Gesetz betrifft auch Content Management

DSGVO und ECM: Das sind die Pflichten

Herbert Lörch ist General Manager EMEA bei Hyland und Entwickler von OnBase. Sein Ziel ist es, Unternehmen und staatliche Institutionen auf dem Weg der digitalen Transformation zu unterstützen. Lörch bringt 20 Jahre Management-Erfahrung in internationalen Unternehmen der IT-Industrie mit. Vor seiner Ernennung bei Hyland war er unter anderem als CEO bei SAPERION und in leitenden Positionen bei FileNet und der Sage Group tätig
Die Datenschutz-Grundverordnung stellt auch an das Enterprise Content Management neue Ansprüche. Hier besteht bei vielen Unternehmen noch Aufholbedarf.

Die Europäische Datenschutz-Grundverordnung (EU-DSGVO, auch als GDPR bekannt) und das Enterprise Content Management (ECM) in Unternehmen sind im Grunde genommen eine Traumkombination. Denn: Das ECM sollte im besten Fall die wichtigen Unternehmensinhalte an einem sicheren Ort vereinen und diese dann, je nach Bedarf, den Mitarbeitern direkt und ohne Umwege bereitstellen. In der unternehmerischen Realität existiert jedoch offensichtlich eine ganze Reihe an Unwägbarkeiten.

DSGVO und ECM sind im Grunde genommen eine Traumkombination.
DSGVO und ECM sind im Grunde genommen eine Traumkombination.
Foto: Shutterstock.com - profit_image

Daten? Keine Ahnung!

Exemplarisch reicht dazu ein Blick auf eine repräsentative Studie der Kollegen von Citrix: 86 Prozent der Befragten geben darin an, Kundendaten auf Anfrage schnell löschen zu können; lediglich etwas weniger als ein Drittel (32 Prozent) haben eine "sehr gute" Übersicht darüber, wo genau welche Daten gespeichert werden und nur ein Drittel der Befragten sagen, dass sie über eine Single-Sign-On-Zugriffskontrolle über alle On-Premise- und Cloud-Systeme verfügen.

Der Kunde hat Rechte

Im Gegensatz dazu stehen die Anforderungen der DSGVO. Unter anderem verpflichtet die Verordnung Unternehmen dazu, etwa auf Nachfrage von Kunden, bestimmte Informationen zu ermitteln und vorzuhalten. Der Kunde hat ferner das Recht, dass seine Daten - beispielsweise, im Fall der Beendigung eines Geschäftsverhältnisses - vom Unternehmen gelöscht werden. Zudem gelten verschärfte Bedingungen, wenn ein Unternehmen einen Newsletter versendet oder ein Gewinnspiel veranstaltet. Kurz und gut: Im Terminus technicus Datenschutz-Grundverordnung liegt die Betonung vor allem auf dem Begriff der Ordnung.

Überholte Prozesse

Das widerspricht allerdings deutlich den angeführten Studienergebnissen. Wie soll ein Unternehmen etwas löschen, von dem es zum Zeitpunkt der Anfrage überhaupt nicht weiß, wo es sich befindet? Ist es wirklich realistisch anzunehmen, dass sich die DSGVO-Vorgaben in ein starres Korsett manueller Abläufe pressen lassen? Oder sollten Arbeitgeberverbände zeitnah am Berufsbild des "Datenverwaltungskaufmanns" arbeiten?

ECM-Pflichten

Die Antworten auf diese Fragen können nur technologischer Natur sein. Die gängige Begrifflichkeit des ECM muss sich erweitern lassen hin zu einem rechtsicheren ECM. Und zwar in Form einer im Mittelpunkt des Unternehmens stehenden Lösung, die als zentraler Dreh- und Angelpunkt in Echtzeit und auch mobil immer erreichbar ist. Darin muss das Unternehmen ausnahmslos alle Arten von personenbezogenen Dateien identifizieren und auffinden können. Der Begriff ECM muss also mühelos weiter gefasst werden.

So argumentieren Rechtsexperten, dass ein Kosmetikhersteller auch Identifikationsmerkmale wie "Haarfarbe blond" aus seinen Datenbanken herausfiltern können muss. Das kann - das entsprechende System vorausgesetzt - durchaus gelingen, wenn alle relevanten Inhalte mit den zugehörigen Metadaten markiert werden. Diese Informationen sollen sich dann mit dem Dokument speichern und dynamisch mit allen zugehörigen Inhalten verlinken lassen. Auf diese Weise können von der DSGVO betroffene Unternehmen sehr zügig die relevanten Informationen identifizieren und lokalisieren - völlig unabhängig davon, ob es sich um eine Kundendatei, eine Schadensakte oder einen Avatar für ein Service-Portal handelt. Nur dann haben Unternehmen ein ECM, das den strengen Ansprüchen der DSGVO genügt. (mb)