ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
www.datenschutzzentrum.de/

Dies ist unser Webangebot mit Stand 27.10.2014. Neuere Artikel finden Sie auf der ├╝berarbeiteten Webseite unter www.datenschutzzentrum.de.

Stand: 23.08.2005

Datenschutzanforderungen an Dokumentenmanagementsysteme

PDF-Version dieses Beitrags

I. Gliederung

Dokumentenmanagementsysteme (DMS) halten gegenwärtig Einzug in Verwaltungen. Bei der Migration der Aktenführung vom Papier auf EDV gibt es eine Reihe an Regelungen zu beachten, um auch den datenschutzrechtlichen Herausforderungen durch die neuen technischen Möglichkeiten gerecht zu werden. Diese Anforderungen sind von der für die Datenverarbeitung verantwortliche Stelle bereits bei Planung der Einführung eines DMS zu beachten. Die Stelle hat vor Inbetriebnahme der Anwendung in einem Sicherheitskonzept darzustellen, welche technischen und organisatorischen Maßnahmen unter Berücksichtung der tatsächlichen Gegebenheiten getroffen werden, um den datenschutzrechtlichen Anforderungen gerecht zu werden. Im Folgenden werden eine Reihe von allgemeinen datenschutzrechtlichen Anforderungen von der Übernahme der Dokumente in das DMS bis zur elektronischen Archivierung skizziert. Daneben werden beispielhaft Maßnahmen aufgezeigt, die zur Erreichung des erforderlichen Schutzniveaus in Betracht kommen können. Dieser Anforderungskatalog hat nicht den Anspruch auf Vollständigkeit.

II. Anwendbarkeit datenschutzrechtlicher Bestimmungen

Die Vorschriften des Landesdatenschutzgesetzes Schleswig-Holstein (LDSG) finden Anwendung, wenn personenbezogene Daten durch öffentliche Stellen verarbeitet werden. Personenbezogene Daten sind gem. § 2 Abs. 1 LDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Umfasst sind damit auch Einzelangaben, die eine bestimmte Person nicht unmittelbar identifizieren, die es aber erlauben, die Person mit Hilfe zusätzlicher Informationen festzustellen (personenbeziehbare Daten).

Bei der Einführung eines DMS in öffentliche Stellen des Landes sind zwingend die Vorgaben des LDSG zu beachten. Denn zunächst können in den Dokumenten selbst, die in das elektronische DMS übernommen bzw. in dem System erzeugt und bearbeitet werden, personenbezogene Daten (Dritter) enthalten sein, mit denen datenschutzgerecht zu verfahren ist. Betroffen können hier insbesondere Daten von Beteiligten eines Verwaltungsverfahrens sein.

Daneben werden bei dem Einsatz eines DMS eine Vielzahl von Mitarbeiterdaten aufgezeichnet. Bei der Vergabe von Berechtigungen für das Lesen, Schreiben und Verwalten von Dokumenten fallen personenbezogene Daten der betroffenen Nutzer an. Die Bearbeitungsschritte eines jeden Mitarbeiters können über das System im Detail nachvollzogen werden. Auch die so erzeugten Mitarbeiterdaten unterfallen den Bestimmungen des LDSG und dürfen nur unter den dort genannten Voraussetzungen verarbeitet werden.

Bei der Einführung eines DMS ist neben dem LDSG die Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten (DSVO) zu beachten. Diese findet zusätzlich Anwendung, sobald - wie bei Einsatz eines DMS - personenbezogene Daten durch öffentliche Stellen automatisiert verarbeitet werden.

III. Verantwortliche Daten verarbeitende Stelle

Es ist zunächst zu klären, wer für die Datenverarbeitung verantwortlich ist und damit für die Einhaltung bzw. Umsetzung der folgenden Anforderungen einstehen muss. Die datenschutzrechtliche Verantwortlichkeit für die Einführung des DMS richtet sich danach, welche Stelle als Daten verarbeitende Stelle im Sinne des Landesdatenschutzgesetzes Schleswig-Holstein (LDSG) anzusehen ist. Nach § 2 Abs. 3 LDSG ist Daten verarbeitende Stelle jede öffentliche Stelle, die Daten für sich selbst oder durch andere verarbeiten lässt.

