DSGVO und Dokumentenfreigabe: Was jedes EU-Unternehmen wissen muss

Die DSGVO gilt für die Dokumentenfreigabe, wann immer die gesendeten Dokumente personenbezogene Daten enthalten – dazu gehören Namen, E-Mail-Adressen, finanzielle Informationen, Beschäftigungsdetails oder Informationen, die eine lebende Person identifizieren können. Jedes EU-Unternehmen, das Dokumente extern teilt, sei es mit Kunden, Investoren, Partnern oder Aufsichtsbehörden, muss sicherstellen, dass das Teilen rechtmäßig, sicher und prüfbar ist. Die Nichteinhaltung dieser Anforderungen setzt Organisationen Bußgeldern von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro aus, je nachdem, welcher Betrag höher ist.

---

Warum Dokumentenfreigabe ein DSGVO-Risiko darstellt

Die Dokumentenfreigabe ist eine der risikoreichsten Aktivitäten für die DSGVO-Konformität, wird jedoch oft in Datenschutzprogrammen übersehen. Die meisten Organisationen konzentrieren ihre Compliance-Bemühungen auf Datenbanken, CRMs und Marketing-Systeme – aber Dokumente, die zwischen Personen fließen, enthalten einige der sensibelsten personenbezogenen Daten, die eine Organisation hält:

• Kundenverträge – Namen, Kontaktdaten, finanzielle Bedingungen
• Mitarbeiterakten – Gehälter, Leistungsbeurteilungen, persönliche Informationen
• Investorenmaterialien – Kapitaltische, Namen der Aktionäre, Finanzprognosen
• Gesundheits- oder Finanzberichte – besondere Kategorien von Daten gemäß Artikel 9 der DSGVO
• Rechtliche Korrespondenz – Einzelheiten zu Streitigkeiten, Ermittlungen oder regulatorischen Angelegenheiten

Wenn diese Dokumente als E-Mail-Anhänge geteilt, in Verbraucherspeicher hochgeladen oder über unsichere Links gesendet werden, verliert die Organisation die Kontrolle darüber, wie sie abgerufen, aufbewahrt oder weiterverbreitet werden. Dies schafft ein erhebliches DSGVO-Risiko.

---

Die DSGVO-Prinzipien, die für die Dokumentenfreigabe gelten

Die DSGVO legt in Artikel 5 sieben Prinzipien fest, die für alle Verarbeitung personenbezogener Daten gelten, einschließlich der Dokumentenfreigabe:

1. Rechtmäßigkeit, Fairness und Transparenz
Sie müssen eine rechtmäßige Grundlage für die Freigabe von Dokumenten mit personenbezogenen Daten haben. Die häufigsten Grundlagen sind:

• Berechtigte Interessen – wenn die Freigabe für einen echten Geschäftszweck erforderlich ist
• Vertragliche Notwendigkeit – wenn die Freigabe erforderlich ist, um einen Vertrag zu erfüllen
• Rechtliche Verpflichtung – wenn die Freigabe gesetzlich vorgeschrieben ist

2. Zweckbindung
Dokumente, die für einen Zweck geteilt werden, dürfen nicht umfunktioniert werden. Wenn Sie einen Kundenvertrag zum Zwecke der Abrechnung teilen, darf der Empfänger ihn nicht für Marketingzwecke verwenden.

3. Datenminimierung
Teilen Sie nur das, was notwendig ist. Wenn ein Dokument personenbezogene Daten enthält, die für den Zweck des Empfängers nicht relevant sind, schwärzen oder entfernen Sie diese vor der Freigabe.

4. Genauigkeit
Stellen Sie sicher, dass die geteilten Dokumente aktuelle, genaue Informationen widerspiegeln. Das Teilen veralteter Personalakten oder überholter Finanzdaten kann einen DSGVO-Verstoß darstellen, wenn es Schaden verursacht.

5. Speicherbegrenzung
Bestimmen Sie, wie lange geteilte Dokumente zugänglich bleiben. Widerrufen Sie den Zugriff auf geteilte Links, sobald der legitime Zweck erfüllt ist.

6. Integrität und Vertraulichkeit
Dies ist das Sicherheitsprinzip. Dokumente, die personenbezogene Daten enthalten, müssen unter Verwendung geeigneter technischer Maßnahmen geteilt werden – Verschlüsselung, Zugriffskontrollen und Prüfprotokolle sind hier relevant.

7. Rechenschaftspflicht
Sie müssen in der Lage sein, die Einhaltung nachzuweisen. Dies erfordert einen Prüfpfad, der zeigt, wer was, mit wem, wann und unter welchen Kontrollen geteilt hat.

