Song_about_summer-stock.adobe.com6 Tipps, um beim Datenschutz durch DMS-Software alles richtig zu machen
Der Einsatz von DMS-Software optimiert nicht nur das Dokumentenmanagement – er erleichtert auch die Umsetzung der datenschutzrechtlichen Bestimmungen. Lesen Sie hier, worauf dabei zu achten ist.
Sicherheit im Umgang mit Daten – wer wünscht sich das nicht? Ein Dokumentenmanagementsystem (DMS) unterstützt den Datenschutz und die Datensicherheit in Unternehmen. Allerdings nur, wenn Sie richtig damit umgehen. Dieser Artikel klärt darüber auf, welche Vorteile der Einsatz eines DMS für den Datenschutz hat und wie Sie DMS-Software richtig einsetzen.
Anforderungen an Datensicherheit und Compliance stark gestiegen
Die Datenschutzgrundverordnung (DSGVO) hat 2019 das Datenschutzrecht europaweit verschärft. Vor allem stärkt die DSGVO die Rechte der Menschen, deren personenbezogene Daten Sie verarbeiten. Kunden, Mitarbeiter, Interessenten, Lieferanten, alle diese sind „Betroffene“ im Sinne des Datenschutzes. Besonders schutzwürdig sind Informationen über die Gesundheit, sexuelle Orientierung, Religion, Bonität, Vorstrafen und politische Einstellung von Personen.
Die GoBD wiederum stellen hohe Anforderungen an den Umgang mit Belegen und steuerrelevanten Daten. Rechtssichere Archivierung bedeutet, dass Belege unverlierbar, unveränderbar und nachvollziehbar, das heißt mit Bezug zum Geschäftsvorfall, gespeichert werden müssen. Diese Vorgaben und die nötige Verfahrensdokumentation sind nur mit einem Dokumentenmanagementsystem erfüllbar.
Verstöße gegen diese Vorschriften sind keine Kavaliersdelikte. Unternehmen, die sich nicht an die Vorgaben halten, riskieren Geldbußen und rechtliche Nachteile. Doch die gute Nachricht ist: Moderne DMS-Software macht Unternehmen die Erfüllung der Compliance-Anforderungen leicht.
Wie DMS-Software Datenschutz und Compliance unterstützt
Welche Compliance-Anforderungen kann ein Dokumentenmanagementsystem besonders gut unterstützen? Dies beantwortet der folgende Abschnitt.
DSGVO besser einhalten mit DMS-Software
Die folgende Tabelle zeigt, dass Sie beim Datenschutz Risiken eingehen, wenn Sie auf ein DMS verzichten. Sie erfahren, welche Anforderungen die Datenschutzgrundverordnung (DSGVO) an den Umgang mit personenbezogenen Daten stellt und wie ein DMS Ihnen die Einhaltung erleichtert. In einer dritten Spalte sehen Sie, ob und wenn ja, wie Sie die jeweilige Vorgabe ohne ein Dokumentenmanagementsystem erfüllen können.
| DSGVO-Vorgabe | Erfüllung mit DMS | Erfüllung ohne DMS |
|---|---|---|
| Rechtmäßigkeit der Verarbeitung | Informationen sind mit der Einwilligung des Betroffenen verlinkt | Ablage von Informationen und Einwilligung in demselben (realen oder digitalen) Ordner |
| Zweckbindung | Informationen sind mit dem Geschäftsvorfall verlinkt | Bezug zum Geschäftsvorfall durch Aktenplan und Register |
| Auskunftsrecht und Recht auf Vergessenwerden | Daten lassen sich per Suchfunktion systemweit extrahieren und an den Betroffenen liefern bzw. nachweislich löschen | Manuelle Suche durch Dateisystem oder in der Aktenablage, keine Garantie auf Vollständigkeit |
| Speicherbegrenzung | Wenn der Verarbeitungszweck wegfällt, können personenbezogene Daten entweder anonymisiert oder gelöscht werden | Anonymisierung ist oft nicht möglich, die Vernichtung bzw. das Löschen nur nach aufwändiger manueller Suche, oft unvollständig |
| Integrität und Vertraulichkeit | Zugriffsbeschränkungen, Zugriffsebenen und Schutz vor Weitergabe lassen sich einstellen, jeder Zugriff wird dokumentiert, redundante Speicherung schützt vor Verlust oder Beschädigung | Bei Papierakten unmöglich zu gewährleisten, bei Dateisystemen schwierig und unvollständig machbar |
GoBD besser einhalten mit DMS-Software
Eine ähnliche Betrachtung zeigt, wie DMS-Software auch die GoBD-Compliance Ihrer Buchführung auf eine neue Stufe heben kann.