IV. Erstellung eines Sicherheitskonzeptes

Die Daten verarbeitende Stelle ist für die datenschutzgerechte Verarbeitung personenbezogener Daten verantwortlich und hat nach § 5 LDSG i.V.m. § 6 Datenschutzverordnung Schleswig-Holstein (DSVO) ein Sicherheitskonzept zu erstellen.

Nach § 6 DSVO hat die Daten verarbeitende Stelle auf der Grundlage des Verfahrenszweckes (§ 5 DSVO) und der Verfahrensbeschreibung (§ 4 DSVO) in einem Sicherheitskonzept darzustellen, welche technischen und organisatorischen Maßnahmen unter Berücksichtigung der tatsächlichen örtlichen und personellen Gegebenheiten getroffen werden, um die Anforderungen nach §§ 5 und 6 LDSG zu erfüllen. Um Sicherheitsmaßnahmen in einem Sicherheitskonzept festlegen zu können, ist zuvor eine genaue Verfahrensbeschreibung zu erstellen, die u. a. eine eindeutige Abgrenzung zu anderen Verfahren gewährleistet. In der Verfahrensbeschreibung sind die Programme und ihre Beziehungen zueinander darzustellen.

Für die Erstellung eines Sicherheitskonzeptes gibt es keine bestimmten Formvorschriften. Wesentlich ist, dass alle zu treffenden Schutzmaßnahmen für das eingesetzte Verfahren unter Berücksichtigung der tatsächlichen Begebenheiten dargestellt werden. Das Sicherheitskonzept setzt eine Analyse der Schutzbedürftigkeit voraus, um die erforderlichen Sicherheitsmaßnahmen bestimmen zu können (§ 5 Abs. 2 Satz 1 LDSG). Es sollte jeweils Maßnahmen in den Bereichen allgemeiner Grundschutz, Arbeitsplatzebene, Zentralrechnerebene, Verfahren, Administration, Revision/Kontrolle und Notfallvorsorge bezeichnen. Die verbleibenden Schwachstellen sollten aufgezeigt und eine Fortschreibung vorgesehen werden.

Werden in automatisierten Verfahren personenbezogene Daten im Sinne von 11 Abs. 3 LDSG verarbeitet, ist gemäß § 6 Abs. 2 DSVO in einer Risikoanalyse zu beschreiben, welche Sicherheitsrisiken aus welchen Gründen nicht oder nur zum Teil durch die getroffenen Maßnahmen ausgeschlossen werden können.

1. Eingang der Dokumente / Übernahme in das DMS

a) Gesetzliche Verbote der automatisierten Verarbeitung / Feststellung des Schutzniveaus

Bei dem Einscannen der eingehenden Dokumente ist zunächst zu klären, ob es Verbote gibt, bestimmte personenbezogene Daten automatisiert zu speichern (z.B. bei Verschlusssachen). Bei bestimmten personenbezogenen Daten und vertraulichen Erklärungen können zudem Bedenken bestehen, diese wegen der besonderen Gefahren der elektronischen Bearbeitung (die insbesondere aufgrund der besonderen Verfügbarkeit elektronischer Dokumente besteht) einzuscannen. Daten, die dem Sozialgeheimnis, dem Personalaktengeheimnis oder einem anderen Amts- oder Berufsgeheimnis unterliegen, sind nach spezialgesetzlichen Regelungen besonders geschützt. Jede Daten verarbeitende Stelle hat daher eine Negativliste der Postdokumente anzulegen, die dem Scannvorgang nicht unterliegen dürfen. Ferner ist zu klären, welche Daten wegen ihrer Sensibilität besondere Sicherheitsmaßnahmen erfordern wie beispielsweise eine Verschlüsselung unmittelbar nach dem Scannvorgang.

Klärungsbedürftig ist also zunächst, welche personenbezogenen Daten verarbeitet werden. Anschließend ist festzulegen, mit welchen Sicherheitsmaßnahmen ein angemessenes Schutzniveau sichergestellt werden kann. Im Regelfall dürfte ein detailliertes Zugriffskonzept ausreichend sein. Jedoch können im Einzelfall weitere Maßnahmen wie zum Beispiel eine Verschlüsselung der Dokumente geboten sein.

b) "Scann-Konzept"

In dem Sicherheitskonzept muss festgelegt werden, welche Personen zum Scannen welcher Dokumente berechtigt und für diesen Vorgang verantwortlich sind. Der Umgang mit eingehenden Dokumenten ist abschließend festzulegen. Durch technische und organisatorische Maßnahmen ist vorzusehen, dass Fehler wie ein unvollständiges Scannen, ein fehlerhaftes Zusammenführen einzelner Dokumente und eine falsche Zuordnungen zu Vorgängen möglichst vermieden werden. Fehler müssen leicht zu korrigieren sein.

Zu klären ist auch, wie mit dem Original, das eingescannt worden ist, umzugehen ist, insbesondere sind der Ort und die Dauer der Aufbewahrung festzulegen. Es ist sicherzustellen, dass die eingescannten Dokumente die Beweiskraft haben, die der Absender mit seiner schriftlichen Einsendung intendiert hat. Ein sich aus dem Prozess des Einscannens ggf. ergebender Beweiswertverlust darf nicht zu Lasten des Einsenders gehen. Die Übernahme von elektronischer Post in das DMS ist zu regeln.

c) OCR-Erkennung

Es ist festzulegen, ob beim Scannen eine OCR-Erkennung eingesetzt werden soll. Soweit dies der Fall sein sollte, ist technisch sicherzustellen, dass bei dem Übergang von Papier in elektronische Form durch OCR-Erkennung Manipulationen ausgeschlossen und Fehler vermieden werden.

d) Metadaten

Es ist festzulegen, welche Metadaten (Dokumentenname, Verzeichnis, Autor, Datum, letzte Änderung u.ä.) beim Anlegen eines Dokumentes automatisiert erstellt und welche manuell eingegeben werden können. Dabei ist der datenschutzrechtliche Grundsatz der Datensparsamkeit (§ 4 LDSG Abs. 1) zu beachten. Der Grundsatz der Datenvermeidung und Datensparsamkeit gebietet, schon bei der Ausgestaltung der konkreten Datenverarbeitungsprozesse darauf hinzuwirken, dass keine oder möglichst wenig personenbezogene Daten verarbeitet werden. Die Anzahl und der Inhalt der Metadaten sind auf das notwendige Maß zu beschränken. Freie Datenfelder, in denen beliebige Daten (Notizen) eingetragen werden können, sind zu vermeiden, auch sofern diese bei einer Revision nicht einsehbar sind.

e) Umstellung von Papier- auf E-Akte

Klärungsbedürftig ist, auf welche Weise die Umstellung auf eine elektronische Aktenführung erfolgen soll und auf welche Weise der Medienbruch, der mit einer sukzessiven Umstellung von Papierakte auf elektronische Akte verbunden ist, bewältigt werden soll.

Zu einem Sicherheitskonzept gehört auch ein Migrationskonzept, in dem der Übergang von einer konventionellen zu einer elektronischen Aktenhaltung unter Beachtung von datenschutzrechtlichen Anforderungen festgelegt ist. Bestandteile sind bspw. die Anpassung der Organisationsstruktur und Arbeitsprozesse an das DMS, das Verhältnis zwischen dem alten und dem neuen Datenbestand sowie die Abbildung eines organisationsbedingten Aktenzeichenwechsels, eines Laufzeichenwechsels oder anderer organisatorischer Veränderungen, ohne dass die eindeutige Zuordnung oder die Verfügbarkeit der Daten gefährdet ist.

2. Zugriffsberechtigungen

Bei der nach § 5 LDSG erforderlichen Sicherstellung des Datenschutzes durch geeignete technische und organisatorische Maßnahmen bildet die Festlegung der Zugriffsberechtigungen ein zentrales Element. Die Beschränkung der Zugriffsberechtigungen gewährleistet, dass personenbezogene Daten nur im Rahmen der Erforderlichkeit und nach dem Grundsatz der Zweckbindung verarbeitet werden. Der Sachbearbeiter darf nur auf die Daten zurückgreifen können, die er im Rahmen seiner eigenen Aufgabenerfüllung benötigt. Dazu gehört auch eine Festlegung und Implementierung von Vertretungsregeln.

3. Vorgangsbearbeitung

a) Datenintegrität

Es dürfen nur richtige (korrekte) Daten verarbeitet werden (§ 28 Abs. 1 LDSG). Es ist die Integrität der Daten zu gewährleisten, d.h. die Daten müssen vor Manipulationen geschützt werden (können). Dies wird zum Beispiel über eine Protokollierung (dazu s. u.) und Versionierungen erreicht. Zugleich muss jedes Dokument und jede Änderung des Dokumentes, wenn es sich nicht mehr im Entwurfsstadium befindet, einem eindeutigen Urheber zugeordnet werden können.

b) Sicherstellung der Bearbeitungswege

Der gesamte Umlauf von Dokumenten einschließlich der dazu gehörenden Verfügungen ist durch das DMS abzubilden. Es muss nachvollziehbar sein, wer welches personenbezogene Datum verändert hat, § 5 Abs. 1 Nr. 3 LDSG. Dem Empfänger eines Dokumentes muss bei Erhalt mitgeteilt werden, zu welchem Zweck sie das Dokument erhalten (zur Kenntnis, zur Bearbeitung, etc.). Bearbeitungsvermerke und Änderungen müssen dokumentiert werden und wiederum ihren Urheber und den Zeitpunkt der Bearbeitung zweifelsfrei erkennen lassen. Die Laufwege einer elektronischen Akte, insbesondere die behördeninternen Verfügungen, müssen abgebildet werden können.

c) Recherche

Die Zweckbindung der Datenverarbeitung gemäß § 13 LDSG erfordert neben der exklusiven Zuweisung von Zugriffsrechten z.B. auch eine Einschränkung der Suchfunktion. Die Gefahr der elektronischen Aufbereitung von Daten liegt unter anderem in der Möglichkeit der Verknüpfung verschiedenster Daten und automatisierter Such- und Auswertungsmöglichkeiten (zu den Auswertungen im Speziellen s.u.). Erforderlich ist daher eine präzise Beschreibung der Suchfunktion (Volltextrecherche / Recherche über Metadaten) und der Maßnahmen, die sicherstellen, dass über die Suchfunktion nicht die datenschutzrechtlichen Grundsätze der Zweckbindung und der Erforderlichkeit sowie der gebotene Vertraulichkeitsschutz umgangen werden können. Das Suchergebnis darf sich nur auf diejenigen Dokumente beziehen, zu denen auch eine Zugriffsberechtigung besteht (§ 5 Abs. 1 Nr. 2 LDSG). Es kann auch erforderlich sein, nur eine begrenzte Zahl von Datenfeldern zur Einsicht zuzulassen. So sollte bspw. eine Registratur nur Registraturdaten, aber keine Inhaltsdaten zur Einsicht erhalten.

d) Vertraulichkeit

Vertraulichkeitsverluste sind zu vermeiden (§ 5 Abs. 1 Nr. 1 und 2 LDSG). Dies ist insbesondere über die oben genannten Zugriffsberechtigungen und ggf. durch eine Verschlüsselung im Rahmen des Scannens eines Dokumentes zu gewährleisten. Zu klären ist, auf welche Weise die Zugriffe der Administratoren überwacht und kontrolliert werden.

e) Verfügbarkeit / Verlust der Daten

Der Verlust der Verfügbarkeit der Daten ist zu verhindern. Die Dokumentenverwaltung ist technisch so zu gestalten, dass alle Unterlagen während der Dauer der Aufbewahrungsfrist verfügbar sind. Diese müssen innerhalb einer angemessenen Zeit so lesbar gemacht werden können, dass sie dem Original entsprechen. Eine eindeutige Aktenzeichenvergabe ist zum Beispiel Grundvoraussetzung für die Verfügbarkeit der Daten. Auch eine regelmäßige Datensicherung gehört zu den zu treffenden Maßnahmen.

4. Protokollierung

a) Rechtsgrundlagen

aa) Protokollierung der Tätigkeiten der Administratoren.

Nach § 6 Abs. 2 LDSG i.V.m. § 8 Abs. 5 DSVO dürfen Zugriffe, mit denen Änderungen an automatisierten Verfahren bewirkt werden können, nur von ausdrücklich ermächtigten Personen (Administratoren) vorgenommen werden. Diese Zugriffe sind zu protokollieren und zu kontrollieren; die Protokolle sind 5 Jahre aufzubewahren. Nach § 8 Abs. 5 DSVO müssen Protokolldaten nach § 6 Abs. 2 LDSG Aussagen enthalten über

  • den Zeitpunkt des ändernden Zugriffs,
  • die Gründe für den Zugriff,
  • die veranlassenden und ausführenden Personen,
  • die Art der Änderung,
  • den Zeitpunkt der Kontrolle und die kontrollierende Person.

bb) Protokollierung der Tätigkeiten der Mitarbeiter

Sollen personenbezogene Daten ausschließlich automatisiert gespeichert werden, ist nach § 6 Abs. 4 LDSG zu protokollieren, wann, durch wen und in welcher Weise die Daten gespeichert wurden. Entsprechendes gilt für die Veränderung und Übermittlung der Daten. Die Protokolldatenbestände sind ein Jahr zu speichern. Protokolldaten nach § 6 Abs. 4 LDSG müssen erkennen lassen

  • wann,
  • durch wen,
  • in welcher Weise

die personenbezogenen Daten gespeichert, verändert oder übermittelt wurden.

b) Grundsätze der Protokollierung

aa) Zweckbindung

Protokollierungen dürfen gemäß § 13 Abs. 6 LDSG ausschließlich datenschutzrechtlichen Kontrollen dienen.

bb) Datensparsamkeit.

Bei der Bestimmung des Umfanges ist das Prinzip der Datensparsamkeit (§ 4 Abs. 1 LDSG) zu beachten. Dazu gehört auch, dass der Umfang der Protokollierung aus bestimmten Anlässen verändert wird bzw. veränderbar ist. So ist zum Beispiel denkbar, dass - sofern keine besonderen Umstände vorliegen - die Protokollierung auf bestimmte, festzulegende Daten oder auf einen bestimmten Ausschnitt zu beschränken ist. Erst nach einem bestimmten Anlass, etwa nach Feststellung von unberechtigten Zugriffen von Außen, wird das Ausmaß der Protokollierung erhöht. Ist der Anlass behördenintern bedingt, so bestünde zugleich die Möglichkeit, vor einer solchen Maßnahme die Mitarbeiter zu informieren.

c) Auswertung der Protokolldaten

Festzulegen ist, auf welche Weise die Protokolldaten ausgewertet werden und wer diese Auswertung vornimmt. Dabei ist insbesondere zu klären

  • zu welchem Zweck eine Auswertung erfolgen darf,
  • wie die Protokolldaten aufbereitet werden,
  • wie eine Auswertung erfolgt und
  • wer diese Aufbereitung und Auswertung vornimmt.

Die Auswertungen sollten technisch unterstützt und nach Möglichkeit pseudonymisiert erfolgen. Außerdem ist zu klären, inwieweit regelmäßige Auswertungen vorgenommen werden. Grundsätzlich sollten regelmäßige Auswertungen auf ein Minimum reduziert werden und nach den oben genannten Grundsätzen anlassbezogene Auswertungen vorgezogen werden.

d) Leistungs- und Verhaltenskontrolle

Mit der Protokollierung entstehen besondere Sammlungen personenbezogener Daten über die Nutzer der Anwendung, d.h. über die Mitarbeiter. Daraus lassen sich Nutzerprofile ableiten oder Listen über Auffälligkeiten erstellen. Das Datenschutzrecht lässt derartige Auswertungen ohne Einwilligung der Betroffenen grundsätzlich nicht zu. Nach § 23 Abs. 2 LDSG dürfen Daten von Beschäftigten, die im Rahmen der Durchführung der technischen und organisatorischen Maßnahmen nach den §§ 5 und 6 LDSG gespeichert oder in einem automatisierten Verfahren gewonnen werden, nicht zu Zwecken der Verhaltens- oder Leistungskontrollen ausgewertet werden. Protokolldaten dürfen nur zu Zwecken genutzt werden, die Anlass ihrer Speicherung waren, und dürfen auch nicht für andere Zwecke verarbeitet werden (§ 13 Abs. 5 LDSG). Im Einzelfall kann eine Auswertung der Protokolldaten zur Aufdeckung von Missbräuchen zulässig sein.

