DMS-Software und Datenschutz: 6 Tipps zum richtigen Einsatz

Der Einsatz von DMS-Software verbessert nicht nur das Dokumentenmanagement, sondern erleichtert auch die Einhaltung datenschutzrechtlicher Bestimmungen. Lesen Sie hier, worauf Sie dabei achten sollten.

Sicherheit im Umgang mit Daten ist ein Wunsch, den jeder hegt. Ein Dokumentenmanagementsystem (DMS) kann den Datenschutz und die Datensicherheit in Unternehmen erheblich unterstützen – vorausgesetzt, es wird korrekt verwendet. In diesem Artikel erfahren Sie, welche Vorteile ein DMS für den Datenschutz bietet und wie Sie DMS-Software optimal einsetzen.

Anforderungen an Datensicherheit und Compliance stark gestiegen

Mit der Datenschutzgrundverordnung (DSGVO) wurde 2019 das Datenschutzrecht europaweit verschärft. Vor allem stärkt die DSGVO die Rechte der Personen, deren personenbezogene Daten Sie verarbeiten. Kunden, Mitarbeiter, Interessenten, Lieferanten – sie alle sind „Betroffene“ im Sinne des Datenschutzes. Besonders schutzwürdig sind Informationen über Gesundheit, sexuelle Orientierung, Religion, Bonität, Vorstrafen und politische Meinung von Personen.

Die GoBD wiederum stellen hohe Anforderungen an den Umgang mit steuerrelevanten Belegen und Daten. Rechtssichere Archivierung bedeutet, dass Belege unverlierbar, unveränderbar und nachvollziehbar, das heißt mit Bezug zum Geschäftsvorfall, aufbewahrt werden müssen. Diese Anforderungen und die entsprechende Verfahrensdokumentation können nur mit einem Dokumentenmanagementsystem erfüllt werden.

Verstöße gegen diese Vorschriften sind kein Kavaliersdelikt. Unternehmen, die sich nicht an die Vorgaben halten, riskieren Bußgelder und rechtliche Nachteile. Die gute Nachricht: Moderne DMS-Software macht es Unternehmen leicht, die Compliance-Anforderungen zu erfüllen.

Wie DMS-Software Datenschutz und Compliance unterstützt

Welche Compliance-Anforderungen kann ein Dokumentenmanagementsystem besonders gut unterstützen? Diese Frage wird im folgenden Abschnitt beantwortet.

DSGVO besser einhalten mit DMS-Software

Die folgende Tabelle zeigt, welche Datenschutzrisiken Sie eingehen, wenn Sie auf ein DMS verzichten. Sie erfahren, welche Anforderungen die Datenschutzgrundverordnung (DSGVO) an den Umgang mit personenbezogenen Daten stellt und wie ein DMS Ihnen die Einhaltung erleichtert. In einer dritten Spalte sehen Sie, ob und wie Sie die jeweilige Anforderung auch ohne DMS erfüllen können.

DSGVO-VorgabeErfüllung mit DMSErfüllung ohne DMS
Rechtmäßigkeit der VerarbeitungInformationen sind mit der Einwilligung des Betroffenen verlinktAblage von Informationen und Einwilligung in demselben (realen oder digitalen) Ordner
ZweckbindungInformationen sind mit dem Geschäftsvorfall verlinktBezug zum Geschäftsvorfall durch Aktenplan und Register
Auskunftsrecht und Recht auf VergessenwerdenDaten lassen sich per Suchfunktion systemweit extrahieren und an den Betroffenen liefern bzw. nachweislich löschenManuelle Suche durch Dateisystem oder in der Aktenablage, keine Garantie auf Vollständigkeit
SpeicherbegrenzungWenn der Verarbeitungszweck wegfällt, können personenbezogene Daten entweder anonymisiert oder gelöscht werdenAnonymisierung ist oft nicht möglich, die Vernichtung bzw. das Löschen nur nach aufwändiger manueller Suche, oft unvollständig
Integrität und VertraulichkeitZugriffsbeschränkungen, Zugriffsebenen und Schutz vor Weitergabe lassen sich einstellen, jeder Zugriff wird dokumentiert, redundante Speicherung schützt vor Verlust oder BeschädigungBei Papierakten unmöglich zu gewährleisten, bei Dateisystemen schwierig und unvollständig machbar

GoBD besser einhalten mit DMS-Software

Eine ähnliche Betrachtung zeigt, wie DMS-Software auch die GoBD-Compliance Ihrer Buchführung auf ein neues Niveau heben kann.

