Dokumentenmanagement, sensible Daten, personenbezogene Daten, rechtskonforme Kontrolle
Dr. Michael Duhme, Pressesprecher windream GmbH
Cloud-Computing ist momentan eines der großen Themen im IT-Sektor. Unternehmen, die eine Auslagerung ihrer Daten in die „Wolke“ in Erwägung ziehen, vergessen aber häufig, dass sie mit diesem gravierenden Schritt auch besondere datenschutzrechtliche Anforderungen zu erfüllen haben – spätestens dann, wenn archivierte Daten auch personenbezogene Informationen enthalten.
Macht Cloud-Computing – nicht nur unter datenschutzrechtlichen Aspekten – dann überhaupt Sinn macht oder ist eine Inhouse-Speicherung mit Hilfe eines modernen ECM-Systems die wesentlich elegantere Alternative? Denn: Wer seine Daten in fremde Hände legt, muss nicht nur selbst dafür Sorge tragen, dass die Anforderungen des Bundesdatenschutzgesetzes erfüllt werden, sondern sich darüber hinaus entsprechend beim Dienstleister, dem Cloud-Anbieter, rückversichern. In diesem rechtlich diffusen und komplizierten Umfeld zeigt sich schnell, dass hausinterne ECM-Systeme – sofern sie in Bezug auf datenschutzrechtliche Bestimmungen korrekt gehandhabt werden – eine Auslagerung sensibler Daten in die Cloud überflüssig machen.
Bundesweite Richtlinien für den Datenschutz
Das Bundesdatenschutzgesetz schreibt vor, dass Unternehmen, in denen mindestens neun Mitarbeiter personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten zu bestellen haben. Doch auch Betriebe, in denen weniger als neun Mitarbeiter mit personenbezogenen Daten arbeiten, sind in der Pflicht. In diesen Firmen sind die Geschäftsführungen für die Einhaltung der Datenschutzbestimmungen verantwortlich. Diesen Richtlinien zufolge geht Datenschutz tatsächlich jeden an: sowohl Betroffene als auch Verantwortliche, und das unabhängig von der Größe eines Unternehmens.
Berücksichtigt man weiterhin, dass in Unternehmen eine Vielzahl heterogener IT-Anwendungen, von ERP- und CRM-Lösungen bis hin zu riesigen Wissenspools in elektronischen Archiven, zum Einsatz kommt, wird schnell deutlich, dass der Datenschutz dabei schnell auf der Strecke bleiben kann. Allerdings ist dies keine zwangsläufige Begleiterscheinung. Denn – abgesehen von der bekannten Intransparenz Cloud-abhängiger Speicherorte in fremden Netzen – sind „hauseigene“ ECM-Systeme viel besser in der Lage, das gesammelte Wissen eines Unternehmens und die im System abgelegten Dokumente auch unter strikter Einhaltung der Datenschutzbestimmungen zu verwalten – vorausgesetzt, die Systeme werden auch im Sinne des Datenschutzes eingesetzt.
Nachweis für Umsetzung der Vorschriften erforderlich
Sowohl Hersteller bzw. Anbieter eines ECM-Systems als auch anwendende Unternehmen haben dafür Sorge zu tragen, dass personenbezogene Daten jederzeit sicher und für nicht autorisierte Personen unzugänglich gespeichert werden. Der Nachweis, dass ein ECM-System die Erfüllung der gesetzlichen Vorschriften auch in datenschutzrechtlicher Hinsicht erfüllt, kann zum Beispiel durch Gutachten unabhängiger Stellen erbracht werden.
Zieht man demgegenüber in Betracht, Daten in der Cloud zu speichern, muss ein entsprechender Nachweis auch vom Cloud-Dienstleister vorgelegt werden. Spätestens an diesem Punkt wird es schwierig, Verantwortlichkeiten klar zu definieren. So müssen zum Beispiel wiederkehrende Prozesse wie etwa die Generierung von Reportings und Aussagen darüber, wer wann welche Daten zu welchem Zweck speichert, klar geregelt und für den Anwender transparent sein. Beim Cloud-Computing ist das häufig sehr schwierig. Hersteller von ECM-Systemen und Cloud-Dienstleister müssen zum Thema Datenschutz ein entsprechendes Dokument vorlegen können, in dem konkrete Aussagen darüber getroffen werden, wie und in welchem Maße es das System ermöglicht, personenbezogene Daten zu erfassen und auszuwerten. Das kommt allen Interessenten und Anwendern zugute.
Personenbezogene Daten rechtskonform verwalten
Beim Thema Datenschutz geht es allerdings nicht nur um die Frage, inwiefern die Daten externer Personen sicher gespeichert und eingesehen werden können, sondern auch darum, in welchem Maße die eigenen Mitarbeiter des Unternehmens von Datenschutzverletzungen betroffen sein können. So lassen sich durch Datenauswertungen in einem ECM-System durchaus auch Aussagen darüber machen, welcher Mitarbeiter wie oft und zu welchen Zeitpunkten bestimmte Dokumente bearbeitet hat. In diesen Fällen kann es also durchaus vorkommen, dass auch Mitarbeiter eines anwendenden Unternehmens als „Betroffene“ im Sinne des Datenschutzgesetzes zu betrachten sind, da sie einer möglichen Kontrolle durch nicht autorisierte Personen ausgesetzt sind. Die rechtskonforme Kontrolle darüber, wer wann und zu welchen Zeitpunkten Dokumente mit personenbezogenen Inhalten bearbeiten oder einsehen darf, ist in der Cloud deutlich schwieriger als beim Einsatz eines „Inhouse“-ECMSystems.
