Die DSGVO (Datenschutz-Grundverordnung, Verordnung (EU) 2016/679) regelt seit dem 25. Mai 2018 EU-weit den Umgang mit personenbezogenen Daten. Sie gilt für nahezu jedes Unternehmen, das Daten von Kunden, Mitarbeitern oder Lieferanten verarbeitet – und sie hat unmittelbare Auswirkungen darauf, wie ein Dokumentenmanagementsystem aufgebaut und betrieben werden muss.
Grundprinzipien mit DMS-Bezug
Mehrere Grundsätze der DSGVO betreffen das Dokumentenmanagement direkt: Datenminimierung und Zweckbindung (nur notwendige Daten, nur für definierte Zwecke), das Recht auf Löschung („Recht auf Vergessenwerden") sowie die Rechenschaftspflicht nach Art. 5 Abs. 2, die verlangt, die Einhaltung jederzeit nachweisen zu können. Verstöße können mit Bußgeldern von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden.
Zugriffskontrolle und Protokollierung
Die DSGVO verlangt, dass nur befugte Personen auf personenbezogene Daten zugreifen. Im Dokumentenmanagementsystem wird das über eine rollenbasierte Nutzerverwaltung umgesetzt. Jeder Zugriff wird im Sinne der Nachvollziehbarkeit protokolliert – das ist zugleich der Nachweis, den die Rechenschaftspflicht fordert.
Spannungsfeld Löschpflicht und GoBD
Ein scheinbarer Widerspruch: Die DSGVO fordert Löschung nach Zweckwegfall, die GoBD fordert Unveränderbarkeit während der Aufbewahrungsfrist. Aufgelöst wird das über die Langzeitarchivierung mit automatischer Löschfreigabe: Dokumente bleiben während der gesetzlichen Frist unveränderbar und werden danach datenschutzkonform vernichtet.
Auftragsverarbeitung und Hosting
Wer Cloud-Dienste nutzt, braucht einen Auftragsverarbeitungsvertrag (AVV) und sollte den Verarbeitungsort kennen. Werden Daten in Drittländer (z. B. USA) übermittelt, sind zusätzliche Garantien erforderlich. workcentrix setzt mit Amagno auf deutsches Hosting – das vereinfacht die DSGVO-Konformität, weil Daten den europäischen Rechtsraum nicht verlassen.