Wissen · documents
Dokumentenmanagement und DSGVO: worauf du achten musst
DMS und Datenschutz: Hosting-Standort, Auftragsverarbeitung, Zugriffskontrolle und das Spannungsfeld zwischen Löschpflicht und Aufbewahrungsfristen.
Ein Dokumentenmanagement-System verarbeitet fast zwangsläufig personenbezogene Daten – Namen auf Rechnungen, Adressen in Verträgen, Gehaltsdaten in Personalunterlagen. Damit gelten die Pflichten der DSGVO: Du brauchst eine sichere Verarbeitung, geregelte Zugriffe, einen Vertrag mit dem Anbieter und ein Konzept, das Aufbewahrungspflichten und Löschpflichten sauber trennt.
Warum das DMS automatisch Datenschutz-Thema ist
Die DSGVO unterscheidet nicht zwischen „Datenbank“ und „Dokumentenablage“. Ein gescannter Brief mit Absendername ist genauso personenbezogen wie ein CRM-Eintrag. Wer Dokumente zentral speichert, durchsuchbar macht und im Team teilt, verarbeitet diese Daten – und muss das verantwortlich tun. Das ist kein Grund gegen ein DMS, im Gegenteil: Eine zentrale, geregelte Ablage ist deutlich leichter DSGVO-konform zu betreiben als verstreute Ordner, lokale Kopien und private Mail-Postfächer.
Die fünf wichtigsten Prüfpunkte bei der Auswahl
- Hosting-Standort und anwendbares Recht: Wo liegen die Daten physisch, welches Recht gilt für den Anbieter? Hosting in Deutschland oder der EU erspart dir die Prüfung von Drittlandtransfers.
- Auftragsverarbeitungsvertrag (AVV): Der Anbieter speichert Dokumente in deinem Auftrag und ist damit in der Regel Auftragsverarbeiter. Ohne AVV fehlt die vertragliche Grundlage.
- Zugriffskontrolle: Nicht jeder im Team muss alles sehen. Achte auf Rollen und Sichtbarkeitsregeln – Personalunterlagen gehören in andere Hände als Eingangsrechnungen.
- Verschlüsselung und sichere Anmeldung: Übertragung verschlüsselt, Zugänge geschützt – etwa über Einmalcodes statt geteilter Passwörter.
- Nachvollziehbarkeit: Es sollte erkennbar sein, was mit Dokumenten passiert ist. Das hilft auch bei Auskunftsersuchen von Betroffenen.
Das Spannungsfeld: löschen vs. aufbewahren
Die DSGVO verlangt, personenbezogene Daten zu löschen, wenn der Zweck entfällt. Gleichzeitig verlangt das Steuer- und Handelsrecht, Belege über Jahre aufzubewahren. Die Auflösung: Gesetzliche Aufbewahrungspflichten sind ein eigener Rechtsgrund – steuerrelevante Dokumente bleiben im Archiv, bis ihre Frist abläuft. Danach greift die Löschpflicht. Ein gutes DMS unterstützt genau diesen Lebenszyklus: definierte Aufbewahrung statt „liegt halt noch rum“. Wie unveränderbare Archivierung funktioniert, erklärt der Artikel Revisionssichere Archivierung.
Wie webRichtung documents das umsetzt
webRichtung documents wird in Deutschland entwickelt und betrieben und ist auf DSGVO-bewusstes Arbeiten ausgelegt: Die Dokumente deiner Organisation liegen zentral mit klaren Zugriffswegen, die Anmeldung läuft über Einmalcodes, und das GoBD-Archiv bewahrt Dokumente mit Object Lock unveränderbar über 6, 8 oder 10 Jahre auf – mit definiertem Fristende statt unbegrenzter Datenhalde. Details zur Bedienung findest du in der Dokumentation.
Praktischer Einstieg
Starte mit einer kurzen Bestandsaufnahme: Welche Dokumentarten mit Personenbezug hast du (Belege, Verträge, Personalakten)? Wer braucht Zugriff worauf? Welche Aufbewahrungsfristen gelten je Art? Mit diesen drei Antworten kannst du ein DMS strukturiert bewerten – und die Einführung sauber dokumentieren, falls die Aufsichtsbehörde fragt. Lege außerdem fest, wie Zugriffe enden: Wenn jemand das Team verlässt, muss der Zugang zentral entzogen werden können. Auch das spricht für eine Plattform mit zentralen Konten statt lokal kopierter Ordner, deren Verbleib niemand mehr nachvollziehen kann.
Dieser Artikel informiert allgemein und ersetzt keine Rechts- oder Steuerberatung.
Häufige Fragen
Warum ist ein DMS ein DSGVO-Thema?
Rechnungen, Verträge und Schriftverkehr enthalten personenbezogene Daten von Kunden, Lieferanten und Mitarbeitern. Sobald ein DMS solche Dokumente speichert und verarbeitet, gelten die Pflichten der DSGVO.
Worauf sollte ich bei der DMS-Auswahl achten?
Auf den Hosting-Standort und anwendbares Recht, einen Auftragsverarbeitungsvertrag (AVV), rollenbasierte Zugriffskontrolle, verschlüsselte Übertragung und nachvollziehbare Protokollierung der Zugriffe.
Wie passen Löschpflicht und Aufbewahrungsfristen zusammen?
Gesetzliche Aufbewahrungspflichten gehen der Löschung vor: Steuerrelevante Belege müssen aufbewahrt werden, auch wenn sie personenbezogene Daten enthalten. Nach Fristablauf greift dann die Löschpflicht.
Brauche ich einen AVV mit meinem DMS-Anbieter?
In aller Regel ja: Wenn der Anbieter Dokumente mit personenbezogenen Daten in deinem Auftrag speichert, ist er Auftragsverarbeiter – dann verlangt die DSGVO einen Vertrag zur Auftragsverarbeitung.
Ist ein deutsches Rechenzentrum Pflicht?
Nein, die DSGVO schreibt keinen Standort vor. Hosting in Deutschland oder der EU vereinfacht aber die rechtliche Bewertung erheblich, weil kein Drittlandtransfer geprüft werden muss.