Auch aus der Sicht des Unternehmens, das ein ECM-System bzw. eine Cloud einsetzt, sind Vorschriften zu beachten. So sind die Anwender bzw. die Geschäftsführung des Unternehmens prinzipiell für die Verarbeitung derjenigen personenbezogenen Daten verantwortlich, die in dem von ihnen genutzten System gespeichert werden. Unternehmen muss klar sein, dass Hersteller bzw. Cloud-Provider lediglich ein geeignetes System anbieten, mit dem sich Daten speichern lassen, sie sozusagen also nur die „Hülle“ oder das „Gerüst“ für das liefern, was der Anwender mit Inhalt füllt. Deshalb gilt: Für die Einhaltung der Datenschutzbestimmungen, bezogen auf die Inhalte eines Speichersystems, ist prinzipiell die verantwortliche Stelle des anwendenden Unternehmens verantwortlich, und zwar auch dann, wenn die physikalische Datenspeicherung bei einem Cloud-Anbieter stattfindet.
Datensparsamkeit bei Speicherung und Weitergabe
Bei personenbezogenen Daten in einem ECM-System oder in einer Cloud geht es nicht allein um die Speicherung von Adresslisten und Telefonnummern, sondern generell um alle Daten, die Rückschlüsse auf die Identität natürlicher Personen zulassen. Dies können auch indirekte, systeminterne Informationen sein, wie zum Beispiel Verfasser oder Autoren von Dokumenten, Sachbearbeiter, E-Mail-Adressen, Angaben zu Zeitpunkten und Zeiträumen einer Dokumentbearbeitung sowie alle personenbezogenen Angaben in den Dokumenten selber. Nach den Vorgaben des Bundesdatenschutzgesetzes gilt dafür das Prinzip der „Datensparsamkeit“. Redundante oder überflüssige Kopien von Dokumenten mit personenbezogenen Inhalten, insbesondere auch deren Weitergabe an Dritte, sind – sofern sie nicht einem Backup bzw. einer Datensicherung dienen – zu vermeiden.
Anwender sollten beim ECM-Hersteller – alternativ beim Cloud-Anbieter – nachfragen, ob dieser ein Dokument anbieten kann, das das ECM-System bzw. die Cloud-Strukturen unter datenschutzrechtlichen Aspekten beleuchtet. Auch entsprechende Gutachten von neutraler Stelle, die eine generelle Rechtskonformität des Systems bescheinigen, dienen dem Anwender als zusätzliche Sicherheit. Cloud-Anbieter sind sogar in verschärftem Maße dazu verpflichtet, dem Auftraggeber gegenüber die datenschutzrelevanten Aspekte ihrer IT-Strukturen offenzulegen.
Insbesondere in Fällen, in denen ECM-Systeme mit anderen Anwendungen gekoppelt werden, zum Beispiel mit ERP-, CRM- oder branchenspezifischen Anwendungen, ist zu klären, inwieweit der häufig automatisierte Datenaustausch zwischen den verschiedenen Anwendungen datenschutzrechtlich relevant ist – auch im Sinne der genannten Datensparsamkeit. Daraus lässt sich folgern, dass nicht nur die Inhalte von ECM-Systemen datenschutzkonform sein müssen, sondern auch der „Content“ aller weiteren angebundenen Anwendungen innerhalb einer IT-Infrastruktur, einschließlich möglicher Clouds.
Moderne ECM-Systeme verfügen immer über eine Option, gespeicherte Informationen mit Anwenderrechten zu verknüpfen. Bestehende Rechtekonzepte innerhalb einer ECMSystemumgebung sollten deshalb kritisch überprüft und gegebenenfalls an die Anforderungen datenschutzrechtlicher Bestimmungen angepasst werden. Unternehmen sollten sich grundsätzlich die Frage stellen, welche Mitarbeiter welche Dokumente lesen dürfen und welche nicht. Zudem ist die Frage zu klären, ob diese Anforderung auch von Cloud-Anbietern plausibel erfüllt werden kann.
Kontrollen durch Aufsichtsbehörden
Datenschutzrecht ist Ländersache. Das heißt, alle Bundesländer in Deutschland haben jeweils eine eigene Aufsichtsbehörde, die dafür zuständig ist, den betrieblichen Datenschutz und die Einhaltung des Datenschutzgesetzes in den Unternehmen der Privatwirtschaft des jeweiligen Bundeslandes zu überwachen. Diese Behörden sind dazu berechtigt, jederzeit und unangemeldet Datenschutz-Kontrollen bzw. Audits in den Betrieben durchzuführen. Darauf sollten Unternehmen vorbereitet sein.
Fazit: ECM statt Cloud
Die Erfahrung hat gezeigt: Wer ein ECM-System einsetzt, bekommt bei adäquater Handhabung keine Probleme mit dem Datenschutz. Denn moderne ECM-Systeme sind so ausgereift, dass sie Unternehmen die Einhaltung der Datenschutzvorschriften generell erleichtern – vorausgesetzt, die zur Verfügung stehenden IT-Lösungen werden in der dafür vorgesehenen Weise eingesetzt. Geht es um Datenschutz und um Transparenz in der Datenspeicherung, sind daher die im eigenen Hause eingesetzten ECM-Systeme mit ihren klassischen Dokumentenmanagement-Funktionen gegenüber Cloud-Diensten klar im Vorteil. Vor allem die in vielen Unternehmen immer noch verbreitete Meinung, sich durch die Beauftragung eines Cloud-Anbieters von allen datenschutzrelevanten Verantwortlichkeiten freikaufen zu können, ist ein Trugschluss, der in krassem Widerspruch zu den Bestimmungen des Bundesdatenschutzgesetzes steht.
