smart engineering - Industrie 4.0 aus einer Hand
Home> IT Solutions> Big Data/Smart Data> ECM/DMS> Besser auf der sicheren Seite

DokumentenmanagementBesser auf der sicheren Seite

Enterprise Content Management unter Datenschutzaspekten
sep
sep
sep
sep
Dokumentenmanagement: Besser auf der sicheren Seite
Datenschutz scheint für viele Unternehmen immer noch ein heikles Thema zu sein, oder es wird sogar – sei es aus Unkenntnis oder sogar Ignoranz – nur stiefmütterlich behandelt. Dabei schreibt das Bundesdatenschutzgesetz vor, dass Unternehmen, in denen mindestens neun Mitarbeiter personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten zu bestellen haben. Doch auch Betriebe, in denen weniger als neun Mitarbeiter mit personenbezogenen Daten arbeiten, sind in der Pflicht. In diesen Firmen sind die Geschäftsführungen für die Einhaltung der Datenschutzbestimmungen verantwortlich. Es zeigt sich also: Datenschutz geht jeden an, sowohl Betroffene als auch Verantwortliche, und das unabhängig von der Größe eines Unternehmens.

Berücksichtigt man, dass in Unternehmen eine Vielzahl heterogener IT-Anwendungen, von ERP- und CRM-Lösungen bis hin zu riesigen Wissenspools in elektronischen Archiven zum Einsatz kommen, so wird schnell klar, dass dabei der Datenschutz schnell auf der Strecke bleiben kann. Das muss allerdings nicht zwangsläufig so sein. Insbesondere ECM-Systeme sind in der Lage, das gesammelte Wissen eines Unternehmens und die im System abgelegten Dokumente auch unter strikter Einhaltung der Datenschutzbestimmungen zu verwalten – vorausgesetzt, die Systeme werden auch im Sinne des Datenschutzes eingesetzt. Doch wer ist dafür verantwortlich – Hersteller oder Anwender? Klare Antwort: beide Seiten. Der Hersteller beziehungsweise Anbieter eines ECM-Systems hat dafür Sorge zu tragen, dass sein System dem Anwender ermöglicht, personenbezogene Daten jederzeit sicher und für nicht autorisierte Personen unzugänglich zu speichern. Der Nachweis darüber kann zum Beispiel durch von unabhängigen Stellen erstellte Gutachten erbracht werden, die einem ECM-System die Erfüllung der gesetzlichen Vorschriften auch in datenschutzrechtlicher Hinsicht bescheinigen.

Anzeige

Transparenz gefordert

Zum Beispiel müssen wiederkehrende Prozesse wie etwa die Generierung von Reportings und Aussagen darüber, wer wann welche Daten zu welchem Zweck im ECM-System speichert, klar geregelt und für den Anwender transparent sein. Hersteller von ECM-Systemen sollten Interessenten und Kunden zum Thema Datenschutz ein entsprechendes Dokument vorlegen können, in dem konkrete Aussagen darüber getroffen werden, wie und in welchem Maße es das System ermöglicht, personenbezogene Daten zu erfassen und auszuwerten. Das kommt allen Interessenten und Anwendern zugute.

Es geht hier allerdings nicht allein um die Frage, inwiefern die Daten externer Personen verarbeitet werden, sondern auch darum, in welchem Maße die eigenen Mitarbeiter des anwendenden Unternehmens von Datenschutzverletzungen betroffen sein können. So lassen sich durch Datenauswertungen in einem ECM-System durchaus auch Aussagen darüber machen, welcher Mitarbeiter wie oft und zu welchen Zeitpunkten bestimmte Dokumente bearbeitet hat. In diesen Fällen kann es also durchaus sein, dass auch die eigenen Mitarbeiter eines anwendenden Unternehmens als „Betroffene“ im Sinne des Datenschutzgesetzes zu betrachten sind, da die Mitarbeiter dann einer möglichen Kontrolle durch nicht autorisierte Personen ausgesetzt sind.

Das Gesetz erlaubt den „verantwortlichen Stellen“ – gemeint sind im Allgemeinen die Geschäftsführungen – eine Auswertung derartiger Daten, wenn dies aus „berechtigtem Interesse“ erforderlich ist. Ein berechtigtes Interesse liegt etwa dann vor, wenn die personenbezogenen Auswertungen von Daten für die Wahrnehmung der ausgeübten Geschäftstätigkeiten des Unternehmens notwendig sind. Was nun unbedingt notwendig ist und was nicht, kann aber meistens nur im Rahmen einer Einzelfallentscheidung geklärt werden.

