DSGVO und Dokumentenmanagement: Compliance-Leitfaden
Praxisleitfaden zur DSGVO-konformen Dokumentenverwaltung: Aufbewahrungsfristen, Betroffenenrechte, DSFA und technische Maßnahmen nach BDSG und BfDI.
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokJedes Dokument, das ein Unternehmen erfasst, enthält personenbezogene Daten, die durch die Datenschutz-Grundverordnung (EU) 2016/679 und das Bundesdatenschutzgesetz (BDSG) geschützt sind. Kopien von Personalausweisen, Gehaltsabrechnungen, Arbeitsverträge, Adressnachweise -- jedes Dokument erzeugt spezifische Pflichten hinsichtlich Verarbeitung, Aufbewahrung und Vernichtung. Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) und die Landesdatenschutzbeauftragten haben die Durchsetzung im Bereich Dokumentenmanagement verschärft, mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Dieser Leitfaden erläutert die anwendbaren Grundsätze, Aufbewahrungsfristen, Betroffenenrechte und konkrete Maßnahmen für ein DSGVO-konformes Dokumentenmanagement.
Die 7 DSGVO-Grundsätze im Dokumentenmanagement
Die DSGVO basiert auf sieben Grundsätzen, die unmittelbar auf die Erfassung, Verarbeitung und Aufbewahrung von Dokumenten Anwendung finden. Ihre praktische Umsetzung im Dokumentenmanagement bildet die Grundlage jedes Compliance-Programms.
| DSGVO-Grundsatz | Artikel | Anwendung im Dokumentenmanagement |
|---|---|---|
| Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz | Art. 5 Abs. 1 lit. a | Jede Dokumentenerfassung beruht auf einer gültigen Rechtsgrundlage (gesetzliche Pflicht, Vertrag, berechtigtes Interesse) und die betroffene Person wird informiert |
| Zweckbindung | Art. 5 Abs. 1 lit. b | Ein Personalausweis, der für die KYC-Prüfung erfasst wurde, darf nicht für Marketingzwecke weiterverwendet werden |
| Datenminimierung | Art. 5 Abs. 1 lit. c | Nur die unbedingt erforderlichen Dokumente erfassen: eine Bankverbindung reicht für eine Überweisung, keine Kopie der Bankkarte |
| Richtigkeit | Art. 5 Abs. 1 lit. d | Abgelaufene Dokumente (ungültiger Personalausweis, veraltete Meldebescheinigung) müssen aktualisiert oder gelöscht werden |
| Speicherbegrenzung | Art. 5 Abs. 1 lit. e | Jeder Dokumententyp hat eine maximale Aufbewahrungsfrist; nach deren Ablauf muss das Dokument sicher vernichtet werden |
| Integrität und Vertraulichkeit | Art. 5 Abs. 1 lit. f | Dokumente müssen verschlüsselt, der Zugang auf befugte Mitarbeiter beschränkt und Übertragungen gesichert sein |
| Rechenschaftspflicht | Art. 5 Abs. 2 | Das Unternehmen muss die Compliance nachweisen können: Verarbeitungsverzeichnis, Aufbewahrungsrichtlinie, Auditprotokolle |
Der BfDI betont, dass der Grundsatz der Datenminimierung in der Praxis am häufigsten verletzt wird, insbesondere bei der Erfassung von Ausweisdokumenten. Das BDSG ergänzt die DSGVO um spezifische Regelungen, unter anderem zur Verarbeitung besonderer Kategorien personenbezogener Daten (§ 22 BDSG) und zur Videoüberwachung öffentlich zugänglicher Räume (§ 4 BDSG).
Für spezifische Hinweise zu Ausweisdokumenten unter der DSGVO lesen Sie unseren Leitfaden DSGVO und Ausweisdokumente.
Aufbewahrungsfristen nach Dokumententyp
Die Festlegung von Aufbewahrungsfristen ist eine der konkretesten DSGVO-Pflichten. In Deutschland ergeben sich diese Fristen aus dem Zusammenspiel der DSGVO, des BDSG und zahlreicher fachgesetzlicher Regelungen. Die Datenschutzaufsichtsbehörden haben wiederholt Unternehmen sanktioniert, die Dokumente über die gesetzlich gerechtfertigten Fristen hinaus aufbewahrt haben.
| Dokumententyp | Rechtsgrundlage | Empfohlene Aufbewahrungsfrist | Anwendbare Regelung |
|---|---|---|---|
| Kopie Personalausweis/Reisepass (KYC) | Gesetzliche Pflicht | 5 Jahre nach Ende der Geschäftsbeziehung | GwG § 8 i.V.m. § 11 |
| Arbeitsvertrag | Vertragserfüllung | 3 Jahre nach Beendigung des Arbeitsverhältnisses | BGB § 195 (Regelverjährung) |
| Gehaltsabrechnungen | Gesetzliche Pflicht | 6 Jahre (steuerlich) | AO § 147 Abs. 1 Nr. 5, Abs. 3 |
| Adressnachweis | Berechtigtes Interesse | Dauer der Geschäftsbeziehung + 1 Jahr | Empfehlung Datenschutzbehörde |
| Rechnungen | Gesetzliche Pflicht | 10 Jahre ab Ende des Kalenderjahres | AO § 147 Abs. 1 Nr. 1, Abs. 3 |
| Handelsbriefe | Gesetzliche Pflicht | 6 Jahre ab Ende des Kalenderjahres | HGB § 257 Abs. 1 Nr. 2, Abs. 4 |
| Jahresabschlüsse und Buchungsbelege | Gesetzliche Pflicht | 10 Jahre ab Ende des Kalenderjahres | HGB § 257 Abs. 1 Nr. 1, AO § 147 |
| Arbeitsmedizinische Vorsorgedokumentation | Gesetzliche Pflicht | 40 Jahre nach letzter Exposition | ArbMedVV § 3 Abs. 4 |
Das Löschkonzept: Pflicht nach DSGVO
In Deutschland ist die Entwicklung eines systematischen Löschkonzepts eine zentrale Compliance-Anforderung. Die DIN 66398 bietet einen anerkannten Rahmen für die Erstellung eines Löschkonzepts, das Dokumententypen klassifiziert, Aufbewahrungsfristen zuordnet und Löschregeln definiert. Die Aufsichtsbehörden erwarten, dass Unternehmen ein dokumentiertes Löschkonzept vorweisen können.
Die Besonderheit des deutschen Systems liegt in den differenzierten Aufbewahrungsfristen nach AO (Abgabenordnung) und HGB (Handelsgesetzbuch). Steuerlich relevante Dokumente (Rechnungen, Buchungsbelege) unterliegen einer zehnjährigen Aufbewahrungspflicht nach AO § 147, während Handelsbriefe sechs Jahre aufzubewahren sind nach HGB § 257. Diese Fristen überlagern die DSGVO-Grundsätze als vorrangige gesetzliche Pflicht.
Die praktische Umsetzung dieser Fristen erfordert ein Dokumentenmanagementsystem, das differenzierte Aufbewahrungsregeln pro Dokumententyp anwenden und die automatische Löschung bei Fristablauf auslösen kann. Eine automatisierte Dokumentenverifikationsplattform erfasst jeden Sammelzeitpunkt und kann Löschungen terminieren.
Betroffenenrechte im Dokumentenmanagement
Die DSGVO gewährt betroffenen Personen eine Reihe von Rechten, die das Unternehmen innerhalb eines Monats erfüllen muss. Im Kontext des Dokumentenmanagements haben diese Rechte spezifische operative Auswirkungen.
Recht auf Auskunft (Artikel 15)
Jede Person kann vom Unternehmen eine Kopie aller Dokumente verlangen, die ihre personenbezogenen Daten enthalten. Das Unternehmen muss in der Lage sein, alle einem Individuum zugeordneten Dokumente in sämtlichen Systemen zu lokalisieren und zu extrahieren: Dokumentenmanagementsystem, E-Mail-Archiv, physische Akten, Backups. Die Datenschutzaufsichtsbehörden betrachten die technische Unfähigkeit, dieses Recht zu erfüllen, als Verstoß gegen Artikel 32 DSGVO.
Recht auf Löschung (Artikel 17)
Die betroffene Person kann die Löschung ihrer Dokumente verlangen, es sei denn, eine gesetzliche Pflicht schreibt die Aufbewahrung vor. Wenn beispielsweise ein Kunde die Löschung seiner im Rahmen des GwG erfassten Personalausweiskopie verlangt, kann das Unternehmen dies während der fünfjährigen gesetzlichen Aufbewahrungsfrist verweigern, muss das Dokument jedoch nach Ablauf dieser Frist unverzüglich vernichten.
Recht auf Datenübertragbarkeit (Artikel 20)
Dieses Recht ermöglicht es der betroffenen Person, ihre Dokumente in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Für gescannte Dokumente bedeutet dies die Bereitstellung der Dateien in Standardformaten (PDF, JPEG) mit zugehörigen Metadaten (Erfassungsdatum, Zweck, Aufbewahrungsfrist).
Die Automatisierung dieser Prozesse ist im großen Maßstab unverzichtbar. Erfahren Sie, wie Sie Ihr Dokumenten-Compliance-Programm strukturieren.
Datenschutz-Folgenabschätzung (DSFA) für die Dokumentenverifikation
Eine Datenschutz-Folgenabschätzung (DSFA) ist verpflichtend, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Datenschutzkonferenz (DSK) hat eine Liste von Verarbeitungstätigkeiten veröffentlicht, für die eine DSFA durchzuführen ist, die ausdrücklich die großflächige Identitätsprüfung umfasst.
Wann ist eine DSFA erforderlich
Eine DSFA ist erforderlich, wenn die Dokumentenverarbeitung mindestens zwei der folgenden Kriterien erfüllt: großflächige Verarbeitung, besondere Datenkategorien (Biometrie, Ausweisdokumente), systematische Überwachung, Datenabgleich, schutzbedürftige Personen. In der Praxis muss jedes Unternehmen, das die Identität von mehr als einigen hundert Personen jährlich verifiziert, eine DSFA für seine Dokumentenverifikationsprozesse durchführen.
Vier-Stufen-Methodik
Die empfohlene Methodik gliedert sich in vier Stufen. Erstens die Beschreibung der Verarbeitung: welche Dokumente werden erfasst, von wem, zu welchem Zweck, mit welchen Mitteln. Zweitens die Bewertung der Notwendigkeit und Verhältnismäßigkeit: sind alle erfassten Dokumente unverzichtbar, sind die Aufbewahrungsfristen gerechtfertigt, gibt es eine weniger eingriffsintensive Alternative. Drittens die Risikobewertung: welche Bedrohungen bestehen (Datenpanne, unbefugter Zugriff, Verlust) und welche Auswirkungen hätten sie auf die betroffenen Personen. Viertens die Abhilfemaßnahmen: Verschlüsselung, Pseudonymisierung, Zugangskontrolle, Schulung der Mitarbeiter.
Der Datenschutzbeauftragte (DSB) muss bei der Durchführung der DSFA konsultiert werden. Bleibt das Restrisiko nach Umsetzung der Maßnahmen hoch, muss das Unternehmen die zuständige Aufsichtsbehörde konsultieren, bevor die Verarbeitung aufgenommen wird.
Technische und organisatorische Maßnahmen
Die DSGVO verlangt die Umsetzung angemessener technischer und organisatorischer Maßnahmen (TOMs) zur Gewährleistung der Sicherheit personenbezogener Daten in Dokumenten. Diese Maßnahmen müssen verhältnismäßig zum Risiko sein und im Verarbeitungsverzeichnis dokumentiert werden.
Verschlüsselung und Zugangskontrolle
Die Verschlüsselung von Dokumenten im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.3) bildet die technische Mindestanforderung. Erfahren Sie mehr über unsere Sicherheitsstandards und die Maßnahmen, die wir bei der Dokumentenverarbeitung anwenden. Rollenbasierte Zugangskontrolle (RBAC) stellt sicher, dass nur befugte Mitarbeiter auf bestimmte Dokumententypen zugreifen können: ein Personalleiter hat Zugang zu Gehaltsabrechnungen, aber nicht zu KYC-Akten der Compliance-Abteilung.
Multifaktor-Authentifizierung (MFA) wird für den Zugang zu Dokumentenmanagementsystemen mit besonderen Datenkategorien empfohlen. Die Aufsichtsbehörden betrachten das Fehlen von MFA bei Verarbeitungen mit hohem Risiko als möglichen Verstoß gegen Artikel 32 DSGVO.
Auditprotokolle und Nachverfolgbarkeit
Jeder Zugriff, jede Änderung oder Löschung eines Dokuments muss in einem zeitgestempelten, manipulationssicheren Auditprotokoll erfasst werden. Diese Protokolle dienen zwei Zwecken: dem Nachweis der Compliance bei Prüfungen durch die Aufsichtsbehörde und der Erkennung unbefugter Zugriffe. Jeder Protokolleintrag muss die Benutzeridentität, die durchgeführte Aktion, den Zeitstempel und das betreffende Dokument enthalten.
Anonymisierung und Pseudonymisierung
Wenn Dokumente nicht mehr in ihrer vollständigen Form benötigt werden, ermöglichen Pseudonymisierung (Ersetzung direkter Identifikatoren durch Codes) oder Anonymisierung (irreversible Entfernung aller identifizierenden Elemente) die Aufbewahrung von Daten für statistische oder analytische Zwecke unter Einhaltung des Grundsatzes der Datenminimierung.
Für Unternehmen im Finanzsektor fügen sich diese Maßnahmen in einen breiteren Compliance-Rahmen ein. Entdecken Sie unsere Lösungen für Finanzierung und Leasing.
Schulung und Sensibilisierung
Technische Maßnahmen sind ohne eine Datenschutzkultur in der Organisation wirkungslos. Die Schulung von Mitarbeitern, die personenbezogene Dokumente verarbeiten, muss die DSGVO-Grundsätze, interne Aufbewahrungs- und Vernichtungsverfahren sowie Meldeverfahren bei Datenpannen (Meldung an die Aufsichtsbehörde binnen 72 Stunden, Benachrichtigung der betroffenen Personen bei hohem Risiko) umfassen.
Häufig gestellte Fragen
Muss unser Unternehmen einen Datenschutzbeauftragten für das Dokumentenmanagement bestellen
Die Bestellung eines Datenschutzbeauftragten (DSB) ist in Deutschland weitergehend geregelt als in vielen anderen EU-Staaten. Nach § 38 BDSG ist die Bestellung eines DSB verpflichtend, wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zusätzlich ist ein DSB erforderlich, wenn das Unternehmen Verarbeitungen durchführt, die einer DSFA unterliegen, oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der Marktforschung verarbeitet werden.
Wie lange darf eine Kopie eines Personalausweises aufbewahrt werden
Nach dem Geldwäschegesetz (GwG) müssen Kopien von Ausweisdokumenten, die im Rahmen der Kundenidentifizierung erfasst wurden, 5 Jahre nach Beendigung der Geschäftsbeziehung aufbewahrt werden. Außerhalb des GwG-Kontexts muss die Aufbewahrung auf die Dauer der Vertragsbeziehung zuzüglich der Regelverjährungsfrist von 3 Jahren (BGB § 195) beschränkt werden. Die Aufsichtsbehörden betonen, dass die vorsorgliche Aufbewahrung von Ausweiskopien "für alle Fälle" gegen den Grundsatz der Speicherbegrenzung verstößt.
Was ist bei einer Datenpanne zu tun, die Dokumente mit personenbezogenen Daten betrifft
Bei einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche die zuständige Datenschutzaufsichtsbehörde binnen 72 Stunden nach Bekanntwerden melden, sofern die Verletzung voraussichtlich zu einem Risiko für die betroffenen Personen führt. Bei voraussichtlich hohem Risiko müssen auch die Betroffenen unverzüglich benachrichtigt werden. Das Unternehmen muss den Vorfall, seine Folgen und die Abhilfemaßnahmen in einem internen Verzeichnis von Verletzungen dokumentieren.
Gilt die DSGVO auch für Papierdokumente
Die DSGVO gilt für jede Verarbeitung personenbezogener Daten, einschließlich strukturierter Papierakten (Ordner nach Name, Kundennummer oder Datum geordnet). Physische Archive unterliegen denselben Aufbewahrungs-, Zugangs- und Vernichtungsregeln wie digitale Dokumente. Die Vernichtung muss durch Kreuzschnitt-Schreddern nach DIN 66399 (Sicherheitsstufe P-4 Minimum) erfolgen.
Was verlangt das Löschkonzept nach DIN 66398
Die DIN 66398 fordert die systematische Klassifizierung aller Datenarten, die Zuordnung von Aufbewahrungsfristen auf Basis gesetzlicher Grundlagen und betrieblicher Erfordernisse, die Definition von Löschregeln und die Implementierung technischer Löschmechanismen. Das Löschkonzept muss dokumentiert, regelmäßig überprüft und angepasst werden. Die Aufsichtsbehörden erwarten, dass Unternehmen bei einer Prüfung ein aktuelles Löschkonzept vorlegen können.
Ein DSGVO-konformes Dokumentenmanagement aufbauen
DSGVO-konformes Dokumentenmanagement ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Beginnen Sie mit einem Audit Ihrer bestehenden Dokumentenverarbeitungen, legen Sie Aufbewahrungsfristen fest, die mit den deutschen Gesetzen (AO, HGB, GwG) und den Empfehlungen der Aufsichtsbehörden übereinstimmen, und implementieren Sie technische Maßnahmen, die den in Ihrer DSFA identifizierten Risiken angemessen sind.
Für einen umfassenden Überblick über Dokumenten-Compliance jenseits der DSGVO lesen Sie unseren vollständigen Leitfaden zur Dokumenten-Compliance. Bei spezifischen Fragen zur Compliance Ihrer Dokumentenprozesse können Sie sich gerne an unser Team wenden. Entdecken Sie auch alle unsere Artikel zu Compliance und Datenschutz in unserem Blog.