Zur Navigation springen Zum Inhalt springen Zum Footer springen

Archivierung von Daten - DSGVO (Datenschutz)

  • 3 Minuten Lesezeit
  • (2)

Das DSGVO-konforme Archiv

Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) anzuwenden. Für Unternehmen hat dies weitreichende Folgen. So müssen sie unter anderem auch die DSGVO-Konformität ihrer Archivdaten sicherstellen, um Strafen zu vermeiden. Dies kann sich unter Umständen als besonders schwierig gestalten, da die Archivdaten häufig vor dem Löschen geschützt sind. Um die DSGVO hinsichtlich der Archivdaten umzusetzen und das Archiv DSGVO-konform zu gestalten, empfiehlt sich ein Verfahren in drei Schritten.

1. Schritt: Klassifizierung von Daten

Zunächst muss der gesamte Bestand an Daten analysiert und identifiziert werden. Die DSGVO ist nur auf personenbezogene Daten anwendbar (Art. 2 I DSGVO). Es muss daher zwischen personenbezogenen Daten und sonstigen Daten unterschieden werden. Die personenbezogenen Daten sind in Art. 4 Nr. 1 DSGVO definiert; in Art. 9 I DSGVO sind die besonderen Kategorien der personenbezogenen Daten aufgelistet. Eine Differenzierung ist wichtig, da die Verarbeitung von Daten i.S.d. Art. 9 I DSGVO untersagt ist (ergänzende Regeln und Ausnahmen bestimmen Art. 9 II-IV DSGVO und § 22 BDSG) Es gibt mittlerweile zahlreiche Anbieter von Softwares, die gewährleisten, dass die Anforderungen der DSGVO erfüllt sind.

2. Schritt: Identifizierung und Markierung von personenbezogenen Daten

Im Rahmen der Datenanalyse ist es von besonderer Bedeutung, die privaten, personen-bezogenen Daten zu erkennen und zu markieren. Auch die Erkennung und Markierung ist mit den entsprechenden technischen Softwares vollautomatisch möglich.

3. Schritt: Prüfung der Speicherfrist

Da personenbezogene Daten nur für eine bestimmte Zeit gespeichert werden dürfen, werden in diesem Schritt die Speicherfristen überprüft. Wie lange genau die Daten gespeichert werden dürfen ist dabei abhängig von rechtlichen Vorgaben und Aufbewahrungsfristen. Für personenbezogene Daten sind dabei insbesondere Art. 5 (Grundsatz der Speicherbegrenzung und Datenminimierung) und Art. 17 I DSGVO von Bedeutung. Durch eine Definition der Speicherzeit, also der Zeit, die Daten maximal bereitgehalten bzw. gespeichert werden dürfen, kann gewährleistet werden, dass eine rechtzeitige, mit der DSGVO konforme Löschung der entsprechenden Daten erfolgt. Ist die jeweilige Speicherfrist erreicht, kann eine (automatische) Löschung der entsprechenden Daten vorgenommen werden. Zusammengefasst bedeutet dies, dass der Unternehmer im Rahmen der Speicherung und Archivierung von personenbezogenen Daten durch die Erstellung von Löschroutinen und der Einhaltung von Löschfristen mittels spezieller Softwares die Anforderungen der DSGVO hinsichtlich des Grundsatzes der Speicherbegrenzung und Datenminimierung und des Rechts auf Vergessenwerden erfüllt.

Im Rahmen der DSGVO-konformen Verarbeitung von personenbezogenen Daten sind jedoch noch weitere Aspekte zu berücksichtigen. Besondere Bedeutung haben dabei die folgenden Artikel der DSGVO:

1. Art. 5 DSGVO „Grundsätze für die Verarbeitung personenbezogener Daten“

Art.5 DSGVO beschreibt die Grundsätze, die bei jeder Verarbeitung personenbezogener Daten beachtet werden müssen. Eine Umsetzung dieser Grundsätze ist notwendig, um das Archiv DSGVO-konform zu gestalten.

2. Art. 17 DSGVO: Recht auf Löschung („Recht auf Vergessenwerden“)

Nach Art. 17 I hat die betroffene Person das Recht auf Löschung ihrer Daten. Daten können mittels einer physikalischen Lösung gelöscht werden. Dabei werden die Daten durch ordnungsgemäße Vernichtung des Datenträgers oder durch (mehrfaches) Überschreiben gelöscht. Als technische Lösung empfiehlt sich der Einsatz spezieller Löschsoftware. Der Verantwortliche muss die zur Löschung erforderlichen Maßnahmen unverzüglich (ohne schuldhaftes Zögern) durchführen.

Verantwortliche sind auch ohne Antrag der betroffenen Person dazu verpflichtet, solche personenbezogenen Daten unverzüglich zu löschen, die hinsichtlich des Zwecks ihrer Verarbeitung nicht mehr erforderlich sind, Art. 5 I lit. c,d,e.

3. Art. 24 DSGVO

Verantwortlicher i.S.d Art. 4 Nr. 7 Hs. 1 DSGVO ist, wer alleine oder mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Verantwortliche sind also für die Verarbeitung verantwortlich. Diesen Verantwortlichen werden einige Pflichten auferlegt, die sie zu erfüllen haben, damit ein Archiv DSGVO-konform ist. Art. 24 I, II ist die zentrale Vorschrift zur Pflichtenstellung des Verantwortlichen. Der Verantwortliche muss seine am Risiko der Verarbeitung orientierten Maßnahmen so wählen, umsetzen und dokumentieren sowie auf Wirksamkeit überprüfen, dass er sie jederzeit umfassend und zeitnah darlegen kann (etwa im Rahmen einer Datenschutzprüfung). Der Verantwortliche muss zur Feststellung der notwendigen Maßnahmen zur Anpassung an die DSGVO eine umfassende Bestandsaufnahme der einzelnen Verarbeitungstätigkeiten und bereits vorhandenen Maßnahmen durchführen. Um geeignete Maßnahmen hinsichtlich einer DSGVO-konformen Datenspeicherung zu ergreifen, muss der Verantwortliche eine sog. Risikobeurteilung vornehmen. Häufig wird diese auf Grundlage des Verarbeitungsverzeichnisses nach Art. 30 vorgenommen Im Rahmen der Risikobeurteilung wird ermittelt, ob die Verarbeitung der Daten für die betroffene Person ein Risiko darstellt. Ist dies der Fall, muss der Verantwortliche eine Datenschutz-Folgeabschätzung gemäß Art. 35 durchführen, um anschließend seiner Pflicht aus Art. 24 I nachkommen zu können.

Um die Verordnung umzusetzen und seiner Rechenschaftspflicht nachzukommen, muss der Verantwortliche „geeignete technische und organisatorische Maßnahmen“ treffen, um die DSGVO umzusetzen. Die Maßnahmen müssen geeignet sein, die Einhaltung der DSGVO sicherzustellen, Voraussetzung dafür ist eine wirksame Begrenzung der Risiken.

4. Art. 25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“

Adressat von Art. 25 DSGVO ist der Verantwortliche. Um die Anforderungen der DSGVO wirksam umzusetzen, muss der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen. Bereits vor der Verarbeitung als auch während der Verarbeitung sind solche geeigneten Maßnahmen zu treffen. Ziel ist die Verarbeitung personenbezogener Daten mit „eingebautem Datenschutz“. Dies wird durch die Festlegung von internen Strategien („internal policies“) gewährleistet. Geeignete Maßnahmen sind unter anderem die Minimierung der Verarbeitung personenbezogener Daten, frühestmögliche Pseudomisierung, Herstellung von Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten, Bereitstellung einer Möglichkeit zum Überwachen der Verarbeitung personenbezogener Daten durch die betroffene Person sowie die Unterstützung der Verantwortlichen im Hinblick auf Schaffen und Verbessern von Sicherheitsfunktionen. Von vornherein, also von der Erhebung bis hin zur Löschung der personenbezogenen Daten, ist der Datenschutz in die Verarbeitung zu implementieren.

5. Art. 32 DSGVO Sicherheit der Verarbeitung

In Art. 32 sind die Anforderungen normiert, die an die Sicherheit der Verarbeitung zu stellen sind. Die Gewährleistung der Sicherheit der personenbezogenen Daten und ihrer Verarbeitung ist eine notwendige Bedingung für die Erfüllung der datenschutzrechtlichen Anforderungen. Für den Schutz der Daten sind technische und organisatorische Maßnahmen zu treffen, die sich an dem Stand der Technik orientieren. Um geeignete Maßnahmen zu treffen, ist zunächst zu ermitteln, in welchem Umfang, auf welche Art, unter welchen Umständen und zu welchem Zweck die Daten verarbeitet werden. Abhängig von dem sich daraus ergebenden Risiko für die Betroffenen sind die entsprechenden Sicherheitsmaßnahmen zu treffen. Art. 30 I lit. a-d zählt beispielhafte Sicherheitsmaßnahmen auf.


Rechtstipp aus dem Rechtsgebiet Datenschutzrecht

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Ihre Spezialisten

Rechtstipps-Newsletter abonnieren

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.

Newsletter jederzeit wieder abbestellbar.