| GoBD-Anforderung | Erfüllung mit DMS | Erfüllung ohne DMS |
|---|---|---|
| Unverlierbarkeit | Durch redundante Speicherung und Zugriffssteuerung bzw. Lösch-Schutz sind Belege unverlierbar | Versehentliche Löschung, Beschädigung oder Untergang lassen sich nie ganz ausschließen |
| Unveränderbarkeit | Belege bleiben im Originalzustand erhalten. Jede Weiterverarbeitung erzeugt eine neue Version | In Dateisystem mit Versionshistorie möglich, bei Papierbelegen unmöglich einzuhalten |
| Nachvollziehbarkeit | Verlinkung mit Geschäftsvorfall und Verfahrensdokumentation durch integrierte, automatische Protokollierung der Zugriffe und Verarbeitung | Aktenplan und/oder gemeinsame Ablage zusammengehöriger Dokumente |
Tipps für den Einsatz eines DMS – So machen Sie es richtig!
Eine DMS-Software allein kann Ihren Datenschutz nicht gewährleisten. Nicht umsonst fordert die DSGVO geeignete „technische und organisatorische Maßnahmen“, sogenannte TOMs.
Die technischen Maßnahmen erfüllt ein für den Unternehmenseinsatz geeignetes DMS. Die organisatorischen Maßnahmen müssen Sie schon selbst treffen. Unsere Tipps helfen Ihnen dabei.
Tipp 1: Geschäftstaugliche DMS-Software verwenden
Dokumentenmanagementsysteme gibt es wie Sand am Meer. Welches eignet sich für Ihr Geschäft? Unser Tipp: Nutzen Sie ein deutsches DMS. Das ist besonders bei Cloud-Lösungen wichtig. Wenn Ihre Daten über den großen Teich wandern, erfüllt Ihre Archivierung nicht mehr die Vorgaben von GoBD und DSGVO. Auch wenn US-amerikanische Unternehmen mit dem sogenannten „Privacy Shield“ werben: Denn dieser wurde kürzlich vom EUGH für ungültig erklärt, weil sich die US-amerikanischen Behörden per Gesetz den Zugriff auf alle in den USA gehosteten Daten sichern.
Darüber hinaus sollten Ihre Dokumente im Dokumentenmanagementsystem verschlüsselt gespeichert sein. Die DMS-Software muss im Hintergrund alle Dokumentenvorgänge protokollieren. Damit werden Änderungen nachvollziehbar, Versionen wiederherstellbar und die Integrität der Daten bleibt gewährleistet.
Am besten ist ein Dokumentenmanagementsystem, das in Ihre Geschäftsanwendungen – im Idealfall Ihr ERP – integriert ist. So entstehen keine Datensilos und Sie können schneller, weil prozessübergreifend, arbeiten. Darüber hinaus sollte Ihr DMS die notwendigen Funktionen bieten, um die nachfolgenden Tipps umzusetzen.
Tipp 2: Daten richtig klassifizieren und verschlagworten
Betroffene können jederzeit von Ihnen die Herausgabe oder Löschung ihrer Daten verlangen. In einem DMS können Sie jedes personenbezogene Dokument mit dem Namen des Betroffenen verschlagworten. Oder Sie setzen einen Bezug zu seinen Stammdaten, wenn die DMS-Software mit dem Kontaktmanagement integriert ist. Auch der Bezug zu Geschäftsvorfällen, Zweckbindungen und Einwilligungen lässt sich so herstellen.
Beim Klassifizieren der Daten geht es um verschiedene Schutzebenen. Wie oben gesagt, sind manche Informationen besonders schutzwürdig. Andere unterliegen einer Aufbewahrungspflicht. DMS-Software ermöglicht das Klassifizieren von Dokumenten, sodass Sie bestimmte Zugriffsprofile oder Verfallsdaten auf sie anwenden können, ohne sie einzeln anfassen zu müssen.
Tipp 3: Berechtigungen richtig einstellen
Vertraulichkeit und Integrität sind im Datenschutzrecht wichtig: Niemand Unbefugtes soll persönliche Daten sehen, teilen, ändern oder löschen können.
Das bedeutet:
- Mitarbeiter bekommen so viel Zugriff wie nötig und so wenig wie möglich. Auch die Suchfunktion der DMS Software soll ihnen keine Dokumente anzeigen, die sie nichts angehen.
