Anmelden


Interview: Die Herausforderungen der neuen DSGVO und Dokumenten Management

Die Verunsicherung ist groß. Mit der neuen Datenschutzgrundverordnung (DSGVO) ab dem 25. Mai 2018, kommen zusätzliche Herausforderungen auf jedes Unternehmen zu. Für uns als Dokumenten Management Hersteller stellt sich die Frage was in Bezug auf die DSGVO und den Umgang mit elektronischen Dokumente im täglichen Betrieb beachtet werden muss. Um nicht im Trüben zu fischen, haben wir den Fachanwalt für Informationstechnologierecht und Datenschutzbeauftragten Wolfgang A. Schmid zu diesem Thema befragt.

Ist der Betrieb eines Dokument Management Systems (DMS) überhaupt von der DSGVO betroffen?

Wolfgang Schmid: Voraussetzung ist, dass personenbezogene Daten verarbeitet werden. Das heißt, schon wenn Ansprechpartner von Kunden regelmäßig (mit Name, Telefondurchwahl oder personalisierter Email-Adresse) Login-Daten von Mitarbeitern mitverarbeiten, sind wir mittendrin im Anwendungsbereich der EU-DSGVO. Sollten elektronische Bewerbungen gespeichert und abgelegt werden, so ist dies auch ein wichtiges Thema, das zu beachten ist.

Gibt es Anforderungen, die ein DMS Hersteller hinsichtlich der Programmierung, Konstruktion und/oder Bereitstellung seiner DMS Software beachten muss?

Wolfgang Schmid: Der Kunde ist die verantwortliche Stelle und Adressat der EU-DSGVO. Er hat die Sicherheit der Verarbeitung zu gewährleisten. Er muss bei der eingesetzten Software – egal ob On-Premise hinter der Firewall oder SaaS – nachweisen, dass die Anwendung konstruktiv oder zumindest über Einstellungsmöglichkeiten zum Thema Datenschutz verfügt.  Privacy by Design und Privacy by default wird für den Hersteller ein Wettbewerbsvorteil sein, wenn er den Kunden mit den entsprechenden Dokumenten ihre Prüfungspflichten erleichtern kann. Die Gewährleistung von Löschkonzepten innerhalb der Programmierung wird sich zukünftig massiv von “datenschutzfreundlicher” und “datenschutzunfreundlicher” Software abgrenzen. Ein datensatzbezogenes Rechtekonzept stellt eine weitere technische Maßnahme dar. Im Gegensatz zu früher wird es erforderlich sein, dass Enterprise Content und Dokumenten Management Systeme über ein Löschkonzept verfügen. Dokumente und personenbezogene Daten müssen endgültig und nachweisbar gelöscht werden können.

Gibt es weitere Pflichten, wie Informations- oder Dokumentationspflichten, die ein DMS Hersteller einhalten muss? Welche Verantwortung hat ein DMS Hersteller gegenüber dem Kunden hinsichtlich der DSGVO?

Wolfgang Schmid: Dies hängt stark davon ab, ob auch personenbezogene Daten des Kunden auftragsgemäß verarbeitet werden sollen. Ist der Hersteller Auftragsverarbeiter, muss er für jeden Kunden die Verfahren dokumentieren und die Pflichten aus einer Auftragsverarbeitungsvereinbarung beachten. Dazu gehören Informations- und Dokumentations-Pflichten. Ist jedoch der Kunde ein Auftragsverarbeiter, wird ihn ein DMS stark dabei unterstützen, seinen Dokumentationspflichten nachzukommen. Technische und organisatorische Maßnahmen hat er abzubilden und es ist arbeitserleichternd, Unterlagen jederzeit griffbereit zu haben.

Macht es einen Unterschied ob ein DMS Partner nur berät und schult, oder z. B. solche Dienste wie Hosting anbietet?

Wolfgang Schmid: Über Hosting und Zugriff auf personenbezogene Daten öffnet der DMS Partner ebenfalls das Tor zur Auftragsverarbeitung und wird entsprechende Prüfungen und Dokumentationspflichten als Auftragsverarbeiter akzeptieren müssen. Der formale Aufwand ist ein Anderer. Datenschutzrechtlich ist auch Hosting ohne weiteres gut absicherbar. Der Berater hatte bislang lediglich Geheimhaltungs-Vorgaben zu unterschreiben. So ist auch der Zugriff zu den Systemen der Kunden für Support und Wartungsarbeiten zu berücksichtigen.

Wie ist mit historisch „gewachsenen Systemen“ und den darin oft riesig großen Datenbeständen umzugehen?

Wolfgang Schmid: Wenn personenbezogene Daten betroffen sind, besteht auch hier die große Herausforderung, die Vorgabe der EU-DSGVO zur Speicher-Begrenzung zu organisieren. Dies bedeutet ein Löschkonzept. Künftig werden die Hersteller das Rennen machen, die hierfür Lösungen anbieten.

Was ist bei der Einrichtung von Schnittstellen zu einer anderen Software und/oder anderen Geschäftspartnern zu beachten?

Wolfgang Schmid: Der Hersteller, der die Aussage treffen kann, wie er konzeptionell oder über Einstellungen hier Transparenz und Sicherheit gewährleistet, liegt in Zukunft vorne.

In Verfahrensbeschreibungen muss die verantwortliche Stelle Zugriffe anderer Abteilungen oder Dritter dokumentieren. Hier muss der intelligente Hersteller Vorarbeit leisten und FAQs oder ähnliches anbieten.

Was muss ich trotz oder wegen eines DMS Systems organisatorisch in meinem Unternehmen regeln?

Wolfgang Schmid: Zunächst muss das Unternehmen die Verfahrensbeschreibung im Verzeichnis der Verarbeitungstätigkeiten dokumentieren, dann erfolgen die Prüfungen der Rechtmäßigkeit der Datenverarbeitung sowie die Risikobewertung. Weitere Aufgaben sind technisch-organisatorische Maßnahmen, z. B. die vorstehend erwähnte Dienstleisterkontrolle, die  Gewährleistung der Sicherheit der Verarbeitung u. a.

Stehen sich die gesetzlichen Aufbewahrungspflichten, wie z. B. die GoBD und der Schutz von personenbezogenen Daten nicht im Weg?

Wolfgang Schmid: Weiterhin gelten in erster Linie die gesetzlichen Aufbewahrungspflichten. Es muss jedoch sichergestellt werden, dass diese Daten nach Ablauf dieser Pflichten gelöscht werden. Wenn also aufbewahrt werden muss, muss nicht gelöscht werden, also ergänzen sich beide.

Brauche ich, wenn ich ein DMS betreibe, auch einen Datenschutzbeauftragten (DSB)? Wenn ja, wer kann das sein (intern/extern)?

Wolfgang Schmid: Das hängt, unabhängig von der Anwendung, nach der EU-DSGVO davon ab, wenn eine Behörde oder verantwortliche Stelle, die Daten verarbeitet, eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen vornimmt oder z. B. Gesundheitsdaten verarbeitet werden. Dies gilt nach dem neuen BDSG 2018 (hier keine Änderung zum alten BDSG) dann, wenn mindestens 10 Personen mit Login und PW regelmäßig personenbezogene Daten verarbeiten. Es besteht immer die Möglichkeit, entweder einen betrieblichen DSB oder einen externen DSB zu benennen. Was sicher für den externen DSB spricht, ist die Tatsache, dass der betriebliche DSB absolut unkündbar ist, natürlich nur solange keine schwerwiegenden Gründe für eine fristlose Kündigung vorliegen.

Über Wolfgang A. Schmid

Als Fachanwalt für Informationstechnologierecht liegen die Tätigkeitschwerpunkte von Wolfgang Schmid im Datenschutzrecht, IT-Recht, Medien- und Telekommunikationsrecht, Handels- und Vertriebsrecht, Gesellschafts- sowie Wettbewerbsrecht. Nach erfolgreichem Studium der Rechtswissenschaften in Augsburg ist Herr Schmid seit 2002 als Rechtsanwalt und seit 2015 bei JuS Rechtsanwälte Schloms und Partner tätig. Darüber hinaus ist er externer Datenschutzbeauftragter, seit 2004 als Experte für Datenschutz etabliert sowie seit 2008 Referent der Deutschen Anwaltsakademie für IT- und Datenschutzrecht.

[www.lobonet.eu]