der EU umfasst. Unter anderem, dass Sie bei jedem Besuch einer Webseite Ihre persönlichen Cookie-Präferenzen angeben müssen, haben Sie der DSGVO zu verdanken 😉 Spaß beiseite – es ist wichtig, dass diese Vorschriften (vor allem von Unternehmen) beachtet werden, denn der Schutz unserer persönlichen Daten liegt uns allen am Herzen!
Was sind personenbezogene Daten?
Als personenbezogene Daten werden alle Informationen bezeichnet, die eine Person identifizierbar machen. Dazu gehören beispielsweise Name, Alter, Geburtsdatum sowie Anschrift, Telefonnummer, E-Mail-Adresse, aber auch Kontonummer, KFZ-Zeichen, IP-Adresse und Standortdaten fallen darunter – und das sind noch nicht alle! Glauben Sie uns, es gibt wirklich einige personenbezogene Daten, die tagtäglich verarbeitet werden können.
Die Ziele der DSGVO
Vorab: Die DSGVO stellt die Persönlichkeitsrechte des Individuums in den Fokus. Aus diesem Grund sind die Ziele auch so ausgerichtet, dass die/der einzelne NutzerIn davon profitiert. Was das Ganze für Unternehmen bedeutet, erklären wir später.
Wer verarbeitet meine Daten und wofür werden sie verwendet?
Diese Unwissenheit hat nun schon seit Jahren ein Ende! Denn durch die DSGVO erhält nun jede/r die Information, was mit ihren/seinen personenbezogenen Daten passiert. Ja, man hat sogar die Möglichkeit, der Weiterverarbeitung in bestimmten Belangen zu widersprechen, indem man beispielsweise die Verwendung der Daten zu Marketingzwecken unterbindet. Meistens ist das schon mit nur einem Klick bspw. auf Webseiten mit der Cookie-Abfrage erledigt. So haben die NutzerInnen mehr Einfluss auf die Datenverarbeitung, als es noch vor der Einführung der DSGVO der Fall war.
NutzerInnen haben das Recht auf Vergessenwerden
Dieses Recht auf Vergessenwerden, oder auch Recht auf Vergessen, stellt sicher, dass digitale personenbezogene Daten den erfassenden Unternehmen nicht dauerhaft zur Verfügung gestellt werden. NutzerInnen haben nun also nicht nur die Möglichkeit, (gezielt und wissend) die Verarbeitung ihrer Daten zuzulassen! Im Gegenteil: Sie dürfen diese Zustimmung auch wieder zurückziehen und das Unternehmen ist somit verpflichtet, die Verarbeitung aller erhobenen Daten zu stoppen und diese zu löschen – sofern es keine triftigen Gründe gibt, die eine Aufbewahrung erfordern, aber auch darüber müsste entsprechend aufgeklärt werden.
Warum ist die DSGVO immer noch für viele Unternehmen ein Problem?
Als die DSGVO im Jahr 2018 in Kraft trat, fanden sich viele Unternehmen in einem riesigen Paragrafendschungel wieder, ohne überhaupt zu wissen, was von ihnen erwartet wird. Auf einmal mussten unzählige Dokumente neu erstellt und damit einhergehend zum Teil auch Abläufe angepasst werden – nämlich da, wo es beispielsweise nicht rechtens war, Daten zu erfassen. Es mussten andere Abläufe geplant werden oder überhaupt erst mal festgestellt werden, wo Daten erfasst werden und vieles mehr. Während Unternehmen versuchten, diese Anforderungen zu begreifen, umzusetzen und zu verinnerlichen, finden sie sich zum Großteil im Chaos wieder. Immerhin ist es gar nicht so einfach, haargenau zu dokumentieren, wer wo, wann, wie und warum personenbezogenen Daten erfasst. Und hier ist es ganz egal, ob in Papierform oder auch digital – der riesige Haufen Arbeit lässt nicht lange auf sich warten!
