30. Januar 2018
EU-DSGVO – kommentierter Gastbeitrag
Gastbeitrag von Markus Olbring, comdatis it-consulting zum Thema DSGVO mit Kommentar von Jens Büscher, CEO AMAGNO.
Am 25. Mai 2018 endet die Übergangsfrist und die Datenschutz-Grundverordnung (DSGVO) sowie das neue Bundesdatenschutzgesetz (BDSG) sind für Unternehmen anzuwenden.
«Die Unternehmen sind in der Pflicht, sehr schnell auf beispielsweise das Recht des Vergessens reagieren zu können, soweit dies nicht mit anderen Gesetzen kollidiert. Die Menge an Papierbelegen, Dateien und E-Mails verhindert eine schnelle Analyse betreffender Daten im Unternehmen. Wir sehen Enterprise Content Management (ECM) Software, wie AMAGNO, als wesentlichen Stützpfeiler zur Einhaltung der EU-DSVGO für Unternehmen. AMAGNO findet in allen diesen Quellen im kompletten Text fast aller Dateiformate auf Basis von Stichwörtern, wie Name, Kundennummer oder Geburtsdatum, diese Inhalte in Sekunden wieder und ermöglicht damit eine zielgenaue Auskunft, Vernichtung, Anonymisierung oder Bearbeitung dieser Dateien.»
Schlagworte wie „Privacy by design“ und „Privacy by default“ führen dazu, dass auch die Softwarehersteller aktiv werden müssen und datenschutzfreundliche Funktionen bereitstellen müssen.
Was können die Anwender erwarten und was müssen Softwareanbieter leisten?
«Neben Spaß an digitalen Dokumenten und einem hohen Automatisierungsgrad ist die Sicherheit mit digitalen Dokumenten ein relevantes Gut unserer Softwareentwicklung. Die grundlegenden Basiseinstellungen unserer Software ist stets ein verhinderndes Recht. Ohne weitere Einstellungen sind jegliche Inhalte, Strukturen und Ablagen nicht sichtbar, zugreifbar und dies ist bereits auf der Datenbankebene vorgesehen, so dass diese Sicherheit sich automatisch auf alle Clients und die Restful API auswirkt. Neben vielen Sicherheitsmaßnahmen zum Datenbestand sind die Dateien (E-Mails, Dateien, Belege, etc) in AMAGNO mit personenrelevanten Daten verschlüsselt und anonymisiert.»
Die nachfolgende Tabelle gibt einen kleinen Überblick darüber, welche Anforderungen Softwarehersteller bis zum 25. Mai 2018 erfüllen sollten.
| Anforderung | Umsetzung |
| Datenminimierung | - Die Software sollte durch den Anwender derart administriert werden können, dass für konkrete Verwendungszwecke ausschließlich erforderliche Datenfelder verwendet werden.
«Dies sind Standardfunktionen, wobei hier auch organisatorische Vorgaben gemacht werden sollten. Der Vorteil ist die schnelle Auswertung dieser Datenfelder durch Berechtigte.»
|
| Technikbezogener Datenschutz (privacy by design / privacy by default) | - Der Entwicklungsprozess sollte bei der Releaseplanung für neue / veränderte Funktionen und Fehlerbereinigungen die Anforderungen des Datenschutzes berücksichtigen.
«AMAGNO dokumentiert den gesamten Entwicklungszyklus von der Planung, Umsetzung, Qualitätssicherung und Dokumentation sowie auch für die Supportfälle. Dies ist ein Bestandteil der erfolgten IDW PS 880 Zertifizierung.» - Die Einhaltung der Datenschutzanforderungen müssen auch für Softwarekomponenten von Drittanbietern gewährleistet werden.
«Soweit die Softwarekomponenten einen Bezug der DSGVO haben.» - Der Umfang der Protokollierung und die Aufbewahrung von Protokollen (bezogen auf personenbezogene Daten) sollte nachvollziehbar dokumentiert sein und angemessen sein.
«AMAGNO beschreibt automatisch generierte Protokolle mit Personenbezug, z.B. Löschprotokolle.» - Datenschutzfreundliche Voreinstellungen müssen softwareseitig bereits aktiviert sein.
«Ohne Rechteeinstellungen ist grundsätzlich ein verhinderndes Recht aktiv, beispielsweise besteht dadurch im Standard kein Lese-Recht auf Dateien.»
|
| Datenübertragbarkeit | - Der Softwarehersteller sollte Funktionen bereitstellen, die einen Export personenbezogener Daten in einem maschinenlesbaren Format ermöglichen.
«AMAGNO erlaubt die Erstellung von Reports für berechtigte Anwender mit Export als XML oder als CSV, z.B. für eine Verwendung in Excel.» - Die Beschreibung der Software sollte eine Übersicht enthalten, wo welche personenbezogenen Daten gespeichert sind.
«AMAGNO liefert in diesem Rahmen eine Beschreibung der verwendeten Speicherorte in den verwendeten Datenbanken mit aus. AMAGNO ist ergänzend in der Art konzipiert, das eine reine Meta-Information in den Datenbanken, wenn nicht sogar verschlüsselt, manuell über spezielle Tools mit hoher Fachkenntnis nur mit einem erheblichen Aufwand in einen Kontext mit anderen Daten zu bringen ist. Und auf dieser Ebene sollten ergänzend zu AMAGNO auch weitere organisatorische und technische Maßnahmen des einsetzenden Unternehmens stehen.»
|
| Löschfunktion | - Löschfunktionen sollten softwareseitig vorhanden und dokumentiert sein.
