DSGVO-Interview mit Heiko Schrörs, Datenschutzbeauftragter

Welche Hilfe können ECM- und DMS-Tools bei der Umsetzung der DSGVO bieten?

Schrörs: Da in der DSGVO die Dokumentationspflichten sehr stark hervorgehoben werden, ist die Dokumentenlenkung ein wichtiger Punkt. Aber auch bei Fristen können ECM-Tools einen wichtigen Beitrag leisten. Eines der größten Probleme, die Löschfristen, können mit DMS-Tools gut in den Griff bekommen werden, da Aufbewahrungsfristen in der Regel den Dokumenten mitgegeben werden können.

Welche Aufgaben werden mit ECM- und DMS-Tools schneller gelöst?

Schrörs: Teilweise ist es möglich, Dokumente elektronisch unterschreiben zu lassen. Auch als Wissensdatenbank können ECM-Tools zur schnellen Recherche dienen.

Wo leisten sie keine Unterstützung?

Schrörs: Hier kommt es stark auf die einzelnen Lösungen der Hersteller an. Natürlich sollte man für das Datenschutzmanagement-System ein Konzept haben. Ohne wird auch der Einsatz von ECM/DMS-Tools nicht zum Erfolg führen.

Welche Eigenschaften sollte eine ECM- und DMS-Lösung haben, um DSGVO-Aufgaben zu erfüllen?

Schrörs: Folgendes ist empfehlenswert: Automatische Löschfristen pro Dokumentenart oder Dokument. Rechtskonform nach GoBD. Ablage der Dokumente in verschlüsselter Form. Gutes Berechtigungsmodul. Web-Oberfläche mit SSL, um gegebenenfalls Dokumente mit Dritten zu teilen, damit personenbezogene Daten nicht per Mail verschickt werden müssen.

Mit dem Einsatz einer GoBD-bescheinigten Software ist ein Unternehmen selbst ja nicht GoBD-konform. Hier kommt es auf weitere notwendige Voraussetzungen wie eine gültige unternehmensweite Verfahrensdokumentation an. Unternehmen können auch eine ECM- oder DMS-Lösung ohne sogenannte GoBD-Bescheinigung einsetzen und GoBD-konform sein. Warum verwenden Sie im Zusammenhang mit DSGVO die Empfehlung »Rechtskonform nach GoBD«?

Schrörs: Durch die DSGVO haben Unternehmen weitgehende Rechenschaftspflichten. Diese können durch ein revisionssicheres – mir ist klar, dass es dieses Wort in der GoBD nicht gibt – System auf Dokumentenebene gegeben werden. Auch die Sicherheit der Verarbeitung ist ein wichtiger Punkt in der DSGVO. Diese ist ebenfalls gegeben, wenn ein Unternehmen sich an die GoBD hält – was faktisch eigentlich fast jedes Unternehmen muss. Weiterhin bleibt festzuhalten, dass wenn ein Unternehmen nicht GoBD konform handelt, aber ein System einsetzt, welches GoBD-konform ist, nur noch die Verschlüsslung gegeben sein muss, um DSGVO-konform zu sein. Ein nicht vorhandenes DMS nach GoBD ist im Audit eine Abweichung und sollte korrigiert werden.

Wann eignet sich eine ECM- und DMS-Lösung nicht zur Erfüllung von DSGVO-Aufgaben?

Schrörs: Sobald personenbezogene Daten nicht verschlüsselt abgelegt werden können und Dokumente nicht zwingend verschlüsselt übertragen werden können.

Wo sehen Sie als TÜV-zertifizierter Datenschutzbeauftragter allgemein die größten Herausforderungen bei der Umsetzung der DSGVO für Unternehmen?

Schrörs: Die größte Herausforderung ist das Verständnis der Geschäftsleitung. Ein Geschäftsführer sieht die Umsetzung immer aus finanzieller Sicht. Die DSGVO sieht aber den Ansatz aus Sicht des Betroffenen. Weiterhin ist die Aufgabe des Datenschutzbeauftragten eigentlich die Kontrolle und Beratung. Häufig unterschätzen Geschäftsführer den Zeitaufwand für die Einführung eines Datenschutzmanagement-Systems. Hier ist eine gute Aufklärung in den Erstgesprächen notwendig. Eine weitere Herausforderung ist es, der Geschäftsführung die Risiken zu erklären, damit sie in die Lage versetzt wird, die Entscheidung zu treffen, ob und wie sie Dinge umsetzt. Ich bin der Meinung, dass dies eines der wichtigsten Beratungstätigkeiten ist. Da habe ich als Datenschutzbeauftragter und Geschäftsführer natürlich einen Vorteil.

Wie groß ist der Aufwand für ein Unternehmen, um alle DSGVO-Anforderungen zu erfüllen?

Schrörs: Das kommt drauf an, mit welchen Daten und in welchem Umfang personenbezogene Daten verarbeitet werden. Ein kleines Handwerks-Unternehmen mit zum Beispiel 20 Mitarbeitern wird sicherlich in kürzester Zeit durch sein. Für unseren größten Kunden mit 1.200 Mitarbeitern oder eine Holding mit acht Töchtern planen wir ein Jahr bis ein ausreichender Datenschutz gelebt wird. 100 Prozent wird man kaum erreichen, da zu viel Rechtsunsicherheit besteht.

Wie sinnvoll erachten Sie persönlich die DSGVO in der Unternehmenspraxis?

Schrörs: Ich persönlich finde die DSGVO einen guten Ansatz. Leider ist das Bewusstsein bezüglich des Risikos in der Bevölkerung, was mit personenbezogenen Daten passieren kann, kaum vorhanden. Alleine deswegen finde ich die mediale Präsenz immens wichtig. Ebenso bedeutsam ist, dass die Unternehmen dadurch mehr in die Pflicht genommen werden. Allerdings finde ich es für Kleinstunternehmen oder kleine Vereine, finanziell kaum zu stemmen. Da sollte es nach meiner Auffassung einen einheitlich praktikablen Ansatz geben. Allerdings sind auch diese schnell dabei, einen Datenschutzbeauftragten zu benennen, was immer mit Kosten verbunden ist. Der wichtigste Ansatz ist meines Erachtens, dass sich jede Institution bewusst ist, wo personenbezogene Daten liegen und welche Gefahr für den Betroffenen besteht, um ein ausreichendes Schutzniveau zu realisieren.