- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Datenschutzgerechte Dokumentenverwaltung

Dokumentenmanagement-Systeme (DMS) vereinfachen die Suche nach Dokumenten, unterstützen die Zusammenarbeit und bieten ein wertvolles Informationsarchiv. Die Dokumente können aber Spuren ihrer Benutzer enthalten und brauchen Schutz außerhalb des internen Netzwerks.

Ein Dokumentenmanagement-System verwaltet Dokumente über ihren gesamten Lebenszyklus hinweg. Die betriebswirtschaftlichen Vorteile sind unbestreitbar:

Doch wer eine solche Lösung einführt, braucht ein umfassendes Konzept, um keine gesetzlichen Anforderungen außer Acht zu lassen.

Hohe Anforderungen an digitale Dokumente

Bei digitalen Dokumenten müssen Unternehmen zahlreiche Vorgaben wie Vollständigkeit, Nachvollziehbarkeit, Verfügbarkeit und Unveränderbarkeit erfüllen. Nicht jedes System unterstützt die Anwender dabei, datenschutzrechtliche Vorgaben einzuhalten.

Datenschutzbeauftragte sollten von Beginn an in die Auswahl und Konzeption einbezogen werden. Gleich, ob es darum geht, ein DMS neu anzuschaffen oder es selbst zu entwickeln. Das gilt vor allem, wenn sich eine verantwortliche Stelle entscheidet, ein solches System als Cloud-Service zu nutzen. Eine Option, die zunehmend beliebt, aber folgenreich ist.

Vorsicht bei DMS aus der Cloud

Ein Dokumentenmanagement als Cloud-Service setzt vor seiner Einführung voraus, alle Forderungen an eine Auftragsdatenverarbeitung zu erfüllen. Vertraglich wie aus Sicht der Datensicherheit. Neben Konzepten, Planungen und Verträgen können Personalakten und andere personenbezogene Dokumente in die Cloud gelangen. Für intern betriebene wie für cloudbasierte Systeme müssen Unternehmen daher folgende Punkte sicherstellen:

Bestimmen Sie Schutzbedarf und Löschfristen

Ein Dokumentenmanagement-System verlangt ein Konzept, wie die einzelnen Dokumentenarten aus Datenschutz-Sicht einzustufen und zu behandeln sind. Klären Sie,

Protokollierung, Auditierung und Metadaten nicht vergessen

Ähnlich wie ein Laufzettel bei einem Papierdokument geben digitale Dokumente zu erkennen, in welchem Status sich die Akte befindet oder um welche Version es sich handelt. DMS führen in der Regel umfangreiche Protokollierungen durch und halten auf Benutzerebene fest, wer welche Änderungen und welchen Schritt am Dokument vollzogen hat. Doch die Protokolle müssen zweckgebunden sein. Verantwortliche Stellen dürfen sie nicht zur Verhaltens- oder Leistungskontrolle einzelner Benutzer heranziehen.

Nicht nur das Dokumentenmanagement zeichnet Informationen über den Benutzer auf. Auch viele Dokumentenarten speichern umfangreiche Daten über Erstellung, Änderung und Speicherung auf Benutzerebene ab. So lassen sich einem Dokument Informationen entnehmen, die den Inhalt übersteigen:

Diese Metadaten ermöglichen unter Umständen eine unerlaubte heimliche Leistungskontrolle.

Sicherheitskonzept für das DMS allein reicht nicht

Wer Datenschutz und Datensicherheit sicherstellen will, darf nicht bei einem reinen Konzept für das Dokumentenmanagement stehen bleiben. Analysieren Sie die Lösung in Verbindung mit

Auch dort verstecken sich Datenrisiken etwa durch Schwachstellen und Sicherheitslücken.

Nutzen Sie die Checkliste, um das digitale Management von Dokumenten in Ihrem Unternehmen umfassend zu prüfen:


Download: Checkliste Prüfung Dokumentenmanagement [2]


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Das Fachmagazin Datenschutz PRAXIS [3] gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!