Die große Frage: löschen, aufbewahren oder archivieren?
Einerseits sollen bestimmte Geschäftsdokumente noch in vielen Jahren verfügbar sein und müssen „archiviert“ werden. Andererseits kennen Sie vom Datenschutz die Löschpflichten.
Löschen oder aufbewahren?
Was gilt denn nun? Zu frühes Löschen ist ebenso zu vermeiden wie eine zu lange Aufbewahrung.
Lücken im Archiv des Unternehmens
Man stelle sich vor, jemand greift auf das digitale Archiv des Unternehmens zu, um einen Kundenvertrag einzusehen, der vor fünf Jahren abgeschlossen wurde. Doch das Archivsystem meldet, dass es den betreffenden Vertrag nicht finden kann. Wenn das Archivsystem korrekt arbeitet, gibt es offenbar Fehlstellen im Archiv. Wie kann es dazu kommen?
- Entweder hat niemand daran gedacht, dass es Aufbewahrungsvorgaben für die Kundenverträge gibt. Niemand hat also vor fünf Jahren den digitalen Kundenvertrag in das Archivsystem eingestellt.
- Oder jemand hat den Kundenvertrag gelöscht, vielleicht um dem Datenschutz gerecht zu werden, da es doch nach EU-DSGVO für betroffene Personen (Kunden) ein Recht auf Löschung und somit für das Unternehmen eine Löschpflicht gibt.
Löschung versus Aufbewahrung
So manche Lücke im Unternehmensarchiv kann durch einen missverstandenen Datenschutz entstehen, wenn ein Dokument, das eigentlich noch für Jahre aufbewahrt werden sollte, stattdessen gelöscht wird. Auch wenn es so scheint – die Löschpflichten und die Pflichten zur Aufbewahrung und Archivierung stehen nicht im Widerspruch zueinander:
- Gelöscht werden müssen personenbezogene Daten zum Beispiel, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
- Müssen sie aber noch aufbewahrt werden, weil es Aufbewahrungs- oder Archivierungspflichten gibt, und es bestehen keine anderen Gründe für die Löschung (wie eine unerlaubte Verarbeitung der Daten), dann tritt die Löschpflicht erst ein, wenn die Pflicht zur Aufbewahrung oder Archivierung abgelaufen ist.
Es ist also immer ein Abgleich zwischen gesetzlichen und vertraglichen Aufbewahrungspflichten und dem Datenschutz bzw. zwischen dem Archiv- und dem Datenschutzrecht erforderlich.
Aufbewahren ist nicht identisch mit Archivieren
Das eigentliche Archivrecht betrifft öffentliche Archive, die wie das Gedächtnis öffentlicher Einrichtungen zu sehen sind. Die sogenannte „Verarbeitung für im öffentlichen Interesse liegende Archivzwecke“ gehört zu den Ausnahmen von der Löschverpflichtung nach EU-DSGVO. Sie setzt besondere Prüfungen voraus, was bei einer Löschung, die eine betroffene Person wünscht, passieren soll.
Archiviert ein Unternehmen etwas, dann ist damit eine langfristige Aufbewahrung gemeint, um vertragliche oder gesetzliche Vorgaben zu erfüllen. Dies fällt nicht unter die Ausnahmen von der Löschverpflichtung. Denn in aller Regel besteht kein öffentliches Interesse an einer Archivierung.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Archivierung als „elektronische Langzeitspeicherung“. Aus rechtlicher Sicht ist der Begriff „Archivierung“ in Deutschland durch die Archivgesetze des Bundes und der Länder definiert. „Archivierung“ im rechtlich korrekten Sinn betrifft allein Unterlagen der öffentlichen Verwaltung. Ein Unternehmen sollte also nicht fälschlicherweise davon ausgehen, dass sich das eigene Archiv von den Löschpflichten aus dem Datenschutz einfach ausnehmen ließe.
Das könnte Sie auch interessieren: