Ein Archiv kann als eine geordnete Sammlung von Schriftstücken, Dokumenten, Urkunden und Akten, in der Informationen langfristig aufbewahrt werden definiert werden. Archive gibt es in verschiedenen Formen, als Aktenlager im Keller oder Abstellraum sowie in Form einer Software. Wie es sich mit dem Datenschutz in öffentlichen Archiven verhält, werden wir im Folgenden etwas genauer untersuchen.
Der Inhalt im Überblick
Unternehmensarchiv und öffentliches Archiv
Auf Unternehmensarchive ist Art. 25 DSGVO anwendbar. Aus Absatz 2 ergibt sich unter anderem die Pflicht, dass nur solche personenbezogenen Daten verarbeitet werden, deren Verarbeitung erforderlich ist. Nicht erforderliche Daten sind folglich zu löschen. Was erforderlich ist, ergibt sich aus den Verarbeitungszwecken sowie den gesetzlichen Aufbewahrungspflichten. Letztere können sich beispielsweise aus dem Handelsgesetzbuch (HGB) oder der Abgabenordnung (AO) ergeben.
Für Unternehmensarchive bedeutet das, dass diese regelmäßig durchgesehen werden müssen. Zudem ist zu prüfen, ob noch Daten im Archiv gespeichert sind, für die die gesetzliche Aufbewahrungsfrist bereits verstrichen ist. Diese Akten oder Dokumente sind zu löschen.
Hinsichtlich von Archiven mit im öffentlichen Interesse liegenden Archivzwecken enthält die DSGVO insoweit Ausnahmen. Woher sollten Historiker sonst noch wissen, wer das erste Auto hat bauen lassen? Die Aufbewahrungsfristen für die Aufträge sind doch schon längst abgelaufen.
Was galt vor der DSGVO?
Öffentliche Archive gab es bereits lange vor der DSGVO. Manche bestanden seit Jahrtausenden ohne ordentliche Rechtsgrundlage. Wegen des Grundrechts auf informationelle Selbstbestimmung wurden Archivgesetze notwendig, um die traditionellen Sammlungen rechtlich abzusichern. Diese wurden vom Bund und den Ländern erlassen.
Datenschutz in den Archivgesetzen
In den Archivgesetzen ist unter anderem geregelt, dass Behörden und öffentliche Einrichtungen Akten nicht sofort vernichten dürfen, wenn sie für ihre Zwecke nicht mehr erforderlich oder die gesetzlichen Aufbewahrungsfristen abgelaufen sind. Sie müssen diese zunächst dem zuständigen Archiv zur Aufbewahrung anbieten. Dieses entscheidet dann, welche Akten aufbewahrt werden und übernimmt die ausgewählten. Der Rest muss anschließend vernichtet werden.
Die ins öffentliche Archiv übernommenen Dokumente haben lange Schutzfristen. In dieser Zeit dürfen die Dokumente nicht eingesehen werden. Gemäß § 11 Abs. 1 des Bundesarchivgesetzes (BArchG) beträgt die allgemeine Schutzfrist für Archivgut des Bundes 30 Jahre ab Entstehung der Unterlage. Enthält das Dokument personenbezogene Daten darf das Dokument gemäß Absatz 2 nach Ablauf der 30 Jahre frühestens 10 Jahre nach dem Tod der betroffenen Person genutzt werden. Ist das Todesdatum nicht bekannt, endet die Frist, gemäß Absatz 3, 100 Jahre nach der Geburt des Betroffenen. Ist auch das Geburtsdatum nicht bekannt ist das Fristende, nach Absatz 4, 60 Jahre nach Entstehung der Unterlage.
Diese Schutzfristen können zwar gemäß § 12 BArchG verkürzt werden, aber nur, wenn die betroffene Person einwilligt oder Risiken für sie ausgeschlossen werden können.
Regelungen in der DSGVO und dem BDSG
Lockerung des Zweckbindungsgebots
Grundsätzlich dürfen personenbezogene Daten gemäß Art. 5 Abs. 1 lit. b DSGVO nur weiterverarbeitet werden, wenn der Zweck der Weiterverarbeitung mit dem ursprünglichen Zweck übereinstimmt.
