Archive – organisierte Aufbewahrung oder schwarze Löcher?

Wie lange Daten aufbewahren?

Personenbezogene Daten müssen verfügbar sein. So will es Artikel 32 der Datenschutz-Grundverordnung. Verfügbarkeit zählt zu den technischen und organisatorischen Maßnahmen und ist beim Umgang mit personenbezogenen Daten zu erfüllen. Hinzu kommt: Der Verantwortliche ist verpflichtet, im Fall einer Inzidenz, sprich: eines IT-Zwischenfalls die Verfügbarkeit personenbezogener Daten rasch wiederherstellen zu können.

Demzufolge gibt es Archive. Zum einen gibt es Archive für elektronische Datenträger, zum anderen für Papier sowie Datenträger wie Mikrofilm. Sie haben eines gemeinsam: Daten sind so lange aufzubewahren, wie sie erforderlich sind. Ausnahme: Der Gesetzgeber bestimmt, dass die Daten länger aufzubewahren sind. Dann gilt die gesetzlich geregelte Aufbewahrungsfrist als Maßstab.

Ordnung im Archiv

Unerlässlich ist, dass jemand weiß, wo sich was befindet. Wo im elektronischen Datenträgerarchiv liegt dieser Festplatte, wo im physischen Archiv jener Aktenordner oder Papierstapel? Mit anderen Worten: Es braucht ein Ordnungssystem. Dieses Ordnungssystem muss berücksichtigen, dass die Daten, die entweder im elektronischen Datenträgerarchiv oder im Archivraum für Aktenordner liegen, unterschiedlich schützenswert sind. Es muss gewährleisten, dass beschäftigte Personen im Archiv nur Zugang zu Daten erhalten, auf sie die auch im Bürobetrieb Zugriff haben. Um es anders auszudrücken: Wenn alle Beschäftigten alle archivierten Personalunterlagen einsehen können, ist etwas schiefgegangen.

Besucht man Archivräume in der Praxis, stellt man immer wieder fest, dass von einer durchgängigen Ordnungsstruktur, die Herausforderungen wie diese meistert, oftmals keine Rede sein kann. Mitunter ist man versucht, hier von einem schwarzen Loch zu sprechen. Das Archiv zieht alle Unterlagen magisch an, die verschwinden und niemand weiß mehr, wo sie sind.

Archive und ihre Risiken

Archivierte Unterlagen müssen im Zweifelsfall kurzfristig vorgelegt werden können. Normalerweise finden sie sich in Archiven, in als Archiv genutzten Schränken oder in abschließbaren Kisten, wo man sie für die Betriebsprüfung bereithält. Aber es gibt weitere Fälle, in denen Unterlagen aus dem Archiv benötigt werden. Müssen Akten vorgelegt werden und sind dann nicht auffindbar, können sie nicht zur Be- oder Entlastung dienen. Manchmal kommt es zu Behauptungen, im Unternehmen seien bestimmte Vorgänge falsch ausgeführt worden. Wenn hier nicht aussagekräftige Unterlagen vorhanden sind, haben die Verantwortlichen schlechte Karten, die Anschuldigungen zu entkräften. Je nach Fall und Wichtigkeit betroffener Unterlagen kann es einen mittelschweren bis schweren Schaden bedeuten, wenn sie nicht mehr auffindbar sind. Ein guter Grund für Unternehmen, Archive sauber zu strukturieren und den Zugriff klar zu regeln.

Archive und Datenschutz

Zu den technischen und organisatorischen Maßnahmen gehört, dass die Verfügbarkeit von Daten sichergestellt wird. Im Falle eines Zwischenfalls muss außerdem eine rasche Wiederherstellung der Datenverarbeitung möglich sein. Ist das nicht gegeben, drohen Bußgelder. Auch der umgekehrte Fall, dass bei einer fehlenden oder schlechten Organisation von Archiven personenbezogene Daten zu lange aufbewahrt werden, kommt häufig vor. Auch dann liegt potenziell ein Datenschutzverstoß vor. Datenschutzbeauftragte müssen die genaue Situation kennen, damit sie ihre Überwachungsaufgabe gemäß Artikel 39 der DSGVO erfüllen können.

Unsere Tipps fürs Unternehmens­archiv

Für Unternehmen und Betriebe empfehlen sich folgende Maßnahmen:

• überprüfen, in welchen Räumlichkeiten oder Schränken Unterlagen oder Datenträger archiviert werden
• eine Zusammenstellung vornehmen, welche Unterlagen oder Datenträger wo archiviert sind
• vorhandene Archivräume, Schränke und andere Aufbewahrungsorte für Archivunterlagen systematisch und strukturiert überprüfen: Welche Akten liegen dort, dürfen die Akten alle vorhanden sein, wann steht ihre Vernichtung an?
• vorhandene Datenträgerarchive für elektronische Datensicherungsmedien systematisch und strukturiert überprüfen, ob nachvollziehbar ist, welche Daten sich auf welchem Datensicherungsmedium befinden. Auch hiervon eine umfassende Zusammenstellung anfertigen
• überprüfen, nach welchen Ordnungskriterien sowohl Papierunterlagen als auch elektronische Datenträger aufgezeichnet sind
• überprüfen, wer in den Archivräumen wo Zutritt hat
• überprüfen, wer in den elektronischen Datenträgerarchiven auf welche Datenträger Zugriff hat
• eine Archivordnung anfertigen und umsetzen
• die Maßnahmen dokumentieren und regelmäßig prüfen, ob diese wirksam sind

Und die Kernfrage: Kann umfassend nachvollzogen werden, welche Unterlagen oder elektronischen Datenträger wo und unter wessen Verantwortung archiviert sind?

Wir wünschen gelungene Datenarchivierung!

Möchten Sie mehr erfahren? Gleich anmelden für unser Webinar zum Thema Datenarchivierung!