10. März 2016 - Verfahrensprüfung

Datenschutzgerechte Dokumentenverwaltung

Dokumentenmanagement-Systeme (DMS) vereinfachen die Suche nach Dokumenten, unterstützen die Zusammenarbeit und bieten ein wertvolles Informationsarchiv. Die Dokumente können aber Spuren ihrer Benutzer enthalten und brauchen Schutz außerhalb des internen Netzwerks.

Dokumentenmanagement braucht eine gute Konzeption Ein datenschutzgerechtes System, um digitale Dokumente zu verwalten, will gut geplant sein (Bild: RawpixelLtd / iStock / Thinkstock)

Ein Dokumentenmanagement-System verwaltet Dokumente über ihren gesamten Lebenszyklus hinweg. Die betriebswirtschaftlichen Vorteile sind unbestreitbar:

  • So spart ein elektronisches DMS Zeit bei der Ablage und Suche im Dokumentenarchiv.
  • Es spart Personal- und Materialkosten.
  • Es optimiert Prozesse über Abteilungsgrenzen hinaus.
  • Es vermeidet Medienbrüche.
  • Es sorgt für eine bessere Verteilung der Informationen.
  • Mitarbeiter reagieren bei Anfragen schneller.

Doch wer eine solche Lösung einführt, braucht ein umfassendes Konzept, um keine gesetzlichen Anforderungen außer Acht zu lassen.

Hohe Anforderungen an digitale Dokumente

Bei digitalen Dokumenten müssen Unternehmen zahlreiche Vorgaben wie Vollständigkeit, Nachvollziehbarkeit, Verfügbarkeit und Unveränderbarkeit erfüllen. Nicht jedes System unterstützt die Anwender dabei, datenschutzrechtliche Vorgaben einzuhalten.

Datenschutzbeauftragte sollten von Beginn an in die Auswahl und Konzeption einbezogen werden. Gleich, ob es darum geht, ein DMS neu anzuschaffen oder es selbst zu entwickeln. Das gilt vor allem, wenn sich eine verantwortliche Stelle entscheidet, ein solches System als Cloud-Service zu nutzen. Eine Option, die zunehmend beliebt, aber folgenreich ist.

Vorsicht bei DMS aus der Cloud

Ein Dokumentenmanagement als Cloud-Service setzt vor seiner Einführung voraus, alle Forderungen an eine Auftragsdatenverarbeitung zu erfüllen. Vertraglich wie aus Sicht der Datensicherheit. Neben Konzepten, Planungen und Verträgen können Personalakten und andere personenbezogene Dokumente in die Cloud gelangen. Für intern betriebene wie für cloudbasierte Systeme müssen Unternehmen daher folgende Punkte sicherstellen:

  • Vertraulichkeit der Dokumente bei Speicherung, Nutzung und Verarbeitung
  • ein umfangreiches, manipulationssicheres Berechtigungs- und Rollenkonzept
  • starke Passwörter und für Administratoren eine Zwei-Faktor-Authentifizierung
  • Verschlüsselung von personenbezogenen Dateien zu jedem Zeitpunkt
  • Beschränkung der möglichen Recherchen (Metadaten und Volltext)
  • Verfügbarkeit und Integrität der Dokumente

Bestimmen Sie Schutzbedarf und Löschfristen

Ein Dokumentenmanagement-System verlangt ein Konzept, wie die einzelnen Dokumentenarten aus Datenschutz-Sicht einzustufen und zu behandeln sind. Klären Sie,

  • in welcher Form, in welchem Umfang und wie lange die Dokumente gespeichert werden dürfen,
  • ob eine Verschlüsselung und elektronische Signatur notwendig sind,
  • welche Dokumente das interne Netzwerk verlassen und wie sie gesichert werden (Verschlüsselung bei Transport und Datenübertragung) und
  • ob Dokumente auf mobilen Endgeräten landen und wie sie dort geschützt sind.

Protokollierung, Auditierung und Metadaten nicht vergessen

Ähnlich wie ein Laufzettel bei einem Papierdokument geben digitale Dokumente zu erkennen, in welchem Status sich die Akte befindet oder um welche Version es sich handelt. DMS führen in der Regel umfangreiche Protokollierungen durch und halten auf Benutzerebene fest, wer welche Änderungen und welchen Schritt am Dokument vollzogen hat. Doch die Protokolle müssen zweckgebunden sein. Verantwortliche Stellen dürfen sie nicht zur Verhaltens- oder Leistungskontrolle einzelner Benutzer heranziehen.

Nicht nur das Dokumentenmanagement zeichnet Informationen über den Benutzer auf. Auch viele Dokumentenarten speichern umfangreiche Daten über Erstellung, Änderung und Speicherung auf Benutzerebene ab. So lassen sich einem Dokument Informationen entnehmen, die den Inhalt übersteigen:

  • Erstellungs-, Änderungs-, Öffnungs- und Druckdatum
  • zuletzt gespeichert von welchem Benutzer
  • aktuelle Version
  • Bearbeitungszeit

Diese Metadaten ermöglichen unter Umständen eine unerlaubte heimliche Leistungskontrolle.

Sicherheitskonzept für das DMS allein reicht nicht

Wer Datenschutz und Datensicherheit sicherstellen will, darf nicht bei einem reinen Konzept für das Dokumentenmanagement stehen bleiben. Analysieren Sie die Lösung in Verbindung mit

  • der eingesetzten Datenbank und ggf. dem Cloud-Service,
  • dem verwendeten Server und dem Server-Betriebssystem,
  • den eingesetzten (mobilen) Endgeräten und ihren Betriebssystemen,
  • der internen und externen Netzwerkverbindungen bei der Datenübertragung sowie
  • den verwendeten Speichermedien.

Auch dort verstecken sich Datenrisiken etwa durch Schwachstellen und Sicherheitslücken.

Nutzen Sie die Checkliste, um das digitale Management von Dokumenten in Ihrem Unternehmen umfassend zu prüfen:


Download: Checkliste Prüfung Dokumentenmanagement


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Das Fachmagazin Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln