Zum Inhalt springen

EU-Datenschutz-Grundverordnung

DSGVO-konforme Dokumentenmanagement-Infrastruktur

Ein Dokumentenarchiv enthält einige Ihrer sensibelsten personenbezogenen Daten: Rechnungen, Verträge, Personalakten und Korrespondenz. Wenn Sie diese Daten speichern, ist Ihr Dokumentenmanagement-System ein DSGVO-Auftragsverarbeiter. Wir sorgen dafür, dass Ihres konform ist.

AVV anfordern Compliance-Übersicht ansehen

Was ist die DSGVO?

Ein Dokumentenmanagement-System sitzt auf Ihren sensibelsten Unterlagen. Jede Rechnung, jeder Vertrag, jede Personalakte, die Sie archivieren, kann personenbezogene Daten enthalten. Die DSGVO gilt nicht nur für die Datenbank, in der Daten ruhen, sondern für jedes System, das sie verarbeitet, einschließlich Ihres Archivs.

In Kraft seit

25. Mai 2018

Geltungsbereich

Jede Org., die EU-Personendaten verarbeitet

Höchststrafe

20 Mio. € oder 4 % des Jahresumsatzes

Meldepflicht

72 Stunden

Zentrale DSGVO-Pflichten für Dokumentenarchive

Ein Dokumentenmanagement-System ist ein Auftragsverarbeiter. Es speichert personenbezogene Daten in Ihrem Auftrag über Tausende von Dateien. Diese sechs Artikel regeln, welche Pflichten das erzeugt.

1

Art. 5: Grundsätze der Verarbeitung

Archivierte Dokumente dürfen nur zu legitimen Zwecken und nicht länger als nötig aufbewahrt werden, abgewogen gegen gesetzliche Aufbewahrungspflichten. Wir unterstützen konfigurierbare Aufbewahrungs- und Dokumententyp-Regeln, damit Ihr Archiv das Richtige aufbewahrt, so lange es soll.

2

Art. 6: Rechtmäßigkeit der Verarbeitung

Die Speicherung von Mitarbeiter- und Kundendokumenten erfordert eine gültige Rechtsgrundlage, oft rechtliche Verpflichtung oder berechtigtes Interesse. Ihr Archiv ist eine Verarbeitungstätigkeit und sollte im Verarbeitungsverzeichnis (Art. 30) erscheinen.

3

Art. 17: Recht auf Löschung

Wenn eine betroffene Person Löschung beantragt, müssen Sie ihre personenbezogenen Daten entfernen, es sei denn, eine gesetzliche Aufbewahrungspflicht verlangt, das Dokument zu behalten. Wir unterstützen selektive Löschung, Schwärzung und Legal-Hold, damit Sie Löschung erfüllen, ohne Aufbewahrungsregeln zu verletzen.

4

Art. 28: Auftragsverarbeiter

Wir handeln als Ihr Auftragsverarbeiter für personenbezogene Daten, die in verwalteten Dokumentendiensten gespeichert werden. Unser AVV deckt Paperless-ngx, Docuseal, Stirling-PDF und Mayan EDMS ab, einschließlich der beteiligten Infrastruktur-Unterauftragsverarbeiter.

5

Art. 32: Sicherheit der Verarbeitung

Ein Archiv benötigt dieselbe Sicherheit wie jeder Auftragsverarbeiter. Unsere Deployments verwenden verschlüsselte Speicherung, isolierte Mandantenumgebungen und Zugriffskontrollen zum Schutz der personenbezogenen Daten in jedem Dokument.

6

Art. 33: Meldung von Datenschutzverletzungen

Wenn eine Verletzung personenbezogene Daten in Ihrem verwalteten Archiv betrifft, benachrichtigen wir Sie innerhalb von 72 Stunden, damit Sie Ihrer Meldepflicht nachkommen können.

GoBD vs. DSGVO: Aufbewahrung trifft Löschung

Das deutsche Recht zieht in zwei Richtungen. GoBD und §147 AO verlangen, Rechnungen und Buchungsbelege bis zu 10 Jahre unveränderbar und abrufbar aufzubewahren. DSGVO Art. 17 verlangt, personenbezogene Daten auf Anfrage zu löschen. Ein Dokumentenarchiv muss beides erfüllen, und genau dabei helfen wir Ihnen.

  • Aufbewahrung: Dokumententyp-Aufbewahrungsregeln anwenden, damit Rechnungen und Buchungsbelege für den gesetzlich erforderlichen Zeitraum aufbewahrt und nicht zu früh gelöscht werden
  • Löschung mit Legal-Hold: Wenn Aufbewahrungsrecht gilt, Zugriff einschränken und nicht erforderliche personenbezogene Daten schwärzen statt den ganzen Datensatz zu löschen, und nach Ablauf der Frist endgültig entfernen
  • Dokumentation: Ihr Archiv im VVT erfassen, mit Aufbewahrungsfristen, Rechtsgrundlage und der GoBD-Prozessdokumentation, die einer Prüfung standhält

Was wir für DSGVO-Compliance bereitstellen

  • Auftragsverarbeitungsvertrag (AVV) auf Anfrage
  • EU-Datenspeicherung: Nürnberg (primär) + Falkenstein (DR)
  • Audit-Logs aufbewahrt und exportierbar
  • Datenexport auf Anfrage (Art. 20 Übertragbarkeit)
  • Selektive Löschung und Schwärzung (Art. 17 Löschrecht)
  • 72-Stunden-Benachrichtigung an Sie (Art. 33)
  • Verschlüsselte Backups innerhalb der EU gespeichert
  • Liste der Unterauftragsverarbeiter auf Anfrage

Ihr DSGVO-konformer Dokumenten-Stack

Vier verwaltete Dokumentenplattformen auf EU-Infrastruktur mit AVV-Abdeckung für alle personenbezogenen Daten, die in Ihrem Archiv gespeichert werden.

Dokumentenarchiv / DMS

Paperless-ngx

Ihr papierloses Büro: gescannt, durchsuchbar, in Deutschland archiviert

ab €49 /Monat

E-Signaturen

Docuseal

Elektronische Signaturen und Dokumentenformulare, EU-gehostet

ab €19 /Monat

PDF-Toolkit

Stirling-PDF

Eine vollständige PDF-Werkbank, die Dokumente vertraulich hält

ab €12 /Monat

Enterprise-DMS

Mayan EDMS

Enterprise-Dokumentenmanagement mit Workflows und Metadaten

ab €79 /Monat

Archiv mit personenbezogenen Daten?

Fordern Sie unseren AVV für Ihre verwaltete Dokumenten-Infrastruktur an und besprechen Sie, wie Sie Ihr Archiv im Verarbeitungsverzeichnis dokumentieren.

AVV anfordern