Auch aus der Sicht des anwendenden Unternehmens, das ein ECM-System einsetzt, sind Vorschriften zu beachten. So sind die Anwender beziehungsweise die Geschäftsführung des Unternehmens prinzipiell für die Verarbeitung personenbezogener Daten verantwortlich, die in dem von ihnen genutzten ECM-System gespeichert werden. Anwendenden Unternehmen muss klar sein, dass der ECM-Hersteller lediglich ein geeignetes System anbietet, mit dem sich Daten speichern lassen. Er liefert also nur die „Hülle“ oder das „Gerüst“ für das, was der Anwender mit Inhalt füllt. Deshalb gilt: Für die Einhaltung der Datenschutzbestimmungen bezogen auf die Inhalte eines ECM-Systems ist prinzipiell die verantwortliche Stelle des anwendenden Unternehmens verantwortlich.

Tipps für Anwender

Aus den vorgenannten Ausführungen lassen sich zahlreiche Tipps für Anwender ableiten, die unter datenschutzrechtlichen Aspekten relevant sind.
Was sind personenbezogene Daten? Anwender, die personenbezogene Daten in einem ECM-System verwalten, sollten sich zunächst Gedanken darüber machen, was personenbezogene Daten überhaupt sind. Es geht hier nicht allein um die Speicherung von Adresslisten und Telefonnummern, sondern generell um alle Daten, die Rückschlüsse auf die Identität natürlicher Personen zulassen. Dies können auch indirekte, systeminterne Informationen sein, die sich aus der Arbeit mit einem ECM-System ergeben, wie zum Beispiel Verfasser oder Autoren von Dokumenten, Sachbearbeiter, E-Mail-Adressen, Angaben zu Zeitpunkten und Zeiträumen einer Dokumentbearbeitung sowie alle personenbezogenen Angaben in den Dokumenten selbst.

Daten „sparsam“ verwalten: Nach den Ausführungen des Bundesdatenschutzgesetzes gilt weiterhin das Prinzip der „Datensparsamkeit“. Redundante oder überflüssige Kopien von Dokumenten mit personenbezogenen Inhalten, insbesondere auch deren Weitergabe an Dritte, sind – sofern sie nicht einem Backup beziehungsweise einer Datensicherung dienen – zu vermeiden.
Nachfrage beim Hersteller: Anwender sollten beim ECM-Hersteller nachfragen, ob dieser ein Dokument anbieten kann, das das ECM-System unter datenschutzrechtlichen Aspekten beleuchtet. Auch entsprechende Gutachten von neutraler Stelle, die eine generelle Rechtskonformität des Systems bescheinigen, dienen dem Anwender als zusätzliche Sicherheit.

An Schnittstellen zu anderen Anwendungen denken: Insbesondere in Fällen, in denen ECM-Systeme mit anderen Anwendungen gekoppelt werden, zum Beispiel mit ERP-, CRM- oder branchenspezifischen Anwendungen, ist zu klären, inwieweit der häufig automatisierte Datenaustausch zwischen den verschiedenen Anwendungen datenschutzrechtlich relevant ist – auch im Sinne der genannten Datensparsamkeit. Daraus lässt sich folgern, dass nicht nur die Inhalte von ECM-Systemen datenschutzkonform sein müssen, sondern auch der „Content“ aller weiteren angebundenen Anwendungen innerhalb einer IT-Infrastruktur.

Rechtekonzepte beachten

Rechtekonzepte: Moderne ECM-Systeme verfügen immer über eine Option, gespeicherte Informationen mit Anwenderrechten zu verknüpfen. Bestehende Rechtekonzepte innerhalb einer ECM-Systemumgebung sollten deshalb immer kritisch überprüft und gegebenenfalls an die Anforderungen datenschutzrechtlicher Bestimmungen angepasst werden. Unternehmen sollten sich grundsätzlich die Frage stellen, welche Mitarbeiter welche Dokumente lesen dürfen und welche nicht. Dies gilt insbesondere für Dokumente, die personenbezogene Daten enthalten – sowohl Daten über die eigenen Mitarbeiter als auch über externe Personen.

Kontrolle der Aufsichtsbehörden: Datenschutzrecht ist Ländersache. Das heißt, alle Bundesländer in Deutschland haben jeweils eine eigene Aufsichtsbehörde, die dafür zuständig ist, den betrieblichen Datenschutz und die Einhaltung des Datenschutzgesetzes in den Unternehmen der Privatwirtschaft des jeweiligen Bundeslandes zu überwachen. Diese Behörden sind dazu berechtigt, jederzeit und unangemeldet Datenschutzkontrollen beziehungsweise Audits in den Betrieben durchzuführen. Darauf sollten Unternehmen vorbereitet sein.