Für die Weiterverarbeitung zu öffentlichen Archivzwecken wird eine entsprechende Übereinstimmung in Art. 5 Abs. 1 lit. b. HS. 2 DSGVO fingiert.
Dort heißt es:
„…eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken.“
Die Regelung in Art. 5 Abs. 1 lit. b HS. 2 DSGVO hat zur Folge, dass bei der Weiterverarbeitung von Daten, die ursprünglich für andere Zwecke erhoben worden waren, für die genannten Zwecke die Prüfung der Vereinbarkeit mit den ursprünglichen Zwecken entfällt; es handelt sich insoweit um eine Privilegierung der genannten Zwecke.
Archivzwecke sind jedoch nur privilegiert, wenn sie im öffentlichen Interesse liegen. Ausweislich Erwägungsgrund 158 S. 2 handelt es sich dabei im Wesentlichen um Informationen, die von bleibendem Wert für das allgemeine öffentliche Interesse sind.
Voraussetzung der Privilegierung ist außerdem, dass die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO erfolgt. Das heißt insbesondere, dass diese Weiterverarbeitungen den in Art. 89 Abs. 1 DSGVO angesprochenen geeigneten Vorkehrungen bzw. Garantien unterliegen müssen.
Garantien gemäß Art. 89 DSGVO
Absatz 1 verlangt geeignete Garantien, welche sicherstellen, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere der Grundsatz der Datenminimierung gewährleistet wird.
Hinsichtlich der Weiterverarbeitung enthält Absatz 1 Satz 4 eine etwas kryptische Formulierung.
Dort heißt es:
„In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt.“
Der Sache nach setzt damit Art. 89 DSGVO der Lockerung des Zweckbindungsgebots aus Art. 5 Abs. 1 lit. b DSGVO wieder Schranken. Zulässig ist die Weiterverarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken nur dann, wenn der Verantwortliche zuvor geprüft hat, ob diese privilegierten Zielsetzungen auch mit anonymisierten Daten erreicht werden können. Ist dies nicht möglich, greift die Vorgabe der geeigneten Garantien im Sinne des Absatzes 1 Satz 1 bis 3.
Weitere Ausnahmen
Weitere Ausnahmen finden sich über die gesamte DSGVO verstreut :
- Art. 5 Abs. 1 lit. e DSGVO enthält spezielle Regelungen hinsichtlich der Speicherfristen.
- Art. 14 Abs. 5 lit. b DSGVO enthält eine Ausnahmeregelung hinsichtlich der Pflicht zur Erteilung von Informationen an Betroffene.
- Art. 17 Abs. 3 lit. d DSGVO normiert Abweichungen hinsichtlich dem Löschungsanspruch der Betroffenen.
Öffnungsklauseln
Zudem sind in der DSGVO Öffnungsklauseln bezüglich öffentlicher Archivzwecke vorhanden:
- Art. 9 Abs. 2 lit. j DSGVO nennt die Möglichkeit der Schaffung eines eigenen gesetzlichen Rechtsgrundes für die Speicherung von besonderen Kategorien personenbezogener Daten, wie Gesundheitsdaten oder religiöse oder weltanschauliche Überzeugung.
- Art. 89 Abs. 3 DSGVO sieht vor, dass weitere Ausnahmen von den Betroffenenrechten für öffentliche Archivzwecke vorgesehen werden können.
Der deutsche Gesetzgeber hat im BDSG von den Öffnungsklauseln Gebrauch gemacht:
- In § 28 Abs. 1 BDSG wird beschrieben, dass kritische Personendaten wie Gesundheit, religiöse oder weltanschauliche Überzeugung verarbeitet werden dürfen, wenn dies zu öffentlichen Archivzwecken erforderlich ist.
- § 28 Abs. 2 BDSG legt fest, dass ein Recht auf Auskunft nur in definierten Fällen beim öffentlichen Archiv besteht.
