Unterschiedliche Anforderungen
Bestimmte Geschäftsdokumente müssen über viele Jahre hinweg verfügbar bleiben und daher archiviert werden. Gleichzeitig bestehen im Datenschutz strikte Löschpflichten. Was gilt also? Eine zu frühe Löschung ist ebenso zu vermeiden wie eine zu lange Aufbewahrung.
Lücken im Unternehmensarchiv
Stellen Sie sich vor, jemand greift auf das digitale Archiv des Unternehmens zu, um einen Kundenvertrag einzusehen, der vor fünf Jahren abgeschlossen wurde. Das Archivsystem meldet jedoch, dass es den betreffenden Vertrag nicht finden kann. Wenn das Archivsystem korrekt arbeitet, scheint es Fehler im Archiv zu geben.
Mögliche Ursachen
- Niemand hat daran gedacht, dass es Aufbewahrungspflichten für Kundenverträge gibt. Daher wurde der digitale Kundenvertrag vor fünf Jahren nicht ins Archivsystem eingestellt.
- Jemand hat den Kundenvertrag gelöscht, möglicherweise um dem Datenschutz gerecht zu werden, da laut DSGVO betroffene Personen (Kunden) ein Recht auf Löschung haben und somit auch eine Pflicht zur Löschung für das Unternehmen besteht.
Löschen versus Aufbewahren
Manche Lücken im Unternehmensarchiv können durch falsch verstandenen Datenschutz entstehen, wenn ein Dokument, das eigentlich noch Jahre aufbewahrt werden müsste, stattdessen gelöscht wird. Löschpflichten und Aufbewahrungs- bzw. Archivierungspflichten stehen jedoch nicht im Widerspruch zueinander:
Personenbezogene Daten sind zu löschen, wenn sie für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr erforderlich sind.
Wenn jedoch Aufbewahrungs- oder Archivierungspflichten bestehen und keine anderen Gründe für eine Löschung (wie etwa eine unzulässige Verarbeitung der Daten) vorliegen, tritt die Löschungspflicht erst ein, wenn die Pflicht zur Aufbewahrung oder Archivierung abgelaufen ist.
Bewahren ist nicht gleich Archivieren
Das eigentliche Archivrecht betrifft die öffentlichen Archive, die als Gedächtnis der öffentlichen Einrichtungen fungieren. Die sogenannte „Verarbeitung für im öffentlichen Interesse liegende Archivzwecke“ gehört zu den Ausnahmen von der Löschpflicht nach der DSGVO. Diese Ausnahme erfordert eine besondere Prüfung bei einer gewünschten Löschung durch Betroffene. Wenn ein Unternehmen etwas archiviert, bedeutet dies die langfristige Aufbewahrung zur Erfüllung vertraglicher oder gesetzlicher Pflichten. Dies fällt nicht unter die Ausnahmen von der Löschpflicht, da in der Regel kein öffentliches Interesse an der Archivierung besteht.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Archivierung als „elektronische Langzeitspeicherung“. In Deutschland wird der Begriff „Archivierung“ rechtlich durch die Archivgesetze des Bundes und der Länder definiert und bezieht sich ausschließlich auf Unterlagen der öffentlichen Verwaltung. Unternehmen sollten daher nicht irrtümlich annehmen, dass ihr eigenes Archiv von den datenschutzrechtlichen Löschpflichten einfach ausgenommen ist.
Wissen Sie, wann Sie löschen und wann Sie aufbewahren oder archivieren müssen? Machen Sie den Test!
Müssen Dokumente im Unternehmensarchiv gelöscht werden?
Nein, Ausnahmen von der Löschpflicht gibt es nur für Archivzwecke, die im öffentlichen Interesse liegen.
Ja, Archive sind von der datenschutzrechtlichen Löschpflicht ausgenommen.
Nein ist richtig. Ein digitales Unternehmensarchiv dient der langfristigen Aufbewahrung von Daten zur Erfüllung gesetzlicher und vertraglicher Aufbewahrungspflichten, beispielsweise nach Steuer- und Handelsrecht. Öffentliche Archive unterliegen dagegen dem Archivrecht.
Muss bei einer Löschanfrage eines Betroffenen immer sofort gelöscht werden?
Ja, mit dem Löschungsbegehren entfällt die Grundlage für die Aufbewahrung der Daten.
Nein, die Löschung muss nur dann unverzüglich erfolgen, wenn es keine andere Rechtsgrundlage für die weitere Speicherung gibt.
Nein ist richtig. Liegt beispielsweise ein gültiger Kundenvertrag vor und müssen die dazugehörigen Rechnungen nach den gesetzlichen Vorgaben noch aufbewahrt werden, muss der Löschungsaufforderung erst nach Ablauf der Aufbewahrungspflichten nachgekommen werden.
Fazit
Personenbezogene Daten sind nach der DSGVO grundsätzlich auf Verlangen der Betroffenen zu löschen. Müssen die Daten jedoch aufgrund gesetzlicher Verpflichtungen wie dem Steuer- oder Handelsrecht noch aufbewahrt werden, hat dies eine aufschiebende Wirkung bis zum Ablauf der Aufbewahrungspflichten. Erst dann muss gelöscht werden.