Löschen, Verantwortlichkeit und Fazit

Löschen Sie Daten, nachdem diese ihren Zweck erfüllt haben. Insbesondere bei Vertragsunterlagen oder Personalakten scheinen die Datenschutzgrundsätze der Zweckbindung und Speicherbegrenzung den gesetzlich geforderten Aufbewahrungsfristen häufig entgegenzuwirken. Tatsächlich stehen aber die Rechte der betroffenen Personen im Vordergrund. Darum dürfen Unternehmen personenbezogene Daten nur so lange speichern, wie sie notwendig sind, um den damit verbundenen Zweck zu erfüllen.

Ausnahmen gelten für „im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungs- oder statistische Zwecke“. Aber auch dann verlangt die DSGVO „geeignete technische und organisatorische Maßnahmen“, wie etwa die Pseudonymisierung und Verschlüsselung personenbezogener Daten, um die Identität der betroffenen Personen zu schützen.

Mit einem DMS lassen sich entsprechend automatisierte Workflows anlegen, die eine Prüfung der vorliegenden Daten und Dokumente vornehmen. Dadurch lässt sich der Daten- und Dokumentenbestand eines Unternehmens hinsichtlich der noch vorhandenen oder bereits erloschenen Zweckbindung einerseits und anhand von gesetzlichen Aufbewahrungsfristen andererseits aktualisieren.

Hat ein Unternehmen beispielsweise eine vakante Stelle besetzt, sind die dafür eingereichten Unterlagen und Daten von Bewerbern zu löschen. Ist ein Vertrag zwar nicht mehr aktiv, muss aber noch für eine bestimmte Zeit zu Revisionszwecken aufbewahrt werden, sollten Unternehmen jene Bestandteile mit personenbezogenen Daten entfernen, die für die Revision nicht von Belang sind.

Seien Sie sich bewusst, dass Sie für Datenschutz und Datensicherheit verantwortlich sind. Grundsätzlich ist jedes Unternehmen, das personenbezogene Daten erhebt, speichert oder nutzt, für die Einhaltung der rechtlichen Vorgaben verantwortlich. Datenschutz und Datensicherheit sind vom Unternehmen selbst sicherzustellen. Das gilt auch dann, wenn Sie beispielsweise einen externen Dienstleister beauftragen oder eine vom Hersteller gehostete Software-Lösung für die Datenverarbeitung – zum Beispiel ein DMS – einsetzen.

Neu ist laut DSGVO, dass der Anbieter oder sogenannte Auftragsverarbeiter zusätzlich zum Auftraggeber in der Verantwortung steht. Beiden Seiten drohen im Fall eines Verstoßes gegen die Datenschutzvorschriften Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweit generierten Umsatzes.

Für Unternehmen sollte das gestiegene Strafmaß also Motivation genug sein, um bei der Datenverarbeitung oder der Beauftragung selbiger auf die Rechtsvorschriften zu achten – unabhängig davon, ob die Daten auf dem eigenen Server im Keller, auf externen Server-Farmen im In- und Ausland liegen oder in der Cloud gehostet werden. Achten Sie darauf, wen Sie mit der Verarbeitung der Daten beauftragen und schließen Sie einen entsprechenden Auftragsverarbeitungsvertrag.

Die gute Nachricht: Musste ein solcher Vertrag zwischen Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen, also dem Unternehmen, bisher schriftlich vorliegen, genügt laut DSGVO die elektronische Form. Auch hier kann ein DMS dabei unterstützen, dass ein solcher Vertrag aktuell gültig und rechtskonform vorliegt. Natürlich ist auch das Dokumentenmanagementsystem unter Datenschutz­aspekten, etwa einem rechtskonformen Hosting, nachweisbaren Zertifikaten und entsprechenden Features für Zugriffs­regelungen, Fristenkontrollen und Verfügbarkeit, gewissenhaft auszuwählen.

Ein Dokumentenmanagementsystem leistet wirkungsvolle Unterstützung für ein rechtskonformes Daten- und Dokumentenmanagement gemäß neuesten Gesetzesanforderungen. Das erspart Unternehmen jede Menge Ärger – und im Ernstfall sogar rechtliche Konsequenzen. Die DSGVO verlangt zudem die Bestellung eines Datenschutzbeauftragten – auch wenn Sie bereits einen IT-Sicherheitsbeauftragten haben. Als Unternehmensunabhängiger verantwortet er die Umsetzung und Einhaltung der Verordnung.