Besser auf der sicheren Seite

Berücksichtigt man, dass in Unternehmen eine Vielzahl heterogener IT-Anwendungen, von ERP- und CRM-Lösungen bis hin zu riesigen Wissenspools in elektronischen Archiven zum Einsatz kommen, so wird schnell klar, dass dabei der Datenschutz schnell auf der Strecke bleiben kann. Das muss allerdings nicht zwangsläufig so sein. Insbesondere ECM-Systeme sind in der Lage, das gesammelte Wissen eines Unternehmens und die im System abgelegten Dokumente auch unter strikter Einhaltung der Datenschutzbestimmungen zu verwalten – vorausgesetzt, die Systeme werden auch im Sinne des Datenschutzes eingesetzt. Doch wer ist dafür verantwortlich – Hersteller oder Anwender? Klare Antwort: beide Seiten. Der Hersteller beziehungsweise Anbieter eines ECM-Systems hat dafür Sorge zu tragen, dass sein System dem Anwender ermöglicht, personenbezogene Daten jederzeit sicher und für nicht autorisierte Personen unzugänglich zu speichern. Der Nachweis darüber kann zum Beispiel durch von unabhängigen Stellen erstellte Gutachten erbracht werden, die einem ECM-System die Erfüllung der gesetzlichen Vorschriften auch in datenschutzrechtlicher Hinsicht bescheinigen.

Transparenz gefordert

Weitere Beiträge zuDatenmanagementDokumentenmanagementEnterprise Content Management

Zum Beispiel müssen wiederkehrende Prozesse wie etwa die Generierung von Reportings und Aussagen darüber, wer wann welche Daten zu welchem Zweck im ECM-System speichert, klar geregelt und für den Anwender transparent sein. Hersteller von ECM-Systemen sollten Interessenten und Kunden zum Thema Datenschutz ein entsprechendes Dokument vorlegen können, in dem konkrete Aussagen darüber getroffen werden, wie und in welchem Maße es das System ermöglicht, personenbezogene Daten zu erfassen und auszuwerten. Das kommt allen Interessenten und Anwendern zugute.

Es geht hier allerdings nicht allein um die Frage, inwiefern die Daten externer Personen verarbeitet werden, sondern auch darum, in welchem Maße die eigenen Mitarbeiter des anwendenden Unternehmens von Datenschutzverletzungen betroffen sein können. So lassen sich durch Datenauswertungen in einem ECM-System durchaus auch Aussagen darüber machen, welcher Mitarbeiter wie oft und zu welchen Zeitpunkten bestimmte Dokumente bearbeitet hat. In diesen Fällen kann es also durchaus sein, dass auch die eigenen Mitarbeiter eines anwendenden Unternehmens als „Betroffene“ im Sinne des Datenschutzgesetzes zu betrachten sind, da die Mitarbeiter dann einer möglichen Kontrolle durch nicht autorisierte Personen ausgesetzt sind.

Das Gesetz erlaubt den „verantwortlichen Stellen“ – gemeint sind im Allgemeinen die Geschäftsführungen – eine Auswertung derartiger Daten, wenn dies aus „berechtigtem Interesse“ erforderlich ist. Ein berechtigtes Interesse liegt etwa dann vor, wenn die personenbezogenen Auswertungen von Daten für die Wahrnehmung der ausgeübten Geschäftstätigkeiten des Unternehmens notwendig sind. Was nun unbedingt notwendig ist und was nicht, kann aber meistens nur im Rahmen einer Einzelfallentscheidung geklärt werden.

Auch aus der Sicht des anwendenden Unternehmens, das ein ECM-System einsetzt, sind Vorschriften zu beachten. So sind die Anwender beziehungsweise die Geschäftsführung des Unternehmens prinzipiell für die Verarbeitung personenbezogener Daten verantwortlich, die in dem von ihnen genutzten ECM-System gespeichert werden. Anwendenden Unternehmen muss klar sein, dass der ECM-Hersteller lediglich ein geeignetes System anbietet, mit dem sich Daten speichern lassen. Er liefert also nur die „Hülle“ oder das „Gerüst“ für das, was der Anwender mit Inhalt füllt. Deshalb gilt: Für die Einhaltung der Datenschutzbestimmungen bezogen auf die Inhalte eines ECM-Systems ist prinzipiell die verantwortliche Stelle des anwendenden Unternehmens verantwortlich.

