Einerseits sollen bestimmte Geschäftsdokumente noch in vielen Jahren verfügbar sein und müssen „archiviert“ werden. Andererseits kennen Sie vom Datenschutz die Löschpflichten. Was gilt denn nun? Zu frühes Löschen ist ebenso zu vermeiden wie eine zu lange Aufbewahrung.
Lücken im Archiv des Unternehmens
Man stelle sich vor, jemand greift auf das digitale Archiv des Unternehmens zu, um einen Kundenvertrag einzusehen, der vor fünf Jahren abgeschlossen wurde. Doch das Archivsystem meldet, dass es den betreffenden Vertrag nicht finden kann. Wenn das Archivsystem korrekt arbeitet, gibt es offenbar Fehlstellen im Archiv.
Wie kann es dazu kommen?
- Entweder hat niemand daran gedacht, dass es Aufbewahrungsvorgaben für die Kundenverträge gibt. Niemand hat also vor fünf Jahren den digitalen Kundenvertrag in das Archivsystem eingestellt.
- Oder jemand hat den Kundenvertrag gelöscht, vielleicht um dem Datenschutz gerecht zu werden, da es doch nach DSGVO für betroffene Personen (Kunden) ein Recht auf Löschung und somit für das Unternehmen eine Löschpflicht gibt.
Löschung versus Aufbewahrung
So manche Lücke im Unternehmensarchiv kann durch einen missverstandenen Datenschutz entstehen, wenn ein Dokument, das eigentlich noch für Jahre aufbewahrt werden sollte, stattdessen gelöscht wird.
Auch wenn es so scheint – die Löschpflichten und die Pflichten zur Aufbewahrung und Archivierung stehen nicht im Widerspruch zueinander:
Gelöscht werden müssen personenbezogene Daten zum Beispiel, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
Müssen sie aber noch aufbewahrt werden, weil es Aufbewahrungs- oder Archivierungspflichten gibt, und es bestehen keine anderen Gründe für die Löschung (wie eine unerlaubte Verarbeitung der Daten), dann tritt die Löschpflicht erst ein, wenn die Pflicht zur Aufbewahrung oder Archivierung abgelaufen ist.
Es ist also immer ein Abgleich zwischen gesetzlichen und vertraglichen Aufbewahrungspflichten und dem Datenschutz bzw. zwischen dem Archiv- und dem Datenschutzrecht erforderlich.
Aufbewahren ist nicht identisch mit Archivieren
Das eigentliche Archivrecht betrifft öffentliche Archive, die wie das Gedächtnis öffentlicher Einrichtungen zu sehen sind. Die sogenannte „Verarbeitung für im öffentlichen Interesse liegende Archivzwecke“ gehört zu den Ausnahmen von der Löschverpflichtung nach DSGVO. Sie setzt besondere Prüfungen voraus, was bei einer Löschung, die eine betroffene Person wünscht, passieren soll.
Archiviert ein Unternehmen etwas, dann ist damit eine langfristige Aufbewahrung gemeint, um vertragliche oder gesetzliche Vorgaben zu erfüllen. Dies fällt nicht unter die Ausnahmen von der Löschverpflichtung. Denn in aller Regel besteht kein öffentliches Interesse an einer Archivierung.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Archivierung als „elektronische Langzeitspeicherung“. Aus rechtlicher Sicht ist der Begriff „Archivierung“ in Deutschland durch die Archivgesetze des Bundes und der Länder definiert. „Archivierung“ im rechtlich korrekten Sinn betrifft allein Unterlagen der öffentlichen Verwaltung.
Ein Unternehmen sollte also nicht fälschlicherweise davon ausgehen, dass sich das eigene Archiv von den Löschpflichten aus dem Datenschutz einfach ausnehmen ließe.
Wissen Sie, wann gelöscht und wann aufbewahrt oder archiviert wird? Machen Sie den Test!
Frage: Dokumente im Unternehmensarchiv müssen nicht gelöscht werden. Stimmt das?
- Nein, Ausnahmen von der Löschpflicht gibt es nur für im öffentlichen Interesse liegende Archivzwecke.
- Ja, Archive sind von der Löschpflicht im Datenschutz ausgenommen.
Lösung: Die Antwort 1. ist richtig. Spricht ein Unternehmen von einem digitalen Archiv, dann ist damit die langfristige Aufbewahrung von Daten gemeint, um gesetzlichen und vertraglichen Aufbewahrungspflichten gerecht zu werden, zum Beispiel nach dem Steuerrecht und nach dem Handelsrecht. Öffentliche Archive hingegen unterliegen dem Archivrecht.
Frage: Wünscht eine betroffene Person die Löschung, muss immer sofort gelöscht werden. Ist das so?
- Ja, mit dem Löschwunsch gibt es keine Grundlage mehr, um die Daten aufzubewahren.
- Nein, die Löschung muss nur dann unverzüglich erfolgen, wenn es keine andere Rechtsgrundlage mehr für die weitere Speicherung gibt.
Lösung: Die Antwort 2. ist richtig. Liegt zum Beispiel ein gültiger Kundenvertrag vor und sind zugehörige Rechnungen nach gesetzlichen Vorgaben noch aufzubewahren, muss der Löschwunsch erst nach dem Ablauf der Aufbewahrungspflichten erfüllt werden. Es gilt also: Personenbezogene Daten sind gemäß DSGVO auf Verlangen von betroffenen Personen grundsätzlich zu löschen. Müssen die Daten aber noch wegen rechtlicher Verpflichtungen wie dem Steuerrecht oder Handelsrecht aufbewahrt werden, hat dies eine aufschiebende Wirkung bis zum Ablauf der Aufbewahrungspflichten. Erst dann muss gelöscht werden.