Nach nun mehreren Jahren, in denen wir uns alle an die vielen neuen Vorschriften und Regelungen gewöhnen konnten, sollte die Lage in den deutschen Unternehmen mittlerweile schon ganz anders aussehen, oder? Falsch gedacht! Egal wo wir nachfragen, die DSGVO verbreitet immer noch bei einigen Unternehmen Schreck und Chaos. Sie wird mit einer Menge Papierkram und technischem Know-how in Verbindung gebracht – Viele Gedanken, die einen erst mal erschlagen.
Ihnen geht es genauso? Dann bleiben Sie unbedingt dran, denn jetzt schauen wir uns die digitalen Lösungen an, die Ihnen bei genau diesem (Papier-)Chaos weiterhelfen können
Welche digitalen Lösungen Ihnen weiterhelfen
Die DSGVO brachte mit ihrem Inkrafttreten zahlreiche neue Herausforderungen für Unternehmen jeder Größe und Branche mit sich. Jedes Unternehmen konnte vollkommen individuell damit umgehen. Während beispielsweise größere Unternehmen unmittelbar ganze Abteilungen umstrukturierten und ein eigenes Team für den Bereich Datenschutz einführten, nahmen sich die Kleineren den neuen Aufgabenhaufen eher Stück für Stück vor.
Der Einsatz ausgewählter digitaler Lösungen im Arbeitsalltag kann uns einige dieser mühseligen DSGVO-Aufgaben abnehmen – besonders wenn es um organisatorischen Papierkram geht.
Welche Systeme wie weiterhelfen können, haben wir im Folgenden für Sie zusammengefasst:
Digitales Archivsystem
Ein digitales Archivsystem kümmert sich ausschließlich um die Archivierung von elektronischen Daten, Dokumenten und Informationen in einem digitalen, unveränderbaren und zukunftssicheren Dateiformat. Hier lassen sich beispielsweise wunderbar alle Themen aus dem Personalbereich sicher und richtig verwahren. Aber natürlich ist dies nur als ein einzelnes Beispiel zu sehen. Ebenso können hier erfasste Verlaufsdaten mit personenbezogenen Daten sicher abgelegt werden.
Dokumentenmanagementsystem (DMS)
Als Dokumentenmanagementsystem (DMS) bezeichnen wir eine Anwendung, die Unternehmen bei der elektronischen Verwaltung von Dokumenten unterstützt. Der Fokus liegt hierbei auf der Aufbewahrung, Verwaltung und Nachverfolgung der Inhalte. Das DMS fokussiert sich dabei darauf, für Unternehmen eine sichere und effiziente Verwaltung und auch eine beschleunigte Auffindbarkeit des richtigen Dokumentes sicher zu stellen. Im DSGVO-Alltag also ein wunderbares Mittel, schnell die richtigen Informationen zu finden, um bspw. Auskunft geben zu können, wenn eine anfragende Person wissen will, wie mit ihren Daten umgegangen wird.
Enterprise-Content-Management-System (ECM)
Das Enterprise-Content-Management-System (ECM) geht einen Schritt weiter als das DMS, denn es vereint die Funktionen eines DMS mit der Abbildung und Automatisierung ganzer Geschäftsprozesse. In der Anwendung selbst lassen sich Dokumente erstellen, Aufgaben verteilen und Fristen setzen – das sogar unternehmensweit!
Im DSGVO-Kontext ist das System perfekt geeignet, um beispielsweise Arbeitsanweisungen im Unternehmen bekannt zu machen, zu verteilen und zur Kenntnis zu nehmen. Aber auch die Möglichkeit der Wiedervorlage von Dokumenten, um nach einiger Zeit ihre Aktualität zu prüfen, ist eine Unterstützung bei der DSGVO-konformen Arbeit.