- Der Zugriff ist auch zeitlich auf das geschäftlich notwendige Maß beschränkt.
- Die Zugriffsebene, das heißt nur-lesender Zugriff, Zugriff zur Bearbeitung, Zugriff zum Herunterladen und/oder Teilen von Dokumenten und Informationen sollte ebenfalls minimiert werden.
Damit Sie nicht jedem Mitarbeiter ein eigenes Zugriffsprofil schnitzen müssen, sollten Sie Profile für Nutzergruppen einrichten. Zum Beispiel braucht die Personalsachbearbeiterin Schreibzugriff auf Personalstammdaten haben, aber für den Azubi reicht ein nur-lesender Zugriff auf ausgewählte Bereiche. Und dieser Zugriff sollte verfallen, sobald der Azubi in eine andere Abteilung wechselt.
Tipp 4: Datenschutzkonzept für DMS-Einsatz erstellen
Gemeinsam mit Ihrem Datenschutzbeauftragten sollten Sie ein Konzept erarbeiten, um die Datensicherheit zu gewährleisten. Ein solches Konzept sollte folgende Aspekte abdecken:
- Der unbefugte Zugriff auf sensible Daten muss verhindert werden
- Verhindern, dass Daten zur Unzeit gelöscht oder geändert werden
- Sicherstellen, dass Daten anonymisiert oder gelöscht werden, wenn der Verarbeitungszweck wegfällt – aber nicht bei Unterlagen, die einer Aufbewahrungspflicht unterliegen!
- Nach der Aufbewahrungsfrist rechtzeitiges Löschen im DMS sicherstellen
- Verschlüsselung und Integritätsschutz sicherstellen
- Datenschutz-Folgenabschätzung für besonders schutzwürdige Daten vornehmen
- Die Protokollierung und Versionierung fließen in die Verfahrensdokumentation ein
- Prozesse rund um das Speichern und Verarbeiten personenbezogener Daten müssen definiert und ebenfalls in die Verfahrensdokumentation aufgenommen werden
Tipp 5: Ersetzendes Scannen und Belegarchivierung
Papiergebundene Rechnungen, Verträge, Quittungen und so weiter spielen auch heute noch eine Rolle. Um sie zu sichern und für eine digitale Verarbeitung verfügbar zu machen, werden sie gescannt. Der gescannte Beleg ersetzt den Originalbeleg und wird im DMS gespeichert.
Speziell für Eingangsrechnungen bietet moderne DMS-Software Unterstützung für die GoBD-Compliance. Dazu gehören der Schutz vor unbeabsichtigtem Löschen und die Fähigkeit zur revisionssicheren Belegarchivierung. Sogar ein spezielles Berechtigungsprofil für den Zugriff der Finanzbehörden kann zum Lieferumfang gehören.
Tipp 6: Dokumentengetriebene Prozesse definieren
Manche DMS ermöglichen dokumentengetriebene Prozesse. Das sind Prozesse, die Sie innerhalb der DMS-Software definieren, damit bestimmte Dokumenttypen einen Bearbeitungsfluss durchlaufen. So können Sie zum Beispiel für Eingangsrechnungen einen Genehmigungsworkflow festlegen oder sich vom Dokumentempfänger bestätigen lassen, dass er die Sicherheitsunterweisung gelesen und verstanden hat.
Der Vorteil solcher Workflows ist, dass Sie einen qualitätsgesicherten Prozess haben, der beweiskräftig dokumentiert ist.
Fazit
Die Anforderungen an Datenschutz, Verfahrensdokumentation und Ordnungsmäßigkeit der digitalen Buchhaltung sind in den letzten Jahren kontinuierlich gestiegen. Moderne Dokumentenmanagementsysteme ermöglichen Unternehmen, diese Vorgaben zu erfüllen – sofern Sie ihr DMS richtig einstellen und administrieren.
Die Mühe lohnt sich, denn DMS-Software bietet verschlüsselte Speicherung, Zugriffssteuerung und spezielle Funktionalitäten für eine rechtssichere Verwaltung von Dokumenten. Mehr noch: Sie unterstützt Prozesse rund um Dokumente und ermöglicht eine revisionssichere Archivierung von Buchhaltungsbelegen.
Dorothea Heymann-Reder schreibt Blogbeiträge, Ratgeberartikel und Whitepaper für Software- und Beratungsfirmen. Ihre Fachartikel behandeln unter anderem Unternehmenssoftware, Digitalisierung und Automatisierung von Betriebsabläufen sowie Compliance-Themen.
