Tipp 4: Erheben und verarbeiten Sie Daten ausschließlich recht- und zweckmäßig.
Rechtmäßig ist die Erhebung und Verarbeitung personenbezogener Daten nur dann, wenn eine Einwilligung des Betroffenen vorliegt oder ein gesetzlicher Erlaubnis-Tatbestand besteht und die Verarbeitung für die dort bestimmten Zwecke erforderlich ist. Erforderlich ist eine solche Verarbeitung beispielsweise für die Erfüllung eines Vertrags. Entscheidend ist, dass die Datenerhebung und -verarbeitung stets an einen bestimmten Zweck gebunden ist. Damit einhergeht, dass Art und Umfang dem Zweck angemessen sein müssen, also Unternehmen nicht mehr Daten verarbeiten, als notwendig ist, um einen bestimmten Zweck zu erfüllen.
Mit einem DMS können Sie durch rechtskonforme Dokumentenvorlagen bzw. durch die Voreinstellung bestimmter Felder dafür sorgen, dass die Datenerhebung dieser Zweckbindung recht- und zweckmäßig entspricht. Indem Unternehmen wirklich nur jene Daten erheben und verarbeiten, die für den Vorgang - zum Beispiel für die Ausgestaltung eines Arbeits- oder Kaufvertrags - relevant sind, können Sie dokumentenbasierte Prozesse nicht nur effizienter steuern, sondern bleiben zudem in Sachen Datenschutz auf der sicheren Seite.
Tipp 5: Löschen Sie Daten, nachdem diese Ihren Zweck erfüllt haben.
Insbesondere bei Vertragsunterlagen oder Personalakten scheinen die Datenschutzgrundsätze der Zweckbindung und Speicherbegrenzung den gesetzlich geforderten Aufbewahrungsfristen häufig entgegenzuwirken. Tatsächlich stehen aber die Rechte der betroffenen Personen im Vordergrund. Darum dürfen Unternehmen personenbezogene Daten nur so lange speichern, wie sie notwendig sind, um den damit verbundenen Zweck zu erfüllend. Ausnahmen gelten für "im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungs- oder statistische Zwecke" (Art. 5 Abs. 1b DSGVO). Aber auch dann verlangt die DSGVO "geeignete technische und organisatorische Maßnahmen" (Art. 89 Abs. 1 DSGVO), wie etwa die Pseudonymisierung und Verschlüsselung personenbezogener Daten, um die Identität der betroffenen Personen zu schützen.
Mit einem DMS lassen sich entsprechend automatisierte Workflows anlegen, die eine Prüfung der vorliegenden Daten und Dokumente vornehmen. Dadurch lässt sich der Daten- und Dokumentenbestand eines Unternehmens hinsichtlich der noch vorhandenen oder bereits erloschenen Zweckbindung einerseits und anhand von gesetzlichen Aufbewahrungsfristen andererseits aktualisieren. Hat ein Unternehmen beispielsweise eine vakante Stelle besetzt, sind die dafür eingereichten Unterlagen und Daten von Bewerbern zu löschen. Ist ein Vertrag zwar nicht mehr aktiv, muss aber noch für eine bestimmte Zeit zu Revisionszwecken aufbewahrt werden, sollten Unternehmen jene Bestandteile mit personenbezogenen Daten entfernen, die für die Revision nicht von Belang sind.