Sie möchten noch tiefer in das Thema Enterprise-Content-Management-System abtauchen? Dann informieren Sie sich gerne hier: https://www.dmsfactory.com/enterprise-content-management/
Anwendungsfälle der digitalen Unterstützung
Alle dieser drei Anwendungen unterstützen ihre NutzerInnen bei der DSGVO-konformen Arbeit. Hier sind einige Anwendungsfälle:
Geregelter Zugriff auf personenbezogene Daten in der Personalabteilung
Die Aufbewahrung und Verarbeitung der Daten Ihrer Mitarbeitenden sollte zu jeder Zeit den gesetzlich vorgegebenen Richtlinien entsprechen. Um das gewährleisten zu können, sollte sich das Unternehmen über die Vergabe von Zugriffsrechten absichern. So können sie festlegen, welche Personen auf ausgewählte Daten und Inhalte zugreifen, sie bearbeiten oder sogar löschen können.
So ist jederzeit sichergestellt, dass nur berechtigte Personen auf personenbezogene Daten Zugriff haben und der Fokus auf dem Schutz dieser Daten liegt. Und natürlich können die Zugriffe auf die Daten selbst dokumentiert werden…
Dasselbe gilt übrigens für die personenbezogenen Daten Ihrer KundInnen und StakeholderInnen wie LieferantInnen und Ähnliches.
Arbeitsanweisungen
Mit beispielsweise dem Einsatz eines QMS (basiert auf einem ECM) können Sie Arbeitsanweisungen erstellen, mit einer Frist versehen und direkt der entsprechenden Person zuweisen – das natürlich vollkommen DSGVO-konform und mit nur wenigen Klicks. Die Verantwortlichen können sich zu jeder Zeit einen aktuellen Überblick darüber verschaffen, welchen Status eine Arbeitsanweisung hat und welche Mitarbeitenden noch nicht mit der Bearbeitung begonnen haben.
So ist jede/r in Ihrem Unternehmen stets darüber informiert, wie mit personenbezogenen Daten umgegangen werden muss. Außerdem wissen alle, wie vorzugehen ist, wenn die Verarbeitung der eigenen Daten eingesehen bzw. beanstandet werden muss.
Fristenmanagement bei der Vergabe von Aufgaben
Beim digitalen Dokumentenmanagement können nicht nur Aufgaben erstellt und den entsprechenden Personen zugewiesen, sondern auch Fristen gesetzt werden. So weiß jede/r bis wann die jeweilige Aufgabe erledigt sein muss. Im Kontext der DSGVO hat das Ganze einen entscheidenden Vorteil: Es werden keine Fristen mehr überschritten, denn:
- Anstehende Anpassungsmaßnahmen können ganz einfach als Aufgabe im System erstellt und mit einer Frist versehen werden. So haben Sie die Garantie, dass Sie keine gesetzliche Frist mehr verpassen und alles den vorgegebenen Standards entspricht.
- Aber auch Aufbewahrungs- und Löschfristen, die sich auf personenbezogene Daten beziehen, werden ganz einfach durch wiederkehrende Erinnerungen, die sich auf bestimmte Daten und Dokumente beziehen, eingehalten. Ein gutes Beispiel hierfür: Die Aufbewahrung der Unterlagen von BewerberInnen. Denn die/der BewerberIn kann selbst entscheiden, ob diese direkt nach dem Bewerbungsverfahren oder erst ein halbes Jahr bis Jahr später vernichtet werden sollen. Werden die Unterlagen länger als zuvor definiert aufbewahrt, ist das ein klarer Verstoß gegen die DSGVO, der mit einer Strafe geahndet werden kann.
Unveränderbare Archivierung in zukunftssicheren Dateiformaten
Durch das digitale Arbeiten sind Sie dann auch in der Lage, Informationen, Dateien und Dokumente in zukunftssicheren Dateiformaten unveränderbar zu archivieren. Hier werden die NutzerInnen also nicht nur bezüglich des Arbeitsaufwandes und der Zeit entlastet, sondern sie sind ebenfalls abgesichert, wenn es um die nachvollziehbare und unveränderbare Archivierung geht.