---

DSGVO Artikel 32: Technische Maßnahmen für die Dokumentensicherheit

Artikel 32 der DSGVO verlangt von Organisationen, angemessene technische und organisatorische Maßnahmen zu ergreifen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist. Für die Dokumentenfreigabe bedeutet dies:

• Verschlüsselung während der Übertragung und im Ruhezustand – AES-256-Verschlüsselung ist der akzeptierte Standard für Dokumente, die personenbezogene Daten enthalten
• Zugriffskontrollen – nur autorisierte Personen sollten auf geteilte Dokumente zugreifen können
• Authentifizierung – Empfänger sollten verifiziert werden, bevor der Zugriff gewährt wird
• Prüfprotokollierung – ein vollständiger Nachweis aller Zugriffsereignisse muss aufbewahrt werden
• Meldemöglichkeit bei Verstößen – die Fähigkeit, genau zu bestimmen, welche Dokumente im Falle eines Sicherheitsvorfalls abgerufen wurden

Security Defaults panel with GDPR compliance badges in SendNow

---

Datenübertragungen außerhalb der EU

Das Kapitel V der DSGVO beschränkt die Übertragungen personenbezogener Daten außerhalb der EU/EEA. Das Teilen eines Dokuments mit einem Empfänger in den Vereinigten Staaten, dem Vereinigten Königreich (nach dem Brexit) oder einem anderen Land ohne Angemessenheitsentscheidung erfordert einen geeigneten Übertragungsmechanismus, wie zum Beispiel:

• Standardvertragsklauseln (SCCs) – der am häufigsten verwendete Mechanismus
• Verbindliche Unternehmensregeln – relevant für innerbetriebliche Übertragungen innerhalb von multinationalen Unternehmen
• Angemessenheitsentscheidungen – für Übertragungen in Länder, die die Europäische Kommission als ausreichend schützend eingestuft hat

Wenn Ihre Dokumentenfreigabe-Plattform Daten auf Servern außerhalb der EU speichert, könnten Sie gegen Kapitel V verstoßen, selbst wenn die Dokumente selbst nur mit EU-Empfängern geteilt werden.

Best Practice: Verwenden Sie eine Plattform, die alle Daten ausschließlich auf Servern in der EU speichert, um Bedenken hinsichtlich Kapitel V vollständig auszuschließen. SendNow arbeitet ausschließlich auf EU-Infrastruktur und stellt sicher, dass keine personenbezogenen Daten die EU-Grenzen überschreiten.

---

Wie ein Prüfpfad in der Praxis aussieht

Ein DSGVO-konformer Prüfpfad für die Dokumentenfreigabe erfasst:

• Die Identität der Person, die den Dokumentenlink erstellt und gesendet hat
• Die Identität jedes Empfängers, der darauf zugegriffen hat (per E-Mail oder Authentifizierungsmethode)
• Den Zeitstempel jedes Zugriffsereignisses
• Die Dauer jeder Sitzung
• Alle durchgeführten Aktionen – versuchte Downloads, gedruckte Seiten, weitergeleitete Links
• Das Datum, an dem der Zugriff widerrufen wurde

Dieser Prüfpfad muss manipulationssicher sein und für einen Zeitraum aufbewahrt werden, der mit Ihrer Datenaufbewahrungsrichtlinie übereinstimmt. Im Falle einer behördlichen Anfrage oder eines Zugriffsantrags eines Betroffenen müssen Sie in der Lage sein, dieses Protokoll umgehend vorzulegen.

---

Häufige Fehler bei der Dokumentenfreigabe gemäß DSGVO

Verwendung von E-Mail-Anhängen für sensible Dokumente: E-Mail bietet keine Zugriffskontrolle, keine Widerrufsmöglichkeit und kein Prüfprotokoll. Jedes Dokument, das als Anhang gesendet wird, ist außerhalb Ihrer Kontrolle, sobald es zugestellt wird.

Verwendung von Verbraucherspeicher für Geschäftsdokumente: Plattformen, die für den Verbrauchermarkt konzipiert sind, speichern Daten typischerweise in den USA, haben begrenzte Zugriffskontrollen und bieten keine DSGVO-konformen Prüfpfade.

Keine Festlegung von Ablaufdaten für geteilte Links: Ein Link, der unbegrenzt aktiv bleibt, schafft ein anhaltendes Zugriffsrisiko. Setzen Sie Ablaufdaten, die dem legitimen Zweck der Freigabe entsprechen.

Teilen desselben Links mit mehreren Empfängern: Ein geteilter Link kann nicht selektiv widerrufen werden und bietet keine Analysen pro Empfänger. Erstellen Sie immer individuelle Links für jeden Empfänger.

Versäumnis, die rechtmäßige Grundlage für die Freigabe zu dokumentieren: Wenn Sie nicht klar und spezifisch angeben können, warum Sie eine rechtmäßige Grundlage für die Freigabe eines Dokuments haben, sollten Sie es nicht teilen.

EU Data Centres, AES-256 and No Third-Party Tracking badges in SendNow

---

Wie SendNow die Anforderungen an die DSGVO-Dokumentenfreigabe erfüllt

SendNow wurde von Grund auf für die DSGVO-konforme Dokumentenfreigabe entwickelt:

• AES-256-Verschlüsselung während der Übertragung und im Ruhezustand
• EU-only Rechenzentren – keine personenbezogenen Daten verlassen jemals die EU
• Zugriffslinks pro Empfänger mit granularen Analysen
• Konfigurierbare Download-, Druck- und Screenshot-Kontrollen
• Dynamisches Wasserzeichen für Rückverfolgbarkeit bei Lecks
• Vollständige Prüfprotokolle, die für die regulatorische Compliance exportierbar sind
• NDA-Gating, bevor sensible Dokumente offengelegt werden
• Automatische Linkablauf basierend auf Ihrer Aufbewahrungsrichtlinie
• Keine Drittanbieter-Tracking – keine Analyseplattformen außerhalb der EU haben Zugriff auf Ihre Dokumentdaten

---

DSGVO-Dokumentenfreigabe: Zusammenfassungstabelle zur Compliance

---

Häufig gestellte Fragen

Gilt die DSGVO für alle Dokumente, die von EU-Unternehmen geteilt werden?
Die DSGVO gilt immer, wenn die Dokumente personenbezogene Daten enthalten – Informationen, die eine lebende Person identifizieren können. Dokumente, die keine personenbezogenen Daten enthalten, unterliegen nicht der DSGVO, können jedoch anderen Vertraulichkeitsverpflichtungen unterliegen.

Was ist die rechtmäßige Grundlage für die Freigabe von Geschäftsdokumenten an externe Parteien?
Die häufigste Grundlage sind berechtigte Interessen, wenn die Freigabe erforderlich ist, um einen echten Geschäftszweck zu verfolgen, der im Verhältnis zu den Auswirkungen auf die Privatsphäre steht. Vertragliche Notwendigkeit gilt, wenn die Freigabe erforderlich ist, um einen Vertrag mit dem Empfänger zu erfüllen.

Sind E-Mail-Anhänge DSGVO-konform?
E-Mail-Anhänge sind nicht von Natur aus nicht konform, aber sie fehlen die technischen Kontrollen, die Artikel 32 für hochriskante personenbezogene Daten erfordert. Für sensible Dokumente ist ein sicherer Link mit Zugriffskontrollen, Verschlüsselung und Prüfprotokollierung die geeignete Methode.

Was zählt als angemessener Prüfpfad für DSGVO-Zwecke?
Ein Prüfpfad sollte aufzeichnen, wer auf ein Dokument zugegriffen hat, wann, wie lange und von wo, sowie alle durchgeführten Aktionen. Er sollte manipulationssicher sein, für einen angemessenen Zeitraum aufbewahrt werden und auf Anfrage vorgelegt werden können.

Brauche ich die Zustimmung, um Dokumente mit Investoren zu teilen?
Nicht unbedingt. Berechtigte Interessen sind typischerweise die geeignete rechtmäßige Grundlage für die Freigabe von Geschäftsdokumenten an Investoren während eines Fundraising-Prozesses. Zustimmung ist selten erforderlich für B2B-Dokumentenfreigaben.

Was passiert, wenn ein geteiltes Dokument von einer unbefugten Partei abgerufen wird?
Dies ist ein Verstoß gegen personenbezogene Daten gemäß Artikel 33 der DSGVO. Sie müssen Ihre Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen, wenn der Verstoß wahrscheinlich ein Risiko für die Rechte und Freiheiten von Personen zur Folge hat.

Kann ich eine in den USA ansässige Cloud-Speicherplattform verwenden, um Dokumente mit EU-Kunden zu teilen?
Die Verwendung einer in den USA ansässigen Plattform für EU-Personenbezogene Daten erfordert angemessene Schutzmaßnahmen gemäß Kapitel V der DSGVO, wie z.B. Standardvertragsklauseln. Die einfachste Lösung besteht darin, eine in der EU gehostete Plattform zu verwenden, die das Risiko grenzüberschreitender Übertragungen vollständig ausschließt.

Wie lange sollte ich Protokolle über den Zugriff auf geteilte Dokumente aufbewahren?
Die Aufbewahrungsfristen sollten im Verhältnis zum Zweck stehen. Für Verträge und rechtliche Dokumente sind mindestens sechs Jahre in EU-Rechtsordnungen üblich. Für Fundraising- oder Geschäftsdokumente sollten Sie sich an Ihrer allgemeinen Datenaufbewahrungsrichtlinie orientieren und dies dokumentieren.