Löschen, aufbewahren oder archivieren? Mit Geschäftsdokumenten richtig umgehen
Was gilt denn nun? Zum einen sollen bestimmte Geschäftsdokumente noch jahrelang „archiviert“ werden. Zum anderen appelliert der Datenschutz an die Löschpflichten. Der Mittelweg: Vermeiden Sie ein zu frühes Löschen ebenso wie eine zu lange Aufbewahrung.
Lückenhaftes Unternehmensarchiv
Stellen Sie sich vor, jemand öffnet das digitale Archiv des Unternehmens, weil er einen Kundenvertrag einzusehen möchte, der vor fünf Jahren abgeschlossen wurde. Doch das System meldet, dass der entsprechende Vertrag nicht gefunden werden kann. Arbeitet das Archivsystem korrekt, gibt es offenbar Fehlstellen.
Wie kann das passieren?
- Entweder wurde nicht bedacht, dass Aufbewahrungsvorgaben für die Kundenverträge existieren. Also hat vor fünf Jahren niemand den digitalen Kundenvertrag im Archivsystem gespeichert.
- Oder der Kundenvertrag wurde gelöscht – womöglich, um dem Datenschutz gerecht zu werden. Denn gemäß DSGVO gibt es doch für betroffene Personen (Kunden) ein Recht auf Löschung. Und für das Unternehmen somit eine Löschpflicht.
Löschen oder aufbewahren?
Manche Lücke im Unternehmensarchiv lässt sich auf einen missverstandenen Datenschutz zurückführen, wenn ein Dokument gelöscht wird, das eigentlich noch jahrelang hätte aufbewahrt werden sollen.
Obwohl es auf den ersten Blick nicht so aussehen mag – die Lösch- und Aufbewahrungs-/Archivierungspflichten stehen in keinem Widerspruch zueinander:
- Personenbezogene Daten müssen beispielsweise dann gelöscht werden, wenn sie für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr benötigt werden.
- Wenn die Daten aber noch aufbewahrt werden müssen, weil Aufbewahrungs- oder Archivierungspflichten existieren, und bestehen keine anderen Löschungsgründe (wie eine unerlaubte Verarbeitung der Daten), dann tritt die Löschpflicht erst in Kraft, wenn die Pflicht zur Aufbewahrung oder Archivierung verstrichen ist.
Es ist also immer erforderlich, die gesetzlichen und vertraglichen Aufbewahrungspflichten mit dem Datenschutz bzw. dem Archiv- und dem Datenschutzrecht abzugleichen.
Aufbewahren vs. Archivieren
Das Archivrecht als solches bezieht sich auf öffentliche Archive, die als Gedächtnis öffentlicher Einrichtungen fungieren. Die sogenannte „Verarbeitung für im öffentlichen Interesse liegende Archivzwecke“ gehört zu den Ausnahmen von der Löschverpflichtung gemäß Datenschutzgrundverordnung. Sie setzt spezielle Prüfungen voraus, wie eine Löschung, die eine betroffene Person wünscht, zu handhaben ist.
Wenn ein Unternehmen etwas archiviert, ist damit eine langfristige Aufbewahrung gemeint. Diese erfüllt vertragliche oder gesetzliche Vorgaben. Der Vorgang fällt nicht unter die Ausnahmen von der Löschverpflichtung. Denn es besteht fast nie ein öffentliches Interesse an einer Archivierung.
Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) meint Archivierung die „elektronische Langzeitspeicherung“. Rechtlich gesehen ist der Begriff „Archivierung“ in Deutschland durch die Archivgesetze von Bund und Ländern definiert. „Archivierung“ im juristisch korrekten Sinn umfasst ausschließlich Unterlagen der öffentlichen Verwaltung.
Ein Unternehmen sollte also nicht fälschlicherweise annehmen, dass sich das eigene Archiv einfach von den Datenschutz-Löschpflichten ausnehmen ließe.
Testen Sie Ihr Wissen: Wann wird gelöscht und wann wird aufbewahrt oder archiviert?
Frage: Dokumente, die im Unternehmensarchiv lagern, müssen nicht gelöscht werden. Richtig?
- Ja, denn Archive sind von der Löschpflicht im Datenschutz ausgenommen.
- Nein, denn Ausnahmen von der Löschpflicht gibt es nur für Archivzwecke, die im öffentlichen Interesse liegen.
Lösung: Die Antwort 2. stimmt. Ist im Unternehmen die Rede von einem digitalen Archiv, dann ist damit die langfristige Datenaufbewahrung gemeint. Diese wird den gesetzlichen und vertraglichen Aufbewahrungspflichten gerecht, zum Beispiel gemäß Steuerrecht und Handelsrecht. Öffentliche Archive unterliegen hingegen dem Archivrecht.
Frage: Wenn eine Person die Löschung wünscht, muss immer sofort gelöscht werden. Stimmt das?
- Nein, die Löschung muss nur dann sofort erfolgen, wenn es keine andere Rechtsgrundlage mehr für die weitere Speicherung gibt.
- Ja, mit dem Löschwunsch existiert keine Grundlage mehr, um die Daten aufzubewahren.
Lösung: Die Antwort 1. ist korrekt. Ist zum Beispiel ein gültiger Kundenvertrag vorliegend und sind zugehörige Rechnungen nach gesetzlichen Vorgaben noch aufzubewahren, ist dem Löschwunsch erst nach dem Ablauf der Aufbewahrungspflichten nachzukommen. Zu beachten gilt daher: Gemäß DSGVO sind personenbezogene Daten auf Wunsch von betroffenen Personen prinzipiell zu löschen. Müssen die Daten aber noch wegen aus rechtlichen Gründen, z. B. im Rahmen des Steuer- oder Handelsrechts, aufbewahrt werden, schiebt sich der Löschungswunsch auf bis zum Ablauf der Aufbewahrungspflichten. Erst danach müssen die Daten gelöscht werden.