Selbstverständlich können im Rahmen dieses Beitrags nicht alle datenschutzrechtlichen Aspekte erschöpfend behandelt werden. Aber darum geht es auch eigentlich gar nicht. Wichtig ist vor allem, anwendende Unternehmen für den Datenschutz zu sensibilisieren und ein ECM-System konkret auch unter Einhaltung der datenschutzrechtlichen Bestimmungen einzusetzen. Denn die Erfahrung hat gezeigt: Wer ein ECM-System einsetzt, bekommt bei adäquater Handhabung keine Probleme mit dem Datenschutz. Moderne ECM-Systeme sind so ausgereift, dass sie den anwendenden Unternehmen die Einhaltung der Datenschutzvorschriften generell erleichtern. Man muss die zur Verfügung stehenden IT-Lösungen nur richtig nutzen, um datenschutzrechtlich auf der sicheren Seite zu sein. -sg-


Dr. Michael Duhme, Bochum

Windream GmbH, Bochum Tel. 0234/9734-0, http://www.windream.com

Diesen Artikel …
sep
sep
sep
sep
sep

Weitere Beiträge zum Thema

Cebit 2018: Work smarter, not harder

Cebit 2018Work smarter, not harder

Work smarter, not harder: Die neue CEBIT macht im Juni 2018 fit fürs Digital Office. In den Hallen 14 bis 17 finden IT-Professionals und Entscheider aus Unternehmen, öffentlichem Sektor und Handel alles, was für die Digitalisierung von Wirtschaft und Verwaltung notwendig ist – von Data Management und Cloud Applications über Customer Centricity bis zum Workplace 4.0.

…mehr
PDM: Einheitliche Daten für alle!

PDMEinheitliche Daten für alle!

Wie stellt der rein kundenspezifisch arbeitende Werkzeug-, Modell- und Formenbau sicher, dass Produktentwicklung und Auftragssteuerung mit einheitlichen Daten arbeiten? Die Ausgangsbasis dafür könnte kaum anspruchsvoller sein. Denn Werkzeugbauer fertigen konstruktionsbegleitend.

…mehr
Planungs- und Optimierungsfunktionen von Delmia Quintiq

FertigungsplanungPlanen und Terminieren

Dassault Systèmes hat mit der Übernahme von Ortems seine Produktpalette für Fertigung, Logistik und Lieferung erweitert. Gemeinsam mit den Planungs- und Optimierungsfunktionen von Delmia Quintiq lassen sich globale Abläufe planen, ausführen und optimieren.

…mehr
Delcam

CAD/CAM-SoftwareDie Spinne verschwindet

Die Spinne im Logo von Delcam war ein markantes Symbol des britischen Herstellers. Nach der Übernahme durch Autodesk im Februar 2014 ging nicht nur die Eigenständigkeit verloren, sondern auch viele Mitarbeiter haben das Unternehmen verlassen.

…mehr
CAD-Daten-gestützte Visualisierung

CAD-SoftwareVon CAD zur App

Die Digitalisierung steigert den „Bilderhunger“ von Unternehmen und treibt den Aufwand für Grafik-, Foto- und Filmerzeugung in extreme Höhen. Gerade Hersteller individuell anpassbarer Produkte setzen deshalb zunehmend auf Verfahren zur datengestützten Visualisierung.

…mehr
Anzeige
Anzeige

Anzeige - Highlight der Woche

COSCOM Digital-PROZESS Meetings

Einladung zu COSCOM Digital-PROZESS Meetings

Mehr Profit vor dem Span! COSCOM connected …

… Manufacturing: CNC-Prozesse optimieren!

… Tool-Management: Rüstprozesse beschleunigen!

… Prozess-Management: Durchgängige Daten bis an die Maschine!

Aktuelle Termine und Orte hier

Anzeige - Highlight der Woche

Aras Whitepaper: Internet of Things - Kontext statt Chaos


Hier stellt Ihnen das Unternehmen Aras das Highlight der Woche vor.

White Paper jetzt kostenlos herunterladen!

Mediadaten 2018

Anzeige

White Papers auf smart engineering


In unserer neuen White Paper Sektion finden Sie lösungsorientierte White Paper unserer Partner zu IT-Standards, Anwendungshinweisen, Leistungsübersichten uvm. Jetzt kostenfrei downloaden.

Künstliche Intelligenz: Forschungsroboter “Roboy“ und Martina Mara

Video- Künstliche Intelligenz: Forschungsroboter “Roboy“ und Martina Mara


Welche Wirkung hat der Anblick von Robotern auf Menschen? Mit dieser Frage befasst sich das Team um Professor Markus Appel vom Campus Landau in einem aktuellen Forschungsprojekt. Mit ihrer Studien wollen die Forscher herausfinden, inwieweit wir Menschen künstliche Intelligenz als helfende Hand im Alltag akzeptieren oder ablehnen.

smart engineering in Social Networks

smart engineering Newsletter

smart engineering Newsletter kostenfrei abonnieren

Unser Newsletter informiert Sie über die wichtigsten Neuigkeiten, Produktentwicklungen und Trends aus der Branche. Jetzt kostenlos registrieren.

SCOPE Newsticker