Wichtig: Wo kein Kläger, da kein Richter? Das gilt bei der DSGVO nicht! Denn aufgrund der kritischen Daten, deren Verarbeitung durch die Vorschriften geregelt wird, wird auch detailliert geprüft, ob sich alle an die vorgegebenen Maßnahmen halten. Steht solch eine Prüfung an, hilft ein digitales System dabei, auf Knopfdruck alle relevanten Unterlagen und Nachweise parat zu haben.
Auftragsdatenverarbeitung
Personenbezogene Daten werden nicht nur im Kontext von Mitarbeitenden und KundInnen erhoben und verarbeitet, sondern dies kann auch bei der Zusammenarbeit mit Stakeholdern wie InvestorInnen, LieferantInnen und weiteren Dritten geschehen– hier kommt die Auftragsdatenverarbeitung ins Spiel! Diese bezieht sich auf die Übermittlung der erhobenen personenbezogenen Daten an externe Dritte, die diese Informationen wiederum gezielt weiterverarbeiten.
Beispiel: Das Unternehmen X ist Vertriebspartner von Unternehmen Y und somit ein Zwischenhändler. Wenn also Kunde A eine Bestellung bei Unternehmen X tätigt, gibt Unternehmen X die Daten an Unternehmen Y weiter, um die Lieferung in Auftrag zu geben. So werden die personenbezogenen Daten von Kunde A ebenfalls bei Dritten verarbeitet, worüber er informiert werden muss und was wiederum strengen Regeln unterliegt!
Während die dritte Partei zwar in der Lage sein muss, während der Datenverarbeitung alle DSGVO-Vorschriften einzuhalten, ist trotzdem noch das Unternehmen selbst für die datenschutzrechtlichen Parameter verantwortlich. In der Regel werden hier Verträge aufgesetzt, die festhalten, wie mit den Daten der KundInnen umgegangen werden muss.
Solche Verträge zur Auftragsdatenverarbeitung sollten zwingend digital erfasst und dann auch abgelegt werden. Im Fall eines Falles geht es hier nämlich darum, nachweisen zu können, welche Vereinbarung der Zusammenarbeit in Bezug auf die Daten von Personen, der auftraggebenden Partei, gegenüber externen Dritten getroffen wurden.
Fazit
Um alle DSGVO-Richtlinien zuverlässig einhalten zu können, benötigen Sie definitiv viel Organisationstalent, Zuverlässigkeit und Struktur. Digitale Lösungen wie ein Archivsystem, ein DMS oder ein ECM schaffen die perfekte Grundlage, um diese drei Punkte spielendleicht zu erfüllen. Mal ganz zu schweigen von den unzähligen weiteren Vorteilen, die der Einsatz solcher Anwendungen mit sich bringt.
Es ist jedoch wichtig, im Hinterkopf zu behalten, dass Sie egal wie digital und organisiert die Dokumentenverwaltung in Ihrem Unternehmen geregelt ist, die DSGVO schon jetzt und auch zukünftig einen wesentlichen Teil der Arbeit eines Unternehmens in Anspruche nehmen wird. Was digitale Lösungen in diesem Fall für sie tun können: Die alltäglichen Aufgaben so optimieren, dass die Gefahr auf DSGVO-Verstöße minimiert bzw. im Idealfall vermieden werden und Sie alle erforderlichen Dokumente und Informationen per Knopfdruck zur Hand haben!
Aber Achtung: Achten Sie bei der Auswahl unbedingt darauf, dass die digitale Lösung, die sie in Betracht ziehen, auch wirklich DSGVO-konform arbeitet und für Ihr Unternehmen zukunftsfähig ist.
Sie sind auf der Suche nach einer digitalen Lösung, die Ihnen aus den Tiefen des DSGVO-Dschungels heraushilft? Dann kommen Sie gerne auf uns zu!