DSGVO und ECM – mehr als nur zwei Buzzwords

So unterstützt Sie ein ECM bei der DSGVO-Compliance

Refresh: was war nochmal die DSGVO?

Die europäische Datenschutz-Grundverordnung (DSGVO) trat am 25.05.2018 in Kraft und gilt für alle Unternehmen in den 27 EU-Mitgliedstaaten sowie für Unternehmen aus Drittstaaten, die personenbezogene Daten von EU-Bürgern verarbeiten. Sie regelt, wie diese Daten verarbeitet werden dürfen, und gibt den Betroffenen Rechte, mit denen sie unter anderem die Übertragung und Speicherung ihrer Daten kontrollieren und deren Löschung verlangen können. Die DSGVO greift bei allen gespeicherten Daten, unabhängig davon, ob diese digital oder analog auf Papier festgehalten werden. Doch damit die personenbezogenen Daten überhaupt erhoben und verarbeitet werden dürfen, muss die Einwilligung der betroffenen Person über die Datenverarbeitung vorliegen, die jederzeit widerrufen werden kann.

Was sind personenbezogene Daten?

Laut DSGVO Artikel 4 sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – ob im privaten oder beruflichen Kontext. Identifizierbar bedeutet, dass die Person direkt oder indirekt durch die Zuordnung zu einer Kennung (Name, Kennnummer, Standortdaten oder einem oder mehreren besonderen Merkmalen zur physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person) identifiziert werden kann.

Die Grundsätze der DSGVO

Die DSGVO definiert in Art. 5 die Grundsätze für die Verarbeitung personenbezogener Daten. Demnach müssen personenbezogene Daten:

  • rechtmäßig, nach Treu und Glauben und für die betroffene Person nachvollziehbar verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz);
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden (Zweckbindung);
  • dem Zweck angemessen und auf das notwendige Maß beschränkt sein (Datenminimierung);
  • sachlich richtig und auf dem neuesten Stand sein. Dafür müssen Maßnahmen getroffen werden, um diese Daten unverzüglich löschen oder berichtigen zu können (Richtigkeit);
  • so gespeichert werden, dass eine Identifizierung der betroffenen Personen nur so lange möglich ist, wie es für den Zweck der Verarbeitung erforderlich ist (Speicherbegrenzung);
  • sicher verarbeitet werden, um die Sicherheit der personenbezogenen Daten zu gewährleisten (Integrität und Vertraulichkeit),
  • unter Einhaltung dieser Grundsätze aufbewahrt werden, wobei der Verantwortliche die Einhaltung nachweisen können muss (Rechenschaftspflicht).

Rechtmäßigkeit der Verarbeitung personenbezogener Daten

Nach Artikel 6 DSGVO ist die Rechtmäßigkeit der Verarbeitung erfüllt, wenn mindestens eine dieser Bedingungen erfüllt ist:

  • Die betroffene Person hat der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt;
  • die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
  • die Verarbeitung ist für den Schutz der lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person notwendig;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Die Rechte der EU-Bürger aus der DSGVO

Für die betroffenen Personen ergeben sich unter anderem folgende Rechte:

  • Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person und Recht auf Datenübertragbarkeit: Sie kann die Informationen über die Verarbeitung der sie betreffenden personenbezogenen Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt bekommen und diese Daten einem anderen Verantwortlichen übermitteln.
  • Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person: Sie muss zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten über den Verantwortlichen, seinen Datenschutzbeauftragten, die Zwecke der Verarbeitung sowie die Rechtsgrundlage und ggf. die berechtigten Interessen, die Empfänger der Daten und die Absicht des Verantwortlichen, die Daten an ein Drittland zu übermitteln, informiert werden.
  • Auskunftsrecht: Die betroffene Person kann vom Verantwortlichen eine Bestätigung verlangen, ob und welche sie betreffenden personenbezogenen Daten verarbeitet werden.
  • Recht auf Berechtigung: Die betroffene Person kann die Berichtigung und ggf. die Vervollständigung unrichtiger personenbezogener Daten verlangen.
  • Recht auf Löschung: Die betroffene Person kann verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern dem keine gesetzlichen Verpflichtungen, ein öffentliches Interesse oder gesetzliche Ansprüche entgegenstehen.
  • Das Recht auf Einschränkung der Verarbeitung
  • Widerspruchsrecht: Sie kann jederzeit der Verarbeitung der sie betreffenden personenbezogenen Daten widersprechen.
  • Automatisierte Entscheidungen im Einzelfall einschließlich Profiling: Sie hat das Recht, der Entscheidungsfindung ausschließlich auf Basis automatisierter Verarbeitung ihrer Daten zu widersprechen. Somit darf der Verantwortliche die Entscheidungen nicht ausschließlich automatisiert treffen, sondern muss einen Menschen daran beteiligen.

Einen Überblick über die DSGVO finden Sie hier: https://www.dmsfactory.com/dsgvo-die-eu-datenschutz-grundverordnung-im-ueberblick/

Ebenso haben wir Ihnen einen 4-Schritte-Plan zur Einhaltung der DGSVO erstellt: https://www.dmsfactory.com/in-vier-schritten-zur-einhaltung-der-dsgvo-ein-klarer-leitfaden/

Wie unterstützt mich ein ECM bei der Einhaltung der DSGVO?

Der Umgang mit personenbezogenen Daten

Ein Enterprise-Content-Management-System (ECM) vereint alle unternehmensweiten Daten, Dokumente und Informationen (Inhalte) strukturiert und revisionssicher an einem zentralen Ort. Durch die Anwendung eines ECM können nicht nur personenbezogene Daten mit wenigen Klicks gefunden, exportiert, korrigiert, gelöscht und archiviert werden – in ihm werden die Zugriffe über die Vergabe von Zugriffsrechte granular gesteuert und jeder Zugriff und jede Änderung an einem Inhalt dokumentiert, wodurch der Verarbeitungsprozess der personenbezogenen Daten detailliert nachgewiesen werden kann.

Durch die zentrale Verwaltung aller Daten, die in einem ECM so einfach wie mit einer Suchmaschine gefunden werden können, entfällt die aufwändige Suche in den verschiedenen Anwendungen bei einer Anfrage einer betroffenen Person über die sie betreffenden Daten (Auskunftsrecht). Im Fall, dass der/die Betroffene seine/ihre Daten an einen anderen Verantwortlichen übertragen möchte, ist das Unternehmen verpflichtet, alle ihm vorliegenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu exportieren (Recht auf Datenübertragbarkeit). Hier unterstützt ein ECM unter anderem durch die einfache Auffindbarkeit der Daten und Prozesse für den Export ebenso wie beim Löschen aller betroffenen Daten.

Die Verarbeitung personenbezogener Daten in einem ECM ermöglicht es im Falle einer DSGVO-Prüfung mit nur wenigen Klicks einen Nachweis über die Verarbeitung und alle Zugriffe erbringen zu können. Denn ein gutes ECM verfügt über detaillierte Audit- und Reporting-Funktionen, die den/die Verantwortliche/n in die Lage versetzen, die Dokumentationen und alle weiteren Informationen, die von den Prüfern/innen oder Auditoren/innen gefordert werden, schnell und unkompliziert zusammenzustellen. Darin sind alle Zugriffe und Bearbeitungen inklusive Zeitstempel und Nutzerangabe dokumentiert (Dokumentationspflicht).

Hier ist die Nutzung von Metadaten der Schlüssel zum Erfolg. Mit ihnen werden personenbezogene Daten als solche klassifiziert, was das spätere Wiederauffinden erleichtert. Metadaten sorgen für eine einfache Auffindbarkeit, können Prozesse anstoßen (siehe nächstes Unterkapitel) und auch Daten vor einer weiteren Verarbeitung schützen (Recht auf Einschränkung der Verarbeitung). Dabei kann der Einsatz von künstlicher Intelligenz (KI) einiges an Arbeit übernehmen, indem sie personenbezogene Daten selbstständig erkennt und klassifiziert. Wenn sich das ECM außerdem nahtlos in die bestehenden Systeme integriert und die dort enthaltenen Daten zentral verwaltet, kontrolliert und klassifiziert, steht der DSGVO-Compliance und dem Schutz der sensiblen Daten nichts mehr im Weg.

