Der Datenschutz in öffentlichen Archiven

Fachbeitrag

Ein Archiv kann als eine geordnete Sammlung von Schriftstücken, Dokumenten, Urkunden und Akten, in der Informationen langfristig aufbewahrt werden definiert werden. Archive gibt es in verschiedenen Formen, als Aktenlager im Keller oder Abstellraum sowie in Form einer Software. Wie es sich mit dem Datenschutz in öffentlichen Archiven verhält, werden wir im Folgenden etwas genauer untersuchen.

Unternehmensarchiv und öffentliches Archiv

Auf Unternehmensarchive ist Art. 25 DSGVO anwendbar. Aus Absatz 2 ergibt sich unter anderem die Pflicht, dass nur solche personenbezogenen Daten verarbeitet werden, deren Verarbeitung erforderlich ist. Nicht erforderliche Daten sind folglich zu löschen. Was erforderlich ist, ergibt sich aus den Verarbeitungszwecken sowie den gesetzlichen Aufbewahrungspflichten. Letztere können sich beispielsweise aus dem Handelsgesetzbuch (HGB) oder der Abgabenordnung (AO) ergeben.

Für Unternehmensarchive bedeutet das, dass diese regelmäßig durchgesehen werden müssen. Zudem ist zu prüfen, ob noch Daten im Archiv gespeichert sind, für die die gesetzliche Aufbewahrungsfrist bereits verstrichen ist. Diese Akten oder Dokumente sind zu löschen.

Hinsichtlich öffentlicher Archive enthält die DSGVO insoweit Ausnahmen. Woher sollten Historiker sonst noch wissen, wer das erste Auto hat bauen lassen? Die Aufbewahrungsfristen für die Aufträge sind doch schon längst abgelaufen.

Was galt vor der DSGVO?

Öffentliche Archive gab es bereits lange vor der DSGVO. Manche bestanden seit Jahrtausenden ohne ordentliche Rechtsgrundlage. Wegen des Grundrechts auf informationelle Selbstbestimmung wurden Archivgesetze notwendig, um die traditionellen Sammlungen rechtlich abzusichern. Diese wurden vom Bund und den Ländern erlassen.

Datenschutz in den Archivgesetzen

In den Archivgesetzen ist unter anderem geregelt, dass Behörden und öffentliche Einrichtungen Akten nicht sofort vernichten dