Unabhängig davon, ob es sich um Verträge, um Prozessdokumentationen oder Personalunterlagen handelt – alle Dokumente, die personenbezogene Daten enthalten, erfordern aus datenschutzrechtlicher Sicht einen besonders sensiblen Umgang. Zunächst einmal legt die EU-Datenschutz-Grundverordnung (DSGVO) einige Grundsätze hinsichtlich der Erhebung, Verarbeitung und Speicherung solcher Daten fest. Unternehmen müssen alle aktuellen Prozesse und bestehenden Systeme einer eingehenden Prüfung unterziehen und gegebenenfalls anpassen beziehungsweise neue Prozesse und Systeme gleich unter Einhaltung aller Datenschutzbedingungen etablieren. Die folgenden sechs Tipps helfen Unternehmen dabei, ihr Daten- und Dokumentenmanagement rechtskonform zu gestalten.
Richten Sie ein Datenschutzmanagementsystem ein
Die Datenschutz-Grundverordnung beziehungsweise das in Deutschland daran angelehnte neue Bundesdatenschutzgesetz (BDSG) enthält strukturierte Anforderungen dazu, wie Datenschutz in einem Unternehmen aussehen soll. Die Gesetze können auch Schweizer Unternehmen angehen. So betrifft etwa das BDSG neu auch private Unternehmen, die weder eine Niederlassung in Deutschland haben noch personenbezogene Daten in Deutschland verarbeiten, aber zum Beispiel Waren oder Dienstleistungen in Deutschland anbieten oder das Verhalten betroffener Personen in Deutschland beobachten.
Hier ist von «geeigneten technischen und organisatorischen Massnahmen» die Re-de, die die Einhaltung der Datenschutzgrundsätze garantieren sollen, um einerseits Daten vor unrechtmässiger Verarbeitung, Verlust, Zerstörung oder Beschädigung zu schützen und andererseits die Betroffenenrechte zu wahren. Um diese Anforderungen gewährleisten zu können, müssen Unternehmen ein Datenschutzmanagementsystem einführen, das alle Prozesse und Regelungen, die das Unternehmen zur Einhaltung von Datenschutz und Datensicherheit festlegt, dokumentiert und verwaltbar macht.
An dieser Stelle kann ein modernes Dokumentenmanagementsystem (DMS) dafür sorgen, dass alle erforderlichen Datenschutzunterlagen vorliegen. Dazu gehören nicht nur Dokumente wie Vertrags- und Personalakten, die direkt personenbezogene Daten enthalten, sondern auch Vorgabe- sowie Nachweisdokumente, beispielsweise Prozessdokumentationen wie Arbeitsanweisungen oder Einwilligungserklärungen. Entscheidend für die Einhaltung der Datenschutzanforderungen ist dabei stets die Aktualität dieser Dokumente: Arbeiten die betroffenen Mitarbeiter noch im Unternehmen? Sind die Verträge immer noch gültig? Haben sich unter Umständen Zuständigkeiten geändert? Ein DMS kann die regelmässige Überprüfung automatisch veranlassen. Für die Durchführung von Zertifizierungsaudits, welche die DSGVO anzustreben empfiehlt, schafft ein DMS zudem die optimale Basis, um die Einhaltung von Datenschutz- und Datensicherheitsbestimmungen gegenüber dem Prüfer nachzuweisen.
Gewährleisten Sie die sichere Verfügbarkeit von Daten
Die Systeme im Unternehmen, die personenbezogene Daten speichern und verarbeiten, müssen zuverlässig betriebsbereit sein, damit ausschliesslich der berechtigte Zugriff auf relevante Daten gewährleistet ist. Ein DMS sorgt beispielsweise dafür, dass Mitarbeiter auf die für ihre Arbeit notwendigen Dokumente, wie beispielsweise Kundenverträge, verlässlich zugreifen können.
Auch aus datenschutzrechtlicher Sicht ist die Verfügbarkeit wichtig: Hintergrund sind zum einen die Rechte der Betroffenen, also jener Personen, deren Daten verarbeitet werden. Die Mitarbeiter, die Vertragspartner und die Kunden haben ein Informationsrecht, wo das Unternehmen welche Daten über sie vorliegen hat und zu welchem Zweck es sie verwendet. Dank Such- und Filterfunktionen ermöglicht ein DMS den Unternehmen, schnell und einfach den Überblick über die vorhandenen Datenbestände zu behalten und damit auch die Einhaltung datenschutzrechtlicher Vorschriften belegen zu können.
Zum anderen müssen laut DSGVO jedwede Vorfälle, bei denen die Sicherheit personenbezogener Daten gefährdet ist, unverzüglich der jeweiligen Datenschutzbehörde angezeigt werden. Die geforderte sorgfältige Dokumentation dieser Vorfälle lässt sich nur dann fristgerecht und unkompliziert erstellen und an die Behörde übermitteln, wenn zuvor alle Prozessschritte der Datenverarbeitung festgehalten wurden.