Kostenlose Beratung!
Recht & Compliance

DSGVO

Die Datenschutz-Grundverordnung (DSGVO, EU-Verordnung 2016/679) regelt seit dem 25. Mai 2018 EU-weit unmittelbar geltend den Umgang mit personenbezogenen Daten. Sie legt Grundsätze, Rechtsgrundlagen, Betroffenenrechte und Pflichten für Auftragsverarbeiter fest und wird in Deutschland durch das BDSG ergänzt.

Was regelt die DSGVO?

Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) ist seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten unmittelbar geltendes Recht. Als Verordnung – anders als eine Richtlinie – bedarf sie keiner nationalen Umsetzung, entfaltet aber Öffnungsklauseln, die Mitgliedstaaten ausfüllen dürfen. In Deutschland geschieht das durch das Bundesdatenschutzgesetz (BDSG), das die DSGVO ergänzt, etwa bei der Bestellpflicht für Datenschutzbeauftragte oder bei bereichsspezifischen Regelungen.

Die DSGVO regelt jede Verarbeitung personenbezogener Daten – also aller Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Für Organisationen, die Akten mit Namen, Adressen, Geburtsdaten oder sensibleren Angaben führen, gilt sie unabhängig davon, ob die Daten digital oder in strukturierten Papierablagen vorliegen.

Welche Grundsätze gelten nach Art. 5 DSGVO?

Art. 5 DSGVO benennt sechs Grundsätze, an denen sich jede Verarbeitung personenbezogener Daten messen lassen muss:

Grundsatz Bedeutung
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Verarbeitung braucht eine Rechtsgrundlage und muss für Betroffene nachvollziehbar sein
Zweckbindung Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden
Datenminimierung Nur so viele Daten wie für den Zweck erforderlich
Richtigkeit Daten müssen sachlich richtig und aktuell gehalten werden
Speicherbegrenzung Aufbewahrung nur so lange, wie es der Zweck erfordert
Integrität und Vertraulichkeit Angemessener Schutz vor unbefugter Verarbeitung, Verlust oder Zerstörung

Für Digitalisierungsprojekte sind Datenminimierung und Speicherbegrenzung besonders relevant: Wer Akten scannt und im DMS ablegt, sollte von Beginn an festlegen, welche Daten tatsächlich benötigt werden und wie lange sie vorgehalten werden – Stichwort Löschkonzept.

Welche Rechtsgrundlagen erlauben eine Verarbeitung?

Art. 6 Abs. 1 DSGVO zählt abschließend auf, wann eine Verarbeitung rechtmäßig ist: Einwilligung der betroffenen Person (lit. a), Vertragserfüllung (lit. b), rechtliche Verpflichtung des Verantwortlichen (lit. c), Schutz lebenswichtiger Interessen (lit. d), Wahrnehmung öffentlicher Aufgaben (lit. e) oder berechtigtes Interesse (lit. f). Für Unternehmen mit Aufbewahrungspflichten ist lit. c – rechtliche Verpflichtung – die zentrale Grundlage, um Personaldaten, Rechnungsdaten oder Mandantendaten über die gesetzliche Frist hinweg rechtmäßig zu speichern.

Welche Rechte haben Betroffene?

Die DSGVO gibt betroffenen Personen ein Bündel durchsetzbarer Rechte, unter anderem:

  1. Auskunftsrecht (Art. 15): Betroffene können verlangen zu erfahren, welche Daten über sie verarbeitet werden.
  2. Recht auf Berichtigung (Art. 16): Unrichtige Daten müssen korrigiert werden.
  3. Recht auf Löschung (Art. 17): Unter bestimmten Voraussetzungen müssen Daten gelöscht werden – mit Ausnahme, wenn eine gesetzliche Aufbewahrungspflicht entgegensteht.
  4. Recht auf Einschränkung der Verarbeitung (Art. 18): Daten dürfen vorübergehend nur eingeschränkt verarbeitet werden.
  5. Recht auf Datenübertragbarkeit (Art. 20): Betroffene können ihre Daten in strukturierter Form erhalten.
  6. Widerspruchsrecht (Art. 21): gegen Verarbeitungen, die auf berechtigtem Interesse beruhen.

Bei Digitalisierungsprojekten mit umfangreichen Personen- oder Mandantendaten müssen diese Rechte technisch und organisatorisch umsetzbar sein, etwa durch eine gezielte Suchfunktion im DMS, um Auskunftsersuchen fristgerecht beantworten zu können.

Was gilt bei der Beauftragung eines externen Scandienstleisters?

Verarbeitet ein externer Scandienstleister personenbezogene Daten im Auftrag – etwa beim Scannen von Personalakten, Mandantenakten oder Patientenunterlagen –, handelt es sich um Auftragsverarbeitung im Sinne von Art. 28 DSGVO. Der Auftraggeber bleibt datenschutzrechtlich verantwortlich, muss aber vor Beginn der Verarbeitung einen Auftragsverarbeitungsvertrag (AVV) abschließen, der mindestens folgende Punkte regelt:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung sowie Art der personenbezogenen Daten und Kategorien betroffener Personen,
  • Pflichten und Rechte des Verantwortlichen,
  • Weisungsgebundenheit des Auftragsverarbeiters,
  • Vertraulichkeitsverpflichtung der eingesetzten Mitarbeiter,
  • Unterstützungspflichten bei Betroffenenrechten und Meldungen von Datenschutzverletzungen,
  • Löschung oder Rückgabe der Daten nach Abschluss der Verarbeitung,
  • Nachweis geeigneter technischer und organisatorischer Maßnahmen (TOMs).

TOMs umfassen konkret etwa Zutrittskontrollen zu Scan-Standorten, verschlüsselte Datenübertragung, Protokollierung von Zugriffen, Berechtigungskonzepte im Scan- und Archivsystem sowie geregelte Löschprozesse für Zwischenkopien nach Projektabschluss. Ein seriöser Scandienstleister legt diese Maßnahmen offen und unterschreibt den AVV, bevor die erste Akte das Haus verlässt.

Wie verhält sich die DSGVO zu Aufbewahrungspflichten?

Ein häufiges Missverständnis besteht darin, die DSGVO verlange grundsätzlich die schnellstmögliche Löschung personenbezogener Daten. Tatsächlich sieht Art. 5 Abs. 1 lit. e DSGVO die Speicherbegrenzung ausdrücklich mit dem Zusatz vor, dass längere Speicherung zulässig ist, soweit sie unter anderem zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Gesetzliche Aufbewahrungspflichten aus Handels- und Steuerrecht wirken hier als eigene Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO und gehen vor.

Das Spannungsfeld löst sich damit auf: Solange eine Aufbewahrungsfrist läuft, ist die Speicherung rechtmäßig – ein Löschbegehren muss insoweit zurückgewiesen werden. Erst nach Fristablauf entfällt die Rechtsgrundlage, und die Daten sind zu löschen oder zu anonymisieren, sofern kein anderer Zweck die weitere Speicherung rechtfertigt. Ein sauberes Löschkonzept bildet diesen Zusammenhang für jede Dokumentart ab.

Verstöße gegen die DSGVO – etwa eine Speicherung ohne Rechtsgrundlage oder ein fehlender AVV – werden nach Art. 83 DSGVO gestaffelt geahndet: Verstöße gegen grundlegende Pflichten können mit bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Formale Verstöße, etwa fehlerhafte Auftragsverarbeitungsverträge, liegen bei bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes. Aufsichtsbehörden berücksichtigen bei der Bemessung unter anderem Schwere, Dauer und Fahrlässigkeit des Verstoßes sowie getroffene Abhilfemaßnahmen.

Was bedeutet das praktisch für Akten-Digitalisierungsprojekte?

Bei der Digitalisierung von Akten mit personenbezogenen Daten sind aus DSGVO-Sicht mehrere Bausteine relevant: ein Berechtigungskonzept, das den Zugriff auf sensible Akten im DMS begrenzt, ein Löschkonzept, das Aufbewahrungsfristen und tatsächliche Löschung synchronisiert, sowie bei besonders sensiblen Aktenarten wie Personal- oder Patientenakten unter Umständen eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Wird ein externer Dienstleister eingebunden, ist der AVV samt TOM-Nachweis Voraussetzung, bevor die Verarbeitung beginnt.

Diese Anforderungen lassen sich in der Praxis in ein DMS-Einführungsprojekt integrieren, statt sie nachträglich aufzusetzen – Details dazu im DMS-Einführungsleitfaden. Für die konkrete datenschutzkonforme Umsetzung eines Akten-Scanprojekts beraten wir Sie gern über unsere Kontaktseite; eine individuelle Rechtsberatung ersetzt das nicht.

Häufige Fragen zu DSGVO

Gilt die DSGVO auch für rein interne Papierakten?+

Ja, sofern die Akten personenbezogene Daten enthalten und strukturiert abgelegt sind – etwa nach Namen oder Aktenzeichen sortierte Ordner. Die DSGVO unterscheidet nicht grundsätzlich zwischen Papier und elektronischer Verarbeitung, sobald ein Dateisystem im datenschutzrechtlichen Sinn vorliegt.

Braucht ein Scandienstleister eine Auftragsverarbeitungsvereinbarung?+

Ja. Verarbeitet ein externer Scandienstleister personenbezogene Daten aus Akten in Ihrem Auftrag, ist nach Art. 28 DSGVO zwingend ein AVV abzuschließen, bevor die Verarbeitung beginnt. Ohne AVV liegt ein Datenschutzverstoß vor, unabhängig davon, wie sorgfältig der Dienstleister tatsächlich arbeitet.

Widersprechen sich DSGVO und gesetzliche Aufbewahrungspflichten?+

Nicht grundsätzlich. Der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO tritt hinter gesetzliche Aufbewahrungspflichten zurück, solange diese als eigene Rechtsgrundlage nach Art. 6 Abs. 1 lit. c DSGVO greifen. Nach Fristablauf muss aber tatsächlich gelöscht oder anonymisiert werden.

Wie hoch können Bußgelder bei Verstößen ausfallen?+

Nach Art. 83 DSGVO drohen je nach Verstoß Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes, bei schwereren Verstößen bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes – jeweils der höhere Betrag ist maßgeblich.

Wann ist bei einem Digitalisierungsprojekt eine Datenschutz-Folgenabschätzung nötig?+

Immer dann, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten Betroffener birgt, etwa bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten wie Gesundheits- oder Personalakten. Details regelt Art. 35 DSGVO.

Reicht ein Vertrag mit dem Scandienstleister ohne technische Maßnahmen aus?+

Nein. Art. 28 DSGVO verlangt zusätzlich zur vertraglichen Regelung, dass der Auftragsverarbeiter ausreichende technische und organisatorische Maßnahmen (TOMs) nachweist, etwa Zutrittskontrollen, Verschlüsselung und Protokollierung. Diese sollten im AVV konkret benannt oder als Anlage beigefügt sein.

Vertiefende Ratgeber-Artikel

Rechtssicher digitalisieren?

Wir digitalisieren GoBD- und TR-RESISCAN-konform – inklusive Verfahrensdokumentation.

Zertifizierte Sicherheit für Ihre Daten

Unsere Zertifizierungen und Standards garantieren höchste Sicherheit bei der Digitalisierung Ihrer sensiblen Dokumente.

Über 15 Jahre Erfahrung
Lokaler Service in Augsburg
Vertrauenswürdige Referenzen