Gemäß § 51 Abs. 1 Mitbestimmungsgesetz Schleswig-Holstein ist ein System, das geeignet ist, Leistungs- und Verhaltenskontrollen durchzuführen, zustimmungspflichtig. Es empfiehlt sich, im Rahmen einer Dienstvereinbarung auf das gesetzliche Verbot von Verhaltens- und Leistungskontrollen ausdrücklich hinzuweisen. Zugleich ist festzulegen, zu welchen Zwecken und in welchen Verfahren personenbezogene Protokolldaten aus dem DMS verwendet werden dürfen.

Grundsätzlich sind die Mitarbeiter über die Prozesse aufzuklären, in denen ihre Daten personenbezogen verarbeitet werden. Aus dem datenschutzrechtlichen Gebot der Transparenz der Datenverarbeitung folgt, dass der Nutzer über die Möglichkeit einer Profilbildung informiert wird.

e) Weiterer Umgang mit den Protokolldaten (Revisionsfestigkeit)

Der Umgang mit den Protokolldaten muss revisionsfest erfolgen. Dies betrifft:

  • Manipulationsresistenz (Verschlüsselung der Protokolldaten)
  • Aufbewahrungsort (Protokolldaten nach § 6 Abs. 2 sollten auf einem gesonderten Protokollserver aufbewahrt werden und dort gesonderten Zugriffsberechtigungen unterliegen
  • Aufbewahrungsdauer (s.o.: 1 bzw. 5 Jahre)
  • Löschung

5. Aktenvernichtung / Löschung

Es ist detailliert festzulegen, wie lange die einzelnen Dokumente aufzubewahren sind. Es müssen daher an der Erforderlichkeit ausgerichtete einheitliche Aufbewahrungsfristen festgelegt werden, die von dem System unterstützt werden. Zum Beispiel sollte eine automatisierte und fristgesteuerte Löschung möglich sein. Wichtig ist außerdem, dass Vorgänge bzw. Dokumente ohne Aufbewahrungsfristen auffindbar sind. Eine Löschung von gespeicherten, personenbezogenen Daten sollte frühest möglich stattfinden. Zu berücksichtigen ist, dass eine Löschung irreversibel sein muss, zugleich aber eine zufällige Löschung auszuschließen ist. Es ist gemäß § 6 Abs. 4 LDSG ein Löschprotokoll zu erstellen.

6. Archivierung

Es ist ein Archivierungskonzept zu erstellen, in dem die Übergabe der im DMS geführten Dokumente aus dem Verwendungszweck der Verwaltung in den Verwendungszweck der Archivierung festgelegt wird.

7. Ansprüche Dritter nach dem LDSG

Datenschutzrechtliche Rechte der Betroffenen wie die Auskunft über die zu seiner Person gespeicherten Daten, ihre Berichtigung, Sperrung oder Löschung müssen gewährleistet sein und technisch unterstützt werden.

8. Ansprüche Dritte nach dem IFG und UIG

Zu klären ist, wie Informationszugangsrechte von privaten und juristischen Personen des Privatrechts technisch realisiert bzw. unterstützt werden können. Nach § 4 Informationsfreiheitsgesetz Schleswig-Holstein hat jede natürliche und juristische Person Anspruch auf Zugang zu den bei einer Behörde vorhandenen Informationen. Das Recht auf Informationszugang besteht unabhängig von der Form, in der die Information vorliegt. Grenzen werden dem Anspruch durch den Schutz öffentlicher Belange, durch das Recht auf informationelle Selbstbestimmung Dritter und durch zu beachtende Geschäfts- und Betriebsgeheimnisse gesetzt. Es bietet sich daher an, das DMS dafür zu nutzen, die verlangten Informationen "komfortabel", aber auch unter Wahrung der gesetzlich geregelten Schutzrechte zur Einsichtnahme bereit zu stellen.

Kontakt:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Holstenstr. 98, 24107 Kiel

Tel.: 0431/988-1200; Fax: 0431/988-1223