Bitkom-Leitfaden: DSGVO mit ECM-Lösungen einhalten

Der Arbeitskreis ECM-Compliance des IT-Branchenverbands Bitkom hat den Leitfaden »Wie Sie die DSGVO mit ECM-Lösungen praxisgerecht einhalten« erstellt. Er ist in drei Kapitel aufgeteilt und berichtet im ersten ausführlich über die Fakten, Definitionen und Hintergründe zur DSGVO. Der Text weist unter anderem darauf hin, dass Unternehmen und Behörden in der Lage sein müssen, jeden Ort und jedes Dokument, das personenbezogene Informationen enthält, zu identifizieren und dem Kunden auf Wunsch eine Aufstellung dieser Daten zur Verfügung zu stellen.

DSGVO-Funktionen in ECM-Systemen

Nach Meinung der Verfasser ist es ohne ein System für Dokumentenmanagement oder Enterprise Content Management (DMS oder ECM) unmöglich, diese Anforderung zu erfüllen. So lassen sich durch ECM-Lösungen beispielweise digitalisierte Papierakten verwalten und Archive so einrichten, dass Dokumente nicht heruntergeladen, weitergeleitet oder gedruckt werden können. Nach der Indexierung eines Dokuments können ECM-Lösungen in der Regel automatisch weitere Maßnahmen einleiten, damit die Informationen korrekt gehandhabt werden. So lassen sich alle Dateien und Objekte verschlüsseln, die persönlich identifizierbare Informationen enthalten, sowohl während der Übertragung als auch im gespeicherten Zustand.  Ebenso werden Zugriffskontrollen und Berechtigungsmanagement eingesetzt, um sicherzustellen, dass nur autorisierte Benutzer auf persönlich identifizierbare Informationen zugreifen können. Zum Beispiel können Kundenbetreuer Bestellungen von Klienten einsehen, nicht aber die Mitglieder des Marketing-Teams. Außerdem verfügen ECM-Lösungen über Aufbewahrungs- und Löschregeln, die sicherstellen, dass Daten nicht länger als nötig aufbewahrt werden.

ECM aus der Cloud wird speziell betrachtet

Im Leitfaden wird außerdem beschrieben, wie ECM-Systeme personenbezogene Daten exportieren, korrigieren und löschen können. Ein eigenes Unterkapitel befasst sich außerdem mit ECM aus der Cloud. Relevant bezüglich DSGVO ist beispielsweise, ob der ECM-Anbieter ein eigenes Rechenzentrum für den ECM-Cloud-Service betreibt oder hierfür einen Drittanbieter nutzt.

Im dritten Abschnitt erläutert der Leitfaden, wie Verantwortliche eine unternehmensweite Compliance-Strategie entwerfen sollen. Dabei sind neben ECM-Software auch weitere Business-Software-Systeme wie CRM- und ERP-Lösungen zu berücksichtigen, die ebenfalls personenbezogene Daten verarbeiten.

Nicht jedes ECM-System kann alles: DSGVO-Funktionalität deshalb genau untersuchen

Der Leitfaden ist für den Leser eine interessante Hilfestellung, die kostenfrei zur Verfügung steht. Jedoch sollte er beachten, dass allgemein von ECM-Systemen die Rede ist, deren Funktionalität trotz Basisfunktionen, die nahezu alle Systeme abdecken, variiert. Ob und wie gut die Funktionen mit DSGVO-Bezug tatsächlich in den spezifischen Lösungen verschiedener Hersteller vorhanden sind, sollte dediziert überprüft werden. Beispielsweise wird »Sharepoint« von Microsoft teilweise als DMS-Lösung dargestellt, die aber im Kern eine Collaboration-Lösung ist und für die digitale Archivierung selbst wenig bietet.