- § 28 Abs. 3 und 4 BDSG schränken die Betroffenenrechte auf Berichtigung, Datenübertragbarkeit und Widerspruch für öffentliche Archive ein.
Der Datenschutz ist gewahrt
Unsere Untersuchung hat gezeigt, dass der Datenschutz auch in öffentlichen Archiven gewahrt ist. Zwar sind überall in der DSGVO Ausnahmeregelungen zu finden, jedoch findet in diesem Zusammenhang stets Art. 89 Abs. 1 DSGVO Anwendung, welcher die Privilegierungen wiederum etwas einschränkt.
„Für Unternehmensarchive bedeutet das, dass diese regelmäßig durchgesehen werden müssen. Zudem ist zu prüfen, ob noch Daten im Archiv gespeichert sind, für die die gesetzliche Aufbewahrungsfrist bereits verstrichen ist. Diese Akten oder Dokumente sind zu löschen.
Hinsichtlich öffentlicher Archive enthält die DSGVO insoweit Ausnahmen. Woher sollten Historiker sonst noch wissen, wer das erste Auto hat bauen lassen? Die Aufbewahrungsfristen für die Aufträge sind doch schon längst abgelaufen.“
Bei diesen beiden Absätzen muss ich Ihnen vehement widersprechen. Auch Unternehmensarchive übernehmen nur diejenigen Dokumente, für die die Aufbewahrungsfristen bereits abgelaufen sind. – Andernfalls ist hier lediglich von einer Registratur die Rede! In der DSGVO ist auch nicht nur der Archivzweck für öffentliche Archive geregelt. Der Wortlaut in Art. 89 I S. 1 DSGVO lautet „im öffentlichen Interesse liegenden Archivzwecken (…)“ – ein öffentliches Interesse kann auch an der Historie eines Unternehmens bestehen, siehe z.B. die von Ihnen genannten Baupläne von Autos. Wir sprechen hier von Automarken wie beispielsweise VW, Porsche, BMW usw. Keines dieser Unternehmen ist abgabepflichtig an ein öffentliches Archiv. Nicht einmal das Bundesarchiv würde diese Unterlagen in seine Bestände aufnehmen. Vielmehr unterhalten diese Unternehmen eigene Archive. Hierbei orientieren sich die Unternehmen oft an gängigen Archivgesetzen, grds. gibt es jedoch für Unternehmensarchive keine Archivgesetze. Dennoch besteht ohne Zweifel ein öffentliches Interesse an den Dokumenten und der damit verbundenen Unternehmenshistorie, die dann dem Wortlaut nach wohl unter den Ausnahmetatbestand des Art. 89 I DSGVO fallen.
Sobald die Dokumente also aus der aktenbildenden Stelle in das Archiv übernommen wurden, gilt hier das gleiche wie in öffentlichen Archiven – die Dokumente sind ab Archivwürdigkeit unveränderlich! D.h. es darf also auch nichts mehr gelöscht werden.
Die Archivierung von Dokumenten gilt auch als Löschsurrogat. Sobald ein Dokument archiviert ist, steht es der aktenbildenden Stelle nicht mehr zur freien Verfügung. Es kann auch nur nach vorheriger Prüfung durch den Archivar zur Benutzung freigegeben werden. Hier wird der Archivar ganz genau schauen, ob pbD vorhanden sind und diese vor der Benutzung dann ggf. anonymisieren, indem z.B. nur eine geschwärzte Kopie an den Benutzer herausgegeben wird.
Wie Sie dann im folgenden Text für die öffentlichen Archive richtig beschrieben haben, gelten aber auch in Unternehmensarchiven Schutzfirsten, da oft eine Orientierung an den Archivgesetzen gegeben ist.
Vielen Dank für den Hinweis. Wir haben den Blogartikel insofern angepasst, dass nun deutlich wird, dass auch nicht-öffentliche Archive mit im öffentlichen Interesse liegenden Archivzwecken davon umfasst sind.