Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
10. März 2019

Datenschutzgerechte Dokumentenverwaltung

Gratis
Datenschutzgerechte Dokumentenverwaltung
Bild: RawpixelLtd / iStock / Thinkstock
0,00 (0)
Verarbeitungstätigkeiten prüfen
Dokumentenmanagement-Systeme (DMS) vereinfachen die Suche nach Dokumenten, unterstützen die Zusammenarbeit und bieten ein wertvolles Informationsarchiv. Die Dokumente können aber Spuren ihrer Benutzer enthalten und brauchen Schutz außerhalb des internen Netzwerks.

Ein Dokumentenmanagement-System verwaltet Dokumente über ihren gesamten Lebenszyklus hinweg. Die betriebswirtschaftlichen Vorteile sind unbestreitbar:

  • So spart ein elektronisches DMS Zeit bei der Ablage und Suche im Dokumentenarchiv.
  • Es spart Personal- und Materialkosten.
  • Es optimiert Prozesse über Abteilungsgrenzen hinaus.
  • Es vermeidet Medienbrüche.
  • Es sorgt für eine bessere Verteilung der Informationen.
  • Mitarbeiter reagieren bei Anfragen schneller.

Doch wer eine solche Lösung einführt, braucht ein umfassendes Konzept, um keine gesetzlichen Anforderungen außer Acht zu lassen.

Hohe Anforderungen an digitale Dokumente

Bei digitalen Dokumenten müssen Unternehmen zahlreiche Vorgaben wie Vollständigkeit, Nachvollziehbarkeit, Verfügbarkeit und Unveränderbarkeit erfüllen. Nicht jedes System unterstützt die Anwender dabei, datenschutzrechtliche Vorgaben einzuhalten.

Datenschutzbeauftragte sollten von Beginn an in die Auswahl und Konzeption einbezogen werden. Gleich, ob es darum geht, ein DMS neu anzuschaffen oder es selbst zu entwickeln. Das gilt vor allem, wenn sich eine verantwortliche Stelle entscheidet, ein solches System als Cloud-Service zu nutzen. Eine Option, die zunehmend beliebt, aber folgenreich ist.

Vorsicht bei DMS aus der Cloud

Ein Dokumentenmanagement als Cloud-Service setzt vor seiner Einführung voraus, alle Forderungen an eine Auftragsdatenverarbeitung zu erfüllen. Vertraglich wie aus Sicht der Datensicherheit. Neben Konzepten, Planungen und Verträgen können Personalakten und andere personenbezogene Dokumente in die Cloud gelangen. Für intern betriebene wie für cloudbasierte Systeme müssen Unternehmen daher folgende Punkte sicherstellen:

  • Vertraulichkeit der Dokumente bei Speicherung, Nutzung und Verarbeitung
  • ein umfangreiches, manipulationssicheres Berechtigungs- und Rollenkonzept
  • starke Passwörter und für Administratoren eine Zwei-Faktor-Authentifizierung
  • Verschlüsselung von personenbezogenen Dateien zu jedem Zeitpunkt
  • Beschränkung der möglichen Recherchen (Metadaten und Volltext)
  • Verfügbarkeit und Integrität der Dokumente

Bestimmen Sie Schutzbedarf und Löschfristen

Ein Dokumentenmanagement-System verlangt ein Konzept, wie die einzelnen Dokumentenarten aus Datenschutz-Sicht einzustufen und zu behandeln sind. Klären Sie,

  • in welcher Form, in welchem Umfang und wie lange die Dokumente gespeichert werden dürfen,
  • ob eine Verschlüsselung und elektronische Signatur notwendig sind,
  • welche Dokumente das interne Netzwerk verlassen und wie sie gesichert werden (Verschlüsselung bei Transport und Datenübertragung) und
  • ob Dokumente auf mobilen Endgeräten landen und wie sie dort geschützt sind.

Protokollierung, Auditierung und Metadaten nicht vergessen

Ähnlich wie ein Laufzettel bei einem Papierdokument geben digitale Dokumente zu erkennen, in welchem Status sich die Akte befindet oder um welche Version es sich handelt. DMS führen in der Regel umfangreiche Protokollierungen durch und halten auf Benutzerebene fest, wer welche Änderungen und welchen Schritt am Dokument vollzogen hat. Doch die Protokolle müssen zweckgebunden sein. Verantwortliche Stellen dürfen sie nicht zur Verhaltens- oder Leistungskontrolle einzelner Benutzer heranziehen.

Nicht nur das Dokumentenmanagement zeichnet Informationen über den Benutzer auf. Auch viele Dokumentenarten speichern umfangreiche Daten über Erstellung, Änderung und Speicherung auf Benutzerebene ab. So lassen sich einem Dokument Informationen entnehmen, die den Inhalt übersteigen:

  • Erstellungs-, Änderungs-, Öffnungs- und Druckdatum
  • zuletzt gespeichert von welchem Benutzer
  • aktuelle Version
  • Bearbeitungszeit

Diese Metadaten ermöglichen unter Umständen eine unerlaubte heimliche Leistungskontrolle.

Sicherheitskonzept für das DMS allein reicht nicht

Wer Datenschutz und Datensicherheit sicherstellen will, darf nicht bei einem reinen Konzept für das Dokumentenmanagement stehen bleiben. Analysieren Sie die Lösung in Verbindung mit

  • der eingesetzten Datenbank und ggf. dem Cloud-Service,
  • dem verwendeten Server und dem Server-Betriebssystem,
  • den eingesetzten (mobilen) Endgeräten und ihren Betriebssystemen,
  • der internen und externen Netzwerkverbindungen bei der Datenübertragung sowie
  • den verwendeten Speichermedien.

Auch dort verstecken sich Datenrisiken etwa durch Schwachstellen und Sicherheitslücken.

Anzeige

Das Fachmagazin Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek

Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.

Er wurde als einer der „Top 50 Global Thought Leaders and Influencers on Privacy“ sowie mehrfach als Influencer und Media Leader für Technologien wie Blockchain, AI, VR / AR und Mobile Computing ausgezeichnet. Seine Spezialgebiete sind Datenschutz, Datensicherheit, IT-Sicherheit, Business & IT.

Kontakt:

http://www.schonschek.de

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen.