24. Juni 2009 - Datenmanagement

Wenn andere über das eigene Archiv wachen

Das Outsourcing von IT-Prozessen kann Kosten senken, stellt aber eine besondere Herausforderung für den Datenschutz dar. So könnte die an sich schon komplexe Überwachung der Aufbewahrungs- und Löschfristen noch schwieriger werden. Anders sieht es aber aus, wenn Sie das Datenmanagement und die Fristenüberwachung in andere Hände geben.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Ausgelagert werden inzwischen die verschiedensten IT-Prozesse, darunter Rechenzentrumsleistungen, Archivierungsdienste, Datenträgervernichtung und Supportdienste.

Trotz der wirtschaftlich angespannten Lage erwartet deshalb der Hightech-Branchenverband BITKOM in 2009 eine Umsatzsteigerung im Bereich IT- und Geschäftsprozess-Outsourcing um 7,2 Prozent.

Outsourcing ist aber auch eine Frage des Datenschutzes

Als Datenschutzbeauftragter können Sie jedoch die Kostensenkung durch Outsourcing nicht begrüßen, ohne auf die vielfältigen Herausforderungen für den Schutz personenbezogener Daten zu verweisen. Denn Datenschutz und Outsourcing gehören zusammen:

  • Es ist zu prüfen, ob bei der Datenverarbeitung im Outsourcing eine Funktionsübertragung oder eine Auftragsdatenverarbeitung vorliegt.
  • Durch Outsourcing verliert der Auftraggeber die alleinige Kontrolle über seine Daten.
  • Auch Daten mit hohem Schutzbedarf müssen zwischen Auftraggeber und Outsourcing-Partner transportiert oder übertragen werden.
  • Die Mitarbeiter des Outsourcing-Dienstleisters müssen genauso zuverlässig sein wie die eigenen Beschäftigten.
  • Die Kontrolle, ob die personenbezogenen Daten konform zu den gesetzlichen Vorgaben verarbeitet werden, muss bei Auftraggeber und Outsourcing-Partner erfolgen.

Der Dienstleister muss umfangreichen Schutz bieten können

Der Wahl eines zuverlässigen Dienstleisters kommt dabei eine entscheidende Rolle zu. So sollte ein Outsourcing-Partner mit dem Auftraggeber z.B. Vorkehrungen treffen gegen

  • den Ausfall der Datenverbindung, um die Verfügbarkeit zu sichern
  • den unerlaubten Zugriff auf die personenbezogenen Daten
  • mögliche Sicherheitsmängel beim Datentransport oder bei der Übermittlung,
  • unerlaubte Weitergabe der Daten an Dritte, entweder aus Unachtsamkeit des Personals oder durch Diebstahl.

Aufbewahrungsfristen wahren

Doch nicht nur Datenmissbrauch und Datenverlust gilt es zu verhindern. Lagert ein Unternehmen Daten an einen Dienstleister aus, bleibt der Auftraggeber verantwortlich dafür, die gesetzlichen Aufbewahrungspflichten sicherzustellen und für eine datenschutzgerechte Vernichtung zu sorgen.

Dies ist bei Outsourcing oft noch komplizierter, als es für ein Unternehmen bei interner Abwicklung ist (siehe auch „Aufbewahrungs- und Löschfristen“). Aber das muss nicht so sein.

Outsourcing kann auch eine Datenschutzlösung sein

Statt selbst in Übersichten die Aufbewahrungsfristen zu jedem relevanten Dokument zu vermerken, eine umfangreiche Wiedervorlage zu allen Fristen zu führen und nach Fristablauf jeweils die Datenträger oder Schriftstücke zu vernichten, können Sie dieses Datenmanagement ebenfalls outsourcen.

Dann wird das von Datenschützern meist als problematisch eingestufte Outsourcing sogar zu einer Datenschutzlösung.

Stellen Sie hohe Ansprüche an die Archivierung

Wenn Sie die Archivierung Ihrer Daten sowie die Vernichtung Ihrer Akten und Datenträger auslagern, sollten Sie sich die Abläufe beim Outsourcing-Partner genau ansehen.

So sollte nicht nur die Beachtung der gesetzlichen Aufbewahrungspflichten und damit die kunden- und dokumentenspezifische Archivierungsdauer in den Prozessen des Dienstleisters abgebildet sein. Auch die zeitnahe Bereitstellung temporär notwendiger Dokumente sollte möglich sein.

Darüber hinaus sollte Ihr Outsourcing-Partner die datenschutzkonforme Vernichtung der Datenträger und Schriftstücke leisten können sowie die automatische Information bieten, bei welchen Dokumenten und Daten die Aufbewahrungsfrist abgelaufen ist.

Machen Sie sich ein Bild von den Dienstleistungen

Da es sich bei Archivierung und Datenträgervernichtung um Hilfsfunk-tionen im Datenmanagement handelt, liegt bei diesen Dienstleistungen eine Auftragsdatenverarbeitung vor. Damit sind Ihr Unternehmen weiterhin für die Kontrolle und Überwachung der Datenverarbeitung zuständig.

Somit stellt sich die Frage, ob der Dienstleister eine Archivlösung einsetzt, die auf die speziellen Belange des Kunden zugeschnitten ist, und wie er die Vorgaben des Datenschutzes umgesetzt.

Outsourcing des Datenmanagements am Beispiel Reisswolf

Auf der IDACON 2009 (06.10.–08.10. in Würzburg) bietet sich Ihnen die Möglichkeit, solche Fragen zum Datenmanagement mit der Reisswolf Deutschland GmbH direkt zu klären.

Bei diesem Anbieter handelt es sich um eine Kooperation aus 17 mittelständischen Betrieben, die über 200 Kilometer Akten im Kundenauftrag aufbewahren und jedes Jahr über 100.000 Tonnen Datenträger und Papier vernichten.

Abgesicherter Aktentransport

Die Reisswolf Deutschland GmbH übernimmt auf Wunsch den ganzen Archivbestand eines Kunden. Die Datenübernahme wird protokolliert, die Archivbestände in speziellen Sicherheitsbehältern und Fahrzeugen abtransportiert. Die Entladung auf dem gesicherten Betriebsgelände des jeweiligen Reisswolf-Standorts erfolgt über ein abgeriegeltes Schleusensystem.

Barcodes und Archivsystem im Einsatz

Zu den Akten und Dokumenten, die eingelagert werden sollen, werden die gewünschten Merkmale in der Archivsoftware RWAS erfasst und individualisiert je Abteilung dargestellt. Die Archivsoftware unterscheidet die einzelnen Kunden als Mandanten. Braucht der Kunde später ein spezielles Dokument, lässt es sich im virtuellen Archiv schnell und bequem vom Arbeitsplatz aus auffinden.

Über eine verschlüsselte Webverbindung können die Kunden den für sie eingelagerten Aktenbestand einsehen, die gewünschten Akten über den Webbrowser in einem gesicherten Bereich auswählen und die zeitnahe Lieferung der Akten und Dokumente anfordern.

Ebenso kann der Kunde die Wiedereinlagerung der Dokumente und Ordner über die gesicherte Weboberfläche anstoßen.

Hohe Sicherheitsstandards im Archiv

Auch das Archiv bedarf einer ausgefeilten Sicherheitsinfrastruktur. Reisswolf beschreibt die Sicherheitsmaßnahmen in den Archiven u.a. mit

  • Videoüberwachung in den Archivhallen,
  • Einbruch- und Brandmeldeanlagen,
  • Klimaüberwachung,
  • Protokollierung aller Aktivitäten,
  • Verpflichtung des Personals auf das Datengeheimnis (§ 5 BDSG),
  • protokollierter Zugangskontrolle,
  • elektronischen Schließsystemen,
  • Akteneinsicht in separaten Räumen für zuvor autorisierte Personen.

Automatische Überwachung der Aufbewahrungsfristen

Um das Problem der Einhaltung der gesetzlichen Aufbewahrungs- und Löschfristen zu lösen, hält Reisswolf zu jedem Dokument die spezifischen Aufbewahrungsfristen vor. Nach Ablauf der Frist erhält der Kunde automatisch eine Benachrichtigung.

Wenn dann der eingelagerte Datenträger oder die Akte vernichtet werden soll, nutzt Reisswolf einen zertifizierten Vernichtungsprozess. So werden Papierunterlagen fein geschreddert, verwirbelt, zu Ballen verpresst und dem Recycling zugeführt.

Festplatten, CDs, Disketten und Magnetbänder werden nach den Leitlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu einem Granulat geschreddert.

Prüfung durch externe Auditoren

Externe Auditoren prüfen regelmäßig die Reisswolf-Betriebe. Und auf der IDACON 2009 können Sie sich selbst einen Eindruck davon machen, wie es ist, wenn Sie andere über die Aufbewahrungsfristen und Ihr Archiv wachen lassen.

Oliver Schonschek

 

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln