Digitale Archivierung
Die Digitalisierung wirft einige Fragen zum Umgang mit (Kunden-)daten auf. Welche Daten sind in welcher Form aufzubewahren? Wann sind sie ordnungsgemäß zu vernichten? Der rechtssichere Umgang mit persönlichen Daten ist auch im Lichte der DSGVO eine besondere Herausforderung. Dazu gehören die Anforderungen an die Aufbewahrung, die digitale Speicherung und die Löschung der Kundendaten.
Unternehmen im digitalen Wandel
Ein wesentlicher Aspekt der Digitalisierung ist der Trend zu einer Abkehr von Daten in Papierform. Immer weniger Datenmaterial ist zwingend in analoger Form aufzubewahren, sodass Unternehmen dem papierlosen Büro näher kommen. Verbunden mit diesem Übergang ist eine Neuausrichtung im betriebswirtschaftlichen Denken.
Unternehmen haben im Zuge der Digitalisierung mehr Möglichkeiten, Kundendaten zu erlangen und zu speichern. Damit verbunden ist das Potential, exaktere Kundenprofile anzulegen. Dies hat beispielsweise im Marketing den Vorteil einer passgenauen Kundenansprache.
Die neuen Möglichkeiten werfen die Frage auf, welche Daten wie lange aufzubewahren sind und wann eine Vernichtung der Daten erforderlich wird.
Aufbewahrungspflichten und Löschfristen
Im Zusammenhang mit der DSGVO ist das Recht auf Löschung der Daten ein häufig diskutiertes Thema. In bestimmten Fällen ist die schriftliche Datenaufbewahrung innerhalb bestimmter Zeiträume rechtlich verpflichtend. Das Recht auf Löschung entfällt in diesen Fällen (Art. 17 Abs. 3b DSGVO).
Eine wichtige Aufbewahrungspflicht ergibt sich aus dem Steuer- und Handelsrecht. Eine Pflicht zur Speicherung der Daten besteht ebenso im Falle eventueller oder potentieller Rechtsstreitigkeiten. Hier gelten Aufbewahrungspflichten im Sinne eines Beweissicherungsinteresses (vergleiche Art. 17 Abs. 3 e) DSGVO , Art. 6 Abs. 1f DSGVO).
Ein solches existiert grundsätzlich so lange, wie mit einer Geltendmachung bestimmter Ansprüche zu rechnen ist. Damit ist grundsätzlich bis zur Verjährung der Ansprüche zu rechnen. Die reguläre Verjährungsfrist von 3 Jahren ergibt sich aus dem § 195 BGB (Bürgerliches Gesetzbuch). Handelt es sich um Schadenersatzansprüche hinsichtlich der Verletzung des Lebens, des Körpers, der Gesundheit oder der Freiheit, beträgt die Verjährungsfrist 30 Jahre dem Schaden auslösenden Ereignis.
Digitale Archivierung hinreichend?
Unternehmen ist es grundsätzlich möglich, alle anfallenden Daten digital zu speichern. Beim Speichern digitaler Dokumente setzen Firmen meist auf spezielle Dokumenten-Management-Systeme. Diese tragen dazu bei, Informationen übersichtlich elektronisch zu verwalten. In einigen Fällen sind jedoch Originale in Papierform erforderlich. Dazu gehören für Unternehmen etwa Jahresabschlüsse und Bilanzen. Ein weiteres Beispiel für die Vorschrift der Papierform sind Policen der Versicherer, aus denen sich konkrete Leistungsansprüche ergeben.
Aktenvernichtung (DSGVO-konform)
Die Löschung von Daten wird erforderlich, sobald die Aufbewahrung nicht mehr gesetzlich vorgesehen ist. Die Löschung betrifft sowohl digital als auch analog aufbewahrte Informationen. Besondere Bedeutung hat die Vernichtung der in Papierform vorliegenden Informationen. Hier liegen in Abhängigkeit der Vertraulichkeit der Daten verschiedene Schutzklassen und Sicherheitsstufen vor.
In keinem Falle ist eine Entsorgung im Papierkorb DSGVO-konform. Daher sollten Unternehmen auf hochwertige Aktenvernichter von Kaiserkraft setzen, die auch folgende nötige Schutzklassen erfüllen:
Die Norm DIN 66399 sieht 3 Schutzklassen vor, nach denen Daten im Hinblick auf Schutzbedarf einzuordnen sind. Die Schutzklasse 1 beschreibt einen regulären Schutzbedarf für interne Daten. Hierbei ist der Schutz personenbezogener Daten zu gewährleisten. Damit ist die Gefahr auszuschließen, dass Betroffene in ihrer Stellung oder den wirtschaftlichen Verhältnissen beeinträchtigt werden.
Die Schutzklasse 2 beschreibt bereits einen hohen Schutzbedarf für vertrauliche Daten. Bei Datenmissbrauch können Stellung oder wirtschaftliche Verhältnisse der Betroffenen erheblich beeinträchtigt werden.
Die Schutzklasse 3 ist für sensible und geheime Daten mit sehr hohem Schutzbedarf vorgesehen. Bei mangelndem Schutz dieser personenbezogenen Daten kann es zu Gefahr für Leib, Leben oder persönlicher Freiheit der Betroffenen kommen.
Neben den Schutzklassen gibt es Sicherheitsstufen, die von 1 bis 7 reichen. Die Sicherheitsstufen beziehen sich auf den Aufwand für die Reproduktion der Daten nach der Vernichtung. Nach einer Aktenvernichtung der Sicherheitsstufe 1 ist die Reproduktion ohne großen Aufwand möglich. Stufe 7 entspricht einer ausgeschlossenen Reproduktion. Streifenschnitt-Aktenvernichter erfüllen maximal Stufe 3. Papierschredder mit Partikelschnitt erfüllen höhere Sicherheitsansprüche.
Dokumente in Papierform und ihre Aufbewahrung
Auch in der Papierform sind Geheimhaltungspflichten zu berücksichtigen. Eine digitale Archivierung spart Papier und ist damit ein wichtiger Beitrag zur Nachhaltigkeit. Nur wenige Dokumente erfordern noch eine Aufbewahrung in analoger Originalform. Für vertrauliche Papierdokumente sind sicher abschließbare Datenschränke eine angemessene Aufbewahrungsform.
Auch die Räumlichkeiten der Aufbewahrung müssen bestimmte Anforderungen erfüllen, um die Wahrscheinlichkeit einer Vernichtung (etwa durch Feuer oder Wasser) zu minimieren.
Fazit
Für die meisten Daten ist eine digitale Archivierung unter Einhaltung bestimmter Fristen hinreichend. Andere Dokumente bedürfen der Papierform. Originale und Kopien sind nach Möglichkeit nicht am selben Aufbewahrungsort zu lagern.
Bei der Löschung physischer Dokumente ist eine DSGVO-konforme Zerstörung mittels Aktenvernichter hinreichender Sicherheitsstufe angezeigt.