Datenschutz verstehen – Papierakten datenschutzkonform archivieren
Die Archivierung von Unterlagen in Papierform stellt viele Unternehmen vor große Probleme. Zum einen muss genügend Platz für die Unterlagen geschaffen werden, um diese im Rahmen der gesetzlich erlaubten Frist aufbewahren zu dürfen. Zum anderen muss die Archivierung von Dokumenten in Papierform, die personenbezogene Daten enthalten, datenschutzkonform erfolgen. Die europäische Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) müssen in diesem Zusammenhang eingehalten werden. In unserem Blogbeitrag erfahren Sie, welche grundlegenden Aspekte im Rahmen der Aufbewahrung und Archivierung von personenbezogenen Daten in Papierform beachtet werden müssen.
Wie muss ein Archiv geschützt sein?
Schutz von Archivräumlichkeiten vor Gefahren und Risiken ist sehr wichtig. Personenbezogene Daten, insbesondere in Papierform, müssen während der Archivierung vor gewissen Gefahren effektiv geschützt werden. Das ergibt sich jedenfalls aus Art. 32 Abs. 1 lit. b) 4. Var. DSGVO. Insbesondere dann, wenn Kellerräumlichkeiten als Archivräume für die Aufbewahrung von personenbezogenen Daten verwendet werden, können gewisse Risiken herrschen, die rechtzeitig erkannt und korrigiert werden müssen. Der Vernichtung von personenbezogenen Daten durch Hochwasser, Brände oder anderen Gefahrenquellen muss durch geeignete Maßnahmen, sei es durch die Auswahl der Räumlichkeit selbst, durch Maßnahmen in und um die Räumlichkeit, entgegengewirkt werden.
Kategorisierung und Trennung von unterschiedlichen Daten
Personenbezogene Daten aus unterschiedlichen Abteilungen müssen ferner getrennt voneinander aufbewahrt werden, damit Personen aus anderen Abteilungen während eines Aufenthalts in den Archivräumlichkeiten keinen unbefugten Zugang zu personenbezogenen Daten fremder Abteilungen haben. Dies gilt insbesondere für Personalunterlagen. Diese müssen besonders vor dem Zugriff von Personen, die keine Einsicht in diese Unterlagen erhalten dürfen, geschützt werden. Personalunterlagen sollten daher nicht in der gleichen Archivräumlichkeit wie z.B. Unterlagen von kaufmännischen Abteilungen wie der Finanzbuchhaltung, aufbewahrt werden. Verantwortliche müssen daher sicherstellen, dass Archivräumlichkeiten und Zutritte bzw. Zugänge zu diesen Räumlichkeiten derart gestaltet sind, dass nur befugte Personen die jeweiligen personenbezogene Daten einsehen können. Darüber hinaus sollten die Räumlichkeiten stets verschlossen sein. Lediglich restriktiv ausgewählte und befugte Personen sollten einen Zugang zu den jeweiligen Archiven haben.
Beachtung der gesetzlichen Aufbewahrungsfrist
Verantwortliche müssen außerdem regelmäßig prüfen bzw. von ihren Mitarbeitern prüfen lassen, ob personenbezogene Daten aus den Archivräumlichkeiten entfernt und endgültig vernichtet werden müssen, da die Frist für die maximale gesetzliche Aufbewahrungsdauer erreicht worden ist. Hier sollten regelmäßige Kontrollen und Prüfungen durch die jeweiligen Abteilungen erfolgen. Mindestens einmal im Jahr sollten die Archivräumlichkeiten dahingehend untersucht werden, ob personenbezogene Daten aufgrund der geltenden maximalen Aufbewahrungsfristen vernichtet werden müssen. Zu beachten sind in diesem Zusammenhang die jeweiligen unternehmenseigenen Löschkonzepte.
Folgen unzureichender Archivierung von personenbezogenen Daten
Falls die gesetzlichen Vorgaben der DSGVO bezüglich der datenschutzkonformen Archivierung von personenbezogenen Daten nicht berücksichtigt werden, drohen Bußgelder in Höhe von bis zu 10 bzw. 20 Mio. Euro oder von bis 2 bzw. 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO. Darüber hinaus können weitere Schäden, materieller sowie immaterieller Art, durch den Zugang von unbefugten Personen bzw. die Weitergabe der betroffenen Daten durch unbefugte Personen entstehen.
Der Datenschutzbeauftragte ist der richtige Ansprechpartner für Verantwortliche, um ein datenschutzkonformes Archivierungskonzept für personenbezogene Daten zu entwickeln. Auf diese Weise werden personenbezogene Daten in Papierform vor Gefahren und Risiken durch Unwetter oder Missbrauch durch unbefugte Personen geschützt.
Herr Sebastian Feldmann ist als Datenschutzbeauftragter und Datenschutzauditor (zert. DSB & Auditor beim TÜV®), sowie als Consultant für Datenschutz bei der Keyed GmbH tätig. Als externer DSB, Auditor und Consultant für Datenschutz unterstützt er europaweit Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. In seiner ständigen Betreuung stehen Konzerne, kleine und mittelgroße Unternehmen, sowie Start-ups. Herr Feldmann zeichnet sich als Wirtschaftsjurist sowohl durch seine ökonomische als auch juristische Expertise im Datenschutzrecht aus.
„Um die Anforderungen von DSGVO, BDSG und weitere Rechtsvorschriften für unsere Kunden bestmöglich umzusetzen, ist eine stetige Fortbildung und ein ständiger Austausch mit den Landesdatenschutzbehörden – so wie wir es praktizieren – enorm wichtig.“