Automatisierte Prozesse

Für die Einhaltung der Anforderungen aus der DSGVO müssen Unternehmen Richtlinien für den Umgang mit personenbezogenen Daten aufstellen und Prozesse rund um die Verarbeitung dieser Daten definieren und sicherstellen – bestenfalls automatisiert. Ein ECM mit Workflow-Funktionalitäten ermöglicht die unternehmensweite Definition dieser Prozesse und die Zuweisung von Verantwortlichkeiten für die verschiedenen Bearbeitungsschritte. Die Automatisierung von Prozessen ist zum Beispiel bei der Verletzung des Schutzes der personenbezogenen Daten hilfreich, der dem Betroffenen unverzüglich und der Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden muss. Und auch die Korrektur oder das Löschen aller personenbezogenen Daten auf Anfrage des Betroffenen kann durch einen Workflow automatisiert werden (Recht auf Berichtigung & Löschung).

Verfügt das ECM über die Möglichkeit, Aufbewahrungs- und Löschfristen automatisch zu vergeben und einzuhalten, können diese Fristen automatisiert eingehalten werden, wodurch personenbezogene Daten nicht länger als nötig gespeichert werden.

Bild: Beispiel einer 360-Grad-Sicht im ECM von M-Files. Zum Vergrößern klicken.

Manche ECM-Lösungen setzen außerdem auf eine 360-Grad-Sicht. Mit der 360-Grad-Sicht können mit einem Klick sämtliche mit einem Objekt – in diesem Fall einer Person – verknüpften Daten und Dokumente angezeigt werden. Das erleichtert zum Beispiel die Suche nach den mit einem Kunden / einer Kundin verknüpften Dokumenten und Daten, wenn dieser / diese eine Auskunft darüber wünscht oder die Löschung beantragt. 

Auch die Schulung der Mitarbeiter/Mitarbeiterinnen und die Unterweisung über neue Richtlinien – so zum Beispiel über Neuerungen der DSGVO und deren Anwendung – lassen sich in einem ECM umsetzen und dokumentieren. So lassen sich zum Beispiel Dokumente als verpflichtendes Lernmaterial für bestimmte Nutzergruppen markieren und die erfolgte Schulung oder die Kenntnisnahme der Unterlagen mittels elektronischer Signatur bestätigen. Den Überblick über den Bearbeitungsstatus gewährt ein ECM ebenfalls – somit haben Sie alles jederzeit im Blick.

Fazit

Mit einem ECM stehen Ihnen alle Daten und Informationen strukturiert und nachvollziehbar zu Verfügung – unabhängig davon, ob diese personenbezogen sind oder nicht. Der Einsatz eines ECM unterstützt Sie dabei, die Anforderungen aus der DSGVO einzuhalten und den Schutz personenbezogener Daten sicherzustellen. Dabei sind Funktionen wie die Vergabe von Zugriffsrechten, die Dokumentation von Zugriffen und Änderungen sowie die Definition von Workflows für die einheitliche und dokumentierte Abarbeitung wiederkehrender Prozesse unabdingbar. Denn die Automatisierung aller Aufgaben zum Schutz von sensiblen personenbezogenen Daten sorgt für Ordnung, Konsistenz und Effizienz in Ihren Geschäftsprozessen. Zusätzlich sind Features für die Schulung der Mitarbeiter von Vorteil, damit Sie alles an einem Ort haben.

Falls Sie also bislang auf die manuelle Verwaltung der von Ihnen erhobenen personenbezogenen Daten setzen, sollten Sie lieber die Anschaffung eines ECM in Erwägung ziehen, um die Daten jederzeit DSGVO-konform zu verwalten.

Scroll to Top