So stellen Sie Ihre Dokumenten-Digitalisierung unter Einhaltung der DSGVO bei einem Dienstleister sicher
Zurück
20.12.2018

So stellen Sie Ihre Dokumenten-Digitalisierung unter Einhaltung der DSGVO bei einem Dienstleister sicher

Die DSGVO hat im Jahr 2018 Unternehmen viel Arbeit bereitet. Und auch nachdem die Verordnung bereits ein halbes Jahr gültig ist, stellt sich bei den Auftraggebern die Frage, ob und wie sich die Zusammenarbeit mit einem externen Dienstleister ändert, der personenbezogene Daten verarbeitet. Im Grunde ändert sich hier nichts, denn die Verantwortung hinsichtlich der Daten liegt weiter beim Auftraggeber. Wie können Sie aber sicherstellen, dass der Dienstleister alle erforderlichen Maßnahmen umgesetzt hat, damit personenbezogene Daten geschützt sind? Oder doch lieber eigene Scanstraßen errichten? Nein! Allerdings müssen Sie als Auftraggeber mit Ihren Dienstleistern entsprechende Vereinbarungen treffen. Würden Sie die personenbezogenen Daten aber hausintern digitalisieren und anschließend vernichten, wäre der Aufwand, den Sie zur Einhaltung der DSGVO betreiben müssen, wahrscheinlich weitaus höher.

Im Artikel 28 der DSGVO heißt es: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Im Klartext bedeutet dies, dass Sie als Auftraggeber nur externe Dienstleister beauftragen dürfen, bei denen sichergestellt ist, dass die Verarbeitung personenbezogener Daten im Sinne der DSGVO erfolgt. Der Dienstleister muss also geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz vorweisen. Um dies sicherzustellen, ist der Abschluss eines Auftragsverarbeitungsvertrags (AVVs) empfehlenswert. In diesem müssen die Vorgaben des Artikels 28 Absatz 3 der DSGVO enthalten sein. Dies sind:

  • Gegenstand und Dauer der Verarbeitung,
  • Art und Zweck der Verarbeitung,
  • Art der personenbezogenen Daten,
  • Kategorien von betroffenen Personen,
  • Pflichten und Rechte des Verantwortlichen.

Im AVV sollte der Dienstleister auch seine technischen und organisatorischen Maßnahmen, kurz TOM, dokumentiert haben. Wir stellen unseren Kunden eine AVV einschließlich TOMs zur Verfügung, die wir mit unserem Datenschutzdienstleister, der auch unser externer Datenschutzbeauftragter ist, erarbeitet haben.

Ein weitaus höherer Aufwand entstünde, wenn Sie selbst personenbezogene Dokumente digitalisieren. Dann ist es Ihre Pflicht, die entsprechenden Maßnahmen zu treffen. Sie müssen dafür sorgen, dass die Papierdokumente sicher aufbewahrt werden und nur zuständige Mitarbeiter darauf zugreifen können. Das Aufbewahren in einem abschließbaren Raum ist dabei die kleinste Vorkehrung. Bei papierhaften Akten besteht auch immer ein Risiko, wenn ein Mitarbeiter diese beispielsweise zum Kunden oder ins Home Office mitnimmt.

Hinzu kommt der Aufwand, solche Scanstraßen erst einmal zu errichten. Dazu bedarf es geeigneter Hard- und Software, es braucht Personal und natürlich eine Menge Know-how, beispielsweise bei der Auswahl passender Geräte und Software, bei der Administration oder der Wartung. Im laufenden Betrieb kommt das Ausfallrisiko ebenso hinzu wie das Abfangen schwankender Auslastungen von Scanstraßen und den Mitarbeitern im Tages- und Jahresverlauf. Außerdem ist es nicht damit getan, die Dokumente zu digitalisieren, sondern in die Prozesse so zu integrieren, dass sie mit maximaler Effizienz verarbeitet werden.

Als Dokumenten-Dienstleister haben wir bereits zahlreiche Unternehmen bei Digitalisierungsvorhaben unterstützt. Damit verfügen wir über umfangreiche Erfahrung bei der Implementierung und Umsetzung solcher Digitalisierungsprojekte, die wir gerne an Sie weitergeben. Das Thema Datenschutz ist für uns nicht erst seit der DSGVO gelebte Praxis. So arbeiten wir beispielsweise seit Jahren nach den Richtlinien des Bundesdatenschutzgesetzes und sind mit dem Umgang sensibler Informationen (z. B. Personalakten, Kreditakten, Daten zur Sozialversicherung) vertraut. Als ein nach DIN EN ISO 9001:2015 zertifiziertes Unternehmen sind für uns zudem ein ausgereiftes Qualitätsmanagement und transparente Prozesse selbstverständlich.

Besuchen Sie doch einmal eine unserer Produktionsstätten und wir zeigen Ihnen, wie gewissenhaft wir mit den Dokumenten unserer Kunden umgehen! So haben Sie anschließend ein gutes Gefühl, dass Ihre Daten bei uns in guten Händen sind.