…finden statt suchen.

Wie ein DMS Sie bei der Um­set­zung der EU-DSGVO unter­stützt

Ab Ende Mai 2018 tritt in Deutsch­land die EU-Daten­schutz­grund­verord­nung in Kraft. Die darin fest­geleg­ten Re­geln zum Schutz per­sonen­bezo­gener Da­ten müs­sen von al­len Un­ter­neh­men um­ge­setzt werden. Bei Zu­wider­hand­lung drohen zum Teil empfind­liche Stra­fen. bitfarm-Archiv Doku­men­ten­manage­ment kann in vie­len Be­reichen hel­fen, die An­forderun­gen der EU-DSGVO um­zu­set­zen.

Be­schränk­te Informationsnutzung

bitfarm-Archiv DMS setzt auf ein um­fas­sen­des Be­rech­tigungs­kon­zept so­wohl für den Zu­griff auf Doku­men­te als auch auf Meta­daten. Da­durch er­hal­ten nur die Per­sonen Ein­blick in Doku­mente und In­for­mati­onen, die sie für ihre Ar­beit be­nö­tigen. Die Zu­wei­sung von Be­rech­tigun­gen wird zen­tral ge­steu­ert. Die­se sind (z.B. als Be­stand­teil des Daten­ver­arbeitungs­ver­zeich­nis­ses) je­der­zeit in Form eines Re­ports doku­men­tier­bar. Die For­de­run­gen „Privacy by design“ & „Privacy by default“ der EU-DSGVO wer­den um­ge­setzt.

Doku­men­tati­on

Jeder Daten­satz im Doku­men­ten­ma­nage­ment­sys­tem be­sitzt eine Historienfunktion. Bei Be­darf ist so je­der­zeit nach­voll­zieh­bar und beleg­bar, wer zu wel­chem Zeit­punkt und in wel­cher Form In­for­ma­ti­onen ver­wen­det hat. Der in der EU-DSGVO vor­ge­schrie­be­nen Aus­kunfts­pflicht auf Ver­lan­gen kann da­mit nach­ge­kom­men wer­den. Wich­tig in die­sem Zu­sammen­hang: Je­dem phy­sika­lischen Be­nut­zer muss ein ein­deu­tiger Be­nut­zer­ac­count im DMS zu­geord­net und auf Sam­mel­ac­counts („Lager“) ver­zich­tet wer­den.

Schutz personenbezogener Daten

Der Dieb­stahl per­sonen­be­zo­gener Da­ten stellt nicht nur ei­nen ärger­lichen Vor­fall, son­dern auch ein fi­nan­ziel­les Ri­si­ko für den Ge­wer­be­trei­ben­den dar. Im Fal­le ei­ner Ent­wen­dung per­sonen­be­zo­ge­ner Da­ten gilt eine um­fas­sende Aus­kunfts­pflicht an al­le Be­trof­fenen – und zwar aktiv und nicht et­wa nur auf Nach­frage. Mit bitfarm-Archiv DMS ist es je­doch mögl­ich, Doku­mente und Meta­da­ten ver­schlüs­selt auf dem Ser­ver ab­zu­le­gen. Ge­lingt ei­nem An­grei­fer der Zu­griff auf die­se Da­ten, gel­ten sie nach der EU-DSGVO nicht als ent­wendet – die ak­tive Aus­kunfts­pflicht ent­fällt.

Ein­hal­tung von Lösch­fris­ten

Für per­sonen­bezo­gene Da­ten gel­ten nicht erst seit der EU-DSGVO dezi­dier­te Lösch­fris­ten. Die­se lei­tet bitfarm-Archiv DMS zum einen auto­ma­tisch über die Doku­men­ten­klas­sen als Lösch­klassen mit au­to­ma­tischer Ver­ga­be des Lösch­da­tums ab. Zum an­deren defi­niert der Sta­tus inner­halb ei­nes Be­arbei­tungs­pro­zes­ses das Lösch­datum je nach Be­ar­bei­tungs­stand indi­vi­du­ell. Auch hier grei­fen auto­mati­sier­te Re­geln, wel­che für die ver­schie­denen vor­kom­men­den Doku­mente und Da­ten mit Per­so­nen­be­zug im DMS an­ge­legt sind. Die je­der­zeit ver­füg­ba­re Re­port­funk­tion über sämt­liche Lösch­regeln ver­ein­facht die Pfle­ge des Ver­fahrens­ver­zeich­nis­ses er­heb­lich. Über­dies sind Lösch­fris­ten nun für al­le Doku­men­te und Pro­zes­se klar de­fi­niert – eine der Kern­for­de­run­gen der EU-DSGVO kann auf diese Weise effi­zient und doku­men­tier­bar um­ge­setzt wer­den.

Was bedeutet Document Lifecycle Management (DLM)?

Unter Document Lifecycle Management versteht man eine Sammlung von Funktionen einer dokumentenverwaltenden Software sprich eines Dokumentenmanagementsystems (DMS). Document Lifecycle Management regelt den Lebenszyklus von Dokumenten. Dieser lässt sich je nach Art des Dokuments in vier oder mehr Phasen aufteilen.

Er beginnt mit der Erfassung oder Erstellung eines Dokuments, also dem Eintritt in das DMS- oder ECM- System. Auf die anschließende Phase der Bearbeitung etwa im Rahmen eines Workflows folgt die Archivierung des Dokuments. Das archivierte Dokument steht dann zu Recherchezwecken und für die weitere Verwendung zur Verfügung. Moderne DMS- oder ECM-Lösungen stellen die archivierten Dokumente in einer zentralen voll durchsuchbaren Datenbank zur Verfügung, sodass sie jederzeit in sekundenschnelle aufgerufen werden können.

Auch wenn die elektronische Lagerung oder Archivierung die längste Phase im Dokumentenlebenszyklus darstellt, ist auch diese begrenzt. Die Mindestlebenszeit von Dokumenten wird dabei von gesetzlich vorgegebenen Aufbewahrungspflichten bestimmt. Für viele Dokumente, vor allem solche, die personenbezogene Daten enthalten, ist allerdings auch eine Frist gesetzt, innerhalb derer sie gelöscht werden müssen. Mithilfe eines DLM kann die Löschung von Dokumenten automatisch und rechtskonform erfolgen.

Diagramm zum Document Lifecycle Management

Automatisch auf der sicheren Seite

Kern­auf­gabe eines Doku­menten­manage­ment­sys­tems bezie­hungs­wei­se der elek­tro­nischen Archi­vie­rung ist also nicht nur die sichere Spei­che­rung von Doku­menten, son­dern auch deren frist­gerech­te Lö­schung.

Jedem Doku­ment und je­dem Daten­satz das rich­tige Lösch­datum zu­zuord­nen, ist keine ein­fache Auf­gabe. Die Szena­rien, Bedin­gun­gen und gesetz­lichen Vor­schrif­ten, die die­se Fris­ten be­ein­flus­sen sind viel­fältig.

So kann bereits die ein­fache Begrün­dung eines betrieb­lichen Inte­res­ses an einem Doku­ment aus­reichend sein, um es deut­lich län­ger auf­bewah­ren zu dür­fen, als es für die­sen Doku­men­ten­typ eigent­lich vor­gesehen ist.

Dies kann bei­spiels­weise im Rah­men eines Be­wer­bungs­prozes­ses der Fall sein. Die Gesetz­gebung sieht vor, dass die Be­werbungs­unterlagen ab­gelehn­ter Be­wer­ber in­ner­halb einer Frist von drei Mona­ten ge­löscht wer­den.

Will man auf einen be­stim­mten Bewer­ber zu einem spä­teren Zeit­punkt even­tuell noch ein­mal zurück­kommen, be­steht den­noch die Mög­lich­keit, die Lösch­frist für des­sen Unter­lagen manu­ell zu ver­län­gern. Dazu be­darf es al­ler­dings der Ein­willi­gung durch den Bewer­ber.

Die Enterprise Version von bitfarm-Archiv bie­tet ein um­fang­reiches Docu­ment Life­cycle Manage­ment (DLM), um die gesetz­lich vor­ge­schrie­benen Lösch­fris­ten für unter­schied­liche Doku­men­ten­klas­sen ein­zuhal­ten und zu doku­men­tieren. Die Lösch­fris­ten kön­nen ent­we­der an die Doku­men­ten­klas­se oder etwa an den spezi­fischen Ab­lauf von Unter­nehmens­prozes­sen gekop­pelt sein, also für jedes Szenario pass­genau konfi­gu­riert wer­den.

Dabei hat ein Be­nut­zer mit admini­strativen Be­rech­ti­gun­gen jeder­zeit die Mög­lich­keit manu­ell in den auto­mati­sier­ten Pro­zess ein­zu­grei­fen. Eine Re­port-Funk­tion doku­men­tiert zudem sämt­liche Ein­stel­lungen und er­leichtert die Er­stel­lung der gesetz­lich gefor­derten Unter­lagen (Ver­zeich­nis von Ver­arbei­tungs­tätig­kei­ten).