DSGVO und Archivierung: Wie Sie personenbezogene Daten gesetzeskonform aufbewahren
Lesedauer: 3 Minuten.
14,5 Millionen Euro: Zu dieser Rekordstrafe wurde die Deutsche Wohnen Ende letzten Jahres verurteilt. Das Immobilienunternehmen hatte sensible Daten seiner Mieter – wie etwa Arbeitsverträge und Kontoauszüge – jahrelang rechtswidrig gespeichert und damit gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Wie können sich Unternehmen vor derartigen Strafen schützen? Was ist bei der Archivierung von personenbezogenen Daten im Detail zu beachten? Und welche technischen Lösungen können dabei helfen? Antworten auf diese Fragen geben wir Ihnen in einer neuen Artikelreihe im VINTIN IT-Journal.
Bevor wir uns mit konkreten Empfehlungen für eine Archivierungsstrategie befassen, ist es jedoch wichtig, zunächst einige Grundlagen zu erläutern und Begrifflichkeiten zu klären. Auch gut eineinhalb Jahre nach Inkrafttreten der DSGVO besteht in vielen Organisationen noch immer Unklarheit darüber, wie die aktuellen Datenschutzvorschriften bei der Archivierung von personenbezogenen Daten anzuwenden sind.
Wie lange dürfen Unternehmen personenbezogene Daten speichern?
Die wichtigsten Grundsätze zu dieser Frage sind in Art. 5 Abs. 1 der DSGVO definiert. Konkret geht es dabei um die Grundsätze der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO), der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) sowie der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Oder anders ausgedrückt: Personenbezogene Daten dürfen nur so lange und in dem Umfang gespeichert werden, wie dies für den jeweiligen Zweck erforderlich ist.
Wenn kein Speichergrund mehr vorliegt, sind Organisationen gemäß Art. 17 DSGVO zur Löschung der personenbezogenen Daten verpflichtet. Ebenso müssen die gespeicherten Daten entfernt werden, wenn die betroffene Person ihre ursprüngliche Einwilligung zur Datenverarbeitung widerruft oder die Löschung aus anderen Gründen beantragt. So könnte beispielsweise ein Bewerber von einem Unternehmen verlangen, seine Bewerbungsunterlagen zu löschen, nachdem er sich für eine Position bei einem anderen Unternehmen entschieden hat.
Löschpflicht versus Aufbewahrungspflicht: Die DSGVO und andere Rechtsvorschriften
Es gibt allerdings auch Fälle, in denen personenbezogene Daten aufgrund anderer gesetzlicher Pflichten für einen längeren Zeitraum archiviert werden müssen. Das Steuerrecht fordert von Unternehmen etwa, Rechnungen, Buchungs- und Bankbelege für zehn Jahre aufzubewahren. Dies gilt auch für Dokumente, die personenbezogene Daten enthalten. Um beim obengenannten Beispiel zu bleiben: Wenn sich der Bewerber vom Unternehmen die Fahrtkosten für das Bewerbungsgespräch erstatten lässt, kann er nicht vor Ablauf der zehnjährigen Frist die Vernichtung des entsprechenden Reisebelegs verlangen. Das Dokument wird weiterhin für eine ordnungsgemäße Buchhaltung benötigt.
Darüber hinaus schreiben weitere Vorschriften die Aufbewahrung von Daten für einen bestimmten Zeitraum vor – beispielsweise im Sozialversicherungs- und Arbeitsrecht, im Handelsrecht und in der Gewerbeordnung. In allen diesen Fällen kann die Speicherung von personenbezogenen Daten zur Erfüllung der rechtlichen Anforderungen notwendig sein. Damit besteht ein berechtigtes Interesse für eine längere Archivierung. Nicht angemessen ist es allerdings, sämtliche vorhandenen Daten vorsorglich für zehn oder mehr Jahre aufzuheben und sich dabei auf gesetzliche Aufbewahrungspflichten zu berufen. Die Speicherung jedes einzelnen Datensatzes muss durch einen klar definierten Zweck oder entsprechende rechtliche Vorgaben gedeckt sein.
Backup ist nicht gleich Archivierung
In vielen Gesprächen stellen wir fest, dass Unternehmen begrifflich nicht sauber zwischen Backup und Archivierung unterscheiden. In beiden Fällen werden zwar letztlich Daten für einen bestimmten Zeitraum gespeichert – allerdings aus ganz unterschiedlichen Gründen.
Beim Backup werden in regelmäßigen Abständen Kopien von Daten erstellt, um Datenverlust zu vermeiden. Der Zweck ist dabei die Absicherung der Verfügbarkeit von IT-Umgebungen. Mit Hilfe des Backups lassen sich ausgefallene IT-Systeme oder versehentlich gelöschte Ordner auf einem Server schnell wieder zugänglich machen. Zudem ist die regelmäßige Datensicherung ein wichtiger Bestandteil einer Disaster-Recovery-Strategie. IT-Abteilungen können damit ihre Daten und Systeme auch beim Ausfall eines kompletten Rechenzentrums wiederherstellen und so den Geschäftsbetrieb fortsetzen.
Ziel des Backups ist hingegen nicht, ein dauerhaftes und schnell durchsuchbares Archiv von bestimmten Daten zu erstellen. Es macht daher auch keinen Sinn, die Sicherungskopien eines Backup-Systems jahrelang aufzubewahren. Im Archiv sollten dann alle Daten aufbewahrt werden, die zur Erfüllung der gesetzlichen Pflichten notwendig sind – und dies möglichst automatisch für den vorgeschriebenen Zeitraum. Personenbezogene Daten ohne bestimmte Aufbewahrungspflichten gehören nicht dazu. Daher ist es so wichtig, Daten bereits zu klassifizieren, bevor sie in das Langzeitarchiv des Unternehmens verschoben werden.
Unser Datenschutzteam steht Ihnen unter kontakt@vintin.de für Ihre Anfragen gerne zur Verfügung.