GoBD-AnforderungErfüllung mit DMSErfüllung ohne DMS
UnverlierbarkeitDurch redundante Speicherung und Zugriffssteuerung bzw. Lösch-Schutz sind Belege unverlierbarVersehentliche Löschung, Beschädigung oder Untergang lassen sich nie ganz ausschließen
UnveränderbarkeitBelege bleiben im Originalzustand erhalten. Jede Weiterverarbeitung erzeugt eine neue VersionIn Dateisystem mit Versionshistorie möglich, bei Papierbelegen unmöglich einzuhalten
NachvollziehbarkeitVerlinkung mit Geschäftsvorfall und Verfahrensdokumentation durch integrierte, automatische Protokollierung der Zugriffe und VerarbeitungAktenplan und/oder gemeinsame Ablage zusammengehöriger Dokumente

Belege rechtskonform und sicher archivieren
mit HS Dokumentenmanagement

Tipps für den Einsatz eines DMS

Eine DMS-Software allein kann den Datenschutz nicht garantieren. Die DSGVO verlangt daher geeignete „technische und organisatorische Maßnahmen“ (TOMs). Ein für den Unternehmenseinsatz geeignetes DMS erfüllt die technischen Anforderungen. Die organisatorischen Maßnahmen müssen jedoch von Ihnen selbst umgesetzt werden. Unsere Tipps unterstützen Sie dabei.

Tipp 1: Geeignete DMS-Software verwenden

Dokumentenmanagementsysteme gibt es wie Sand am Meer. Welches passt zu Ihrem Unternehmen? Unser Tipp: Verwenden Sie ein deutsches DMS. Das ist vor allem bei Cloud-Lösungen wichtig. Wenn Ihre Daten über den großen Teich wandern, ist die Archivierung nicht mehr GoBD- und DSGVO-konform. Grund hierfür ist, dass US-Behörden sich per Gesetz den Zugriff auf alle in den USA gehosteten Daten sichern.

Darüber hinaus sollten Ihre Dokumente im Dokumentenmanagementsystem verschlüsselt gespeichert sein. Die DMS-Software muss im Hintergrund alle Dokumentenvorgänge protokollieren. Damit werden Änderungen nachvollziehbar, Versionen wiederherstellbar und die Integrität der Daten bleibt gewährleistet.

Ideal ist ein Dokumentenmanagementsystem, das in Ihre Geschäftsanwendungen – am besten in Ihr ERP – integriert ist. So entstehen keine Datensilos und Sie können schneller arbeiten, da prozessübergreifend. Darüber hinaus sollte Ihr DMS die notwendigen Funktionen bieten, um die folgenden Tipps umzusetzen.

Tipp 2: Daten richtig klassifizieren und verschlagworten

Betroffene können jederzeit die Herausgabe oder Löschung ihrer Daten verlangen. In einem DMS können Sie jedes personenbezogene Dokument mit dem Namen der betroffenen Person verschlagworten. Oder Sie stellen einen Bezug zu seinen Stammdaten her, wenn die DMS-Software mit dem Kontaktmanagement integriert ist. Auch der Bezug zu Geschäftsvorfällen, Zweckbindungen und Einwilligungen kann auf diese Weise hergestellt werden.

Bei der Klassifizierung von Daten geht es um verschiedene Schutzstufen. Wie bereits erwähnt, sind einige Informationen besonders schutzwürdig. Andere wiederum unterliegen einer Aufbewahrungspflicht. Mit DMS-Software lassen sich Dokumente klassifizieren, so dass bestimmte Zugriffsprofile oder Verfallsdaten auf sie angewendet werden können, ohne dass sie einzeln angefasst werden müssen.

Tipp 3: Berechtigungen richtig einstellen

Vertraulichkeit und Integrität sind wichtige Aspekte im Datenschutzrecht: Niemand darf unbefugt personenbezogene Daten einsehen, weitergeben, verändern oder löschen können.

Das bedeutet:

  • Mitarbeitende erhalten so viel Zugriff wie nötig und so wenig wie möglich. Auch die Suchfunktion der DMS-Software soll ihnen keine Dokumente anzeigen, die sie nichts angehen.
  • Auch zeitlich ist der Zugriff auf das geschäftlich Notwendige beschränkt.
  • Die Zugriffsebenen, d.h. Lesezugriff, Zugriff zum Bearbeiten, Zugriff zum Herunterladen und/oder zur Weitergabe von Dokumenten und Informationen, sollten ebenfalls minimiert werden.

Damit nicht für jeden Mitarbeiter ein eigenes Zugriffsprofil erstellt werden muss, sollten Profile für Benutzergruppen erstellt werden. Beispielsweise benötigt die Personalsachbearbeiterin einen Schreibzugriff auf die Personalstammdaten, für den Auszubildenden reicht aber ein Lesezugriff auf ausgewählte Bereiche. Und dieser Zugriff sollte erlöschen, sobald der Auszubildende in eine andere Abteilung wechselt.

Tipp 4: Datenschutzkonzept für DMS-Einsatz erstellen

Gemeinsam mit Ihrem Datenschutzbeauftragten sollten Sie ein Konzept zur Gewährleistung der Datensicherheit erarbeiten. Ein solches Konzept sollte folgende Aspekte abdecken:

  • Unbefugten Zugriff auf sensible Daten verhindern
  • Verhindern, dass Daten zur Unzeit gelöscht oder verändert werden
  • Sicherstellen, dass Daten anonymisiert oder gelöscht werden, wenn der Verarbeitungszweck wegfällt – nicht jedoch bei Dokumenten, die einer Aufbewahrungspflicht unterliegen
  • Rechtzeitige Löschung im DMS nach Ablauf der Aufbewahrungsfrist sicherstellen
  • Verschlüsselung und Integritätsschutz sicherstellen
  • Datenschutz-Folgenabschätzung für besonders schutzwürdige Daten vornehmen
  • Protokollierung und Versionierung in die Verfahrensdokumentation integrieren
  • Prozesse rund um die Speicherung und Verarbeitung personenbezogener Daten definieren und ebenfalls in die Verfahrensdokumentation aufnehmen
Tipp 5: Ersetzendes Scannen und Belegarchivierung

Papierdokumente wie Rechnungen, Verträge und Quittungen sind nach wie vor wichtig. Um sie zu sichern und für die digitale Verarbeitung verfügbar zu machen, werden sie gescannt. Das gescannte Dokument ersetzt dann das Original und wird im Dokumentenmanagementsystem (DMS) archiviert.

Moderne DMS-Software bietet speziell für Eingangsrechnungen umfassende Unterstützung bei der GoBD-Compliance. Dazu gehören der Schutz vor unbeabsichtigtem Löschen sowie die revisionssichere Archivierung der Belege. Häufig beinhaltet die Software auch ein spezielles Berechtigungsprofil für den Zugriff durch die Finanzbehörden.

Tipp 6: Dokumentenbasierte Prozesse definieren

Einige DMS bieten die Möglichkeit, dokumentenbasierte Prozesse zu definieren. Diese Prozesse ermöglichen es Ihnen, bestimmte Dokumenttypen durch vordefinierte Bearbeitungsabläufe zu leiten. So können Sie zum Beispiel für Eingangsrechnungen einen Genehmigungsworkflow festlegen oder vom Dokumentenempfänger eine Bestätigung einfordern, dass er die Sicherheitsbelehrung gelesen und verstanden hat. Der Vorteil solcher Workflows ist, dass Sie einen qualitätsgesicherten Prozess haben, der beweiskräftig dokumentiert ist.

Fazit

Die Anforderungen an Datenschutz, Verfahrensdokumentation und Ordnungsmäßigkeit der digitalen Buchführung sind in den letzten Jahren stetig gestiegen. Mit modernen Dokumentenmanagementsystemen können Unternehmen diese Anforderungen erfüllen – vorausgesetzt, sie konfigurieren und administrieren ihr DMS richtig.

Der Aufwand lohnt sich, denn DMS-Software bietet verschlüsselte Ablage, Zugriffskontrolle und spezielle Funktionen für die rechtssichere Verwaltung von Dokumenten. Mehr noch: Sie unterstützt dokumentenbezogene Prozesse und ermöglicht die revisionssichere Archivierung von Buchungsbelegen.


Lesen Sie auch:
>> Aufbewahrung von Geschäftsunterlagen – Fristen und Pflichten
>> E-Mail-Archivierung – 6 verbreitete Irrtümer
>> 10 Kriterien für GoBD-konforme Software

Bildquelle: Song_about_summer-stock.adobe.com