Tipps für Anwender

Aus den vorgenannten Ausführungen lassen sich zahlreiche Tipps für Anwender ableiten, die unter datenschutzrechtlichen Aspekten relevant sind.
Was sind personenbezogene Daten? Anwender, die personenbezogene Daten in einem ECM-System verwalten, sollten sich zunächst Gedanken darüber machen, was personenbezogene Daten überhaupt sind. Es geht hier nicht allein um die Speicherung von Adresslisten und Telefonnummern, sondern generell um alle Daten, die Rückschlüsse auf die Identität natürlicher Personen zulassen. Dies können auch indirekte, systeminterne Informationen sein, die sich aus der Arbeit mit einem ECM-System ergeben, wie zum Beispiel Verfasser oder Autoren von Dokumenten, Sachbearbeiter, E-Mail-Adressen, Angaben zu Zeitpunkten und Zeiträumen einer Dokumentbearbeitung sowie alle personenbezogenen Angaben in den Dokumenten selbst.

Daten „sparsam“ verwalten: Nach den Ausführungen des Bundesdatenschutzgesetzes gilt weiterhin das Prinzip der „Datensparsamkeit“. Redundante oder überflüssige Kopien von Dokumenten mit personenbezogenen Inhalten, insbesondere auch deren Weitergabe an Dritte, sind – sofern sie nicht einem Backup beziehungsweise einer Datensicherung dienen – zu vermeiden.
Nachfrage beim Hersteller: Anwender sollten beim ECM-Hersteller nachfragen, ob dieser ein Dokument anbieten kann, das das ECM-System unter datenschutzrechtlichen Aspekten beleuchtet. Auch entsprechende Gutachten von neutraler Stelle, die eine generelle Rechtskonformität des Systems bescheinigen, dienen dem Anwender als zusätzliche Sicherheit.

An Schnittstellen zu anderen Anwendungen denken: Insbesondere in Fällen, in denen ECM-Systeme mit anderen Anwendungen gekoppelt werden, zum Beispiel mit ERP-, CRM- oder branchenspezifischen Anwendungen, ist zu klären, inwieweit der häufig automatisierte Datenaustausch zwischen den verschiedenen Anwendungen datenschutzrechtlich relevant ist – auch im Sinne der genannten Datensparsamkeit. Daraus lässt sich folgern, dass nicht nur die Inhalte von ECM-Systemen datenschutzkonform sein müssen, sondern auch der „Content“ aller weiteren angebundenen Anwendungen innerhalb einer IT-Infrastruktur.

Rechtekonzepte beachten

Rechtekonzepte: Moderne ECM-Systeme verfügen immer über eine Option, gespeicherte Informationen mit Anwenderrechten zu verknüpfen. Bestehende Rechtekonzepte innerhalb einer ECM-Systemumgebung sollten deshalb immer kritisch überprüft und gegebenenfalls an die Anforderungen datenschutzrechtlicher Bestimmungen angepasst werden. Unternehmen sollten sich grundsätzlich die Frage stellen, welche Mitarbeiter welche Dokumente lesen dürfen und welche nicht. Dies gilt insbesondere für Dokumente, die personenbezogene Daten enthalten – sowohl Daten über die eigenen Mitarbeiter als auch über externe Personen.

Kontrolle der Aufsichtsbehörden: Datenschutzrecht ist Ländersache. Das heißt, alle Bundesländer in Deutschland haben jeweils eine eigene Aufsichtsbehörde, die dafür zuständig ist, den betrieblichen Datenschutz und die Einhaltung des Datenschutzgesetzes in den Unternehmen der Privatwirtschaft des jeweiligen Bundeslandes zu überwachen. Diese Behörden sind dazu berechtigt, jederzeit und unangemeldet Datenschutzkontrollen beziehungsweise Audits in den Betrieben durchzuführen. Darauf sollten Unternehmen vorbereitet sein.

Selbstverständlich können im Rahmen dieses Beitrags nicht alle datenschutzrechtlichen Aspekte erschöpfend behandelt werden. Aber darum geht es auch eigentlich gar nicht. Wichtig ist vor allem, anwendende Unternehmen für den Datenschutz zu sensibilisieren und ein ECM-System konkret auch unter Einhaltung der datenschutzrechtlichen Bestimmungen einzusetzen. Denn die Erfahrung hat gezeigt: Wer ein ECM-System einsetzt, bekommt bei adäquater Handhabung keine Probleme mit dem Datenschutz. Moderne ECM-Systeme sind so ausgereift, dass sie den anwendenden Unternehmen die Einhaltung der Datenschutzvorschriften generell erleichtern. Man muss die zur Verfügung stehenden IT-Lösungen nur richtig nutzen, um datenschutzrechtlich auf der sicheren Seite zu sein. -sg-

Dr. Michael Duhme, Bochum

Windream GmbH, Bochum Tel. 0234/9734-0, http://www.windream.com