«Durch die konkreten Suchfunktionen von AMAGNO lassen sich schnell die benötigten Daten und Dateien finden und löschen, soweit dies nicht durch andere technische Maßnahmen, z.B. Langzeitarchivierung auf Basis anderer rechtlicher Definitionen für einen Zeitraum geschützt ist.» - Funktionen zur Anonymisierung / Pseudonymisierung von personenbezogenen Daten sollten vorhanden sein.
«Alternativ zur Löschung lassen sich z.B. Benutzerkonten anonymisieren / pseudonymisieren.» - DMS-Lösungen sollten administrierbare Aufbewahrungsfristen enthalten.
«Diese rechtlichen Anforderungen sind Standardfunktionsumfang zur Einhaltung weiterer Gesetze und Normen, z.B. im Rahmen der GoBD.»
|
| Datensicherheit | - Die Dokumente und deren Eigenschaften in einer DMS-Lösung müssen hinreichend sicher gespeichert werden.
«Dies sind Standardfunktionen von AMAGNO, die im Rahmen des IDW PS 880 Testats geprüft wurden.» - Eingesetzte Verschlüsselungsverfahren (z.B. Datenverbindungen, Zugriff von extern, Ablage von Dokumenten) müssen nachvollziehbar dokumentiert sein.
«Dies sind Standardfunktionen von AMAGNO, die im Rahmen des IDW PS 880 Testats geprüft wurden.» - Kritische Datenfelder (z.B. Kennwörter) müssen verschlüsselt gespeichert werden.
«Dies sind Standardfunktionen von AMAGNO, die im Rahmen des IDW PS 880 Testats geprüft wurden.» - Die Dokumentation vom Softwarehersteller muss Informationen zur Datensicherung erhalten.
«Dies sind Standardfunktionen von AMAGNO, die im Rahmen des IDW PS 880 Testats geprüft wurden.» - Die Software muss Funktionen enthalten, die ein angemessenes Berechtigungskonzept im Unternehmenseinsatz ermöglichen.
«Dies sind Standardfunktionen von AMAGNO, die im Rahmen des IDW PS 880 Testats geprüft wurden. AMAGNO unterstützt dabei extrem flexible Berechtigungskonzepte, beispielsweise auch dynamischer Leseentzug über Vertraulichkeitsstempel oder bestimmte Dokumentparameter.»
|
| Betroffenenrechte | - Die Software sollte Funktionen enthalten, die den Anwender bei der Auswertung personenbezogener Daten unterstützen.
«Neben vielen weiteren Funktionen ist zu erwähnen, dass AMAGNO von fast allen Dokumentarten aus Dateien, E-Mails und Scans den gesamten Dokumententext für eine Recherche in Sekunden anbietet, ergänzend zu frei definierbaren Meta-Daten.» - Falls notwendig, sollte es eine Möglichkeit geben, Datenfelder und/oder Dokumente selektiv zu sperren oder zu löschen
|
| Vertragliche Regelungen | - Der Softwarenanbieter sollte, sofern eine Auftragsverarbeitung vorliegt, über eine vertragliche Regelung gem. Art. 28 DSGVO verfügen.
«Diese organisatiorischen Aspekte sind z.B. für das Cloudangebot von AMAGNO möglich und notwendig.» - Subunternehmer müssen durch den Anbieter transparent aufgeführt sein.
- Der Anbieter hat ein Verzeichnis für Verarbeitungstätigkeiten für Auftragsverarbeitungen erstellt.
- Der Anbieter hat, sofern vorgeschrieben, einen internen oder externen Datenschutzbeauftragten bestellt.
- Über Zertifizierungen (z.B. IDW PS 880, ISO 27001) kann der Anbieter die Ordnungsmäßigkeit und Konformität der Lösung nachweisen. Auch wenn eine Zertifizierung gem. IDW PS 880 durch eine Wirtschaftsprüfungsgesellschaft nicht unmittelbar einen Bezug zum Datenschutz hat, können Testate wichtige Hinweise liefern. Neben dem Softwareentwicklungsprozess werden auch aus Datenschutzssicht wichtige Softwarefunktionen (z.B. Berechtigungskonzept) bewertet.
«AMAGNO Version 5 ist im Rahmen der IDW PS 880 von einer Wirtschaftsprüfung zertifiziert worden (Siehe AMAGNO erhält GoBD Softwarebescheinigung).»
|
Um Dokumentenquellen im Unternehmen zu sichten, können DMS-Lösungen sehr gut für die Umsetzung der DSGVO verwendet werden. Diese sammeln die Dokumente und Informationen an einer zentralen Stelle und können von dort aus für die Umsetzung der DSGVO verwendet werden.
Auch für die aus der DSGVO resultierende Verpflichtung zur Erstellung von Dokumenten ist eine DMS-Lösung ein geeignetes Werkzeug, um Änderungen an den Dokumenten über die Versionierung nachweisbar zu machen.
«Neben den rechtlichen Anforderungen für das Finanzamt, z.B. GoBD, AO etc ist im Kontext der EU-DSGVO um so mehr jedes Unternehmen gefordert, eine Lösung wie AMAGNO einzusetzen. Die Vorteile von AMAGNO liegen dabei in der extrem schnellen Einsetzbarkeit von AMAGNO, dem Import von Dokumenten aus allen Quellen und der leistungsstarken Suchengine, zuzüglich dem umfangreichen Sicherheitkonzept.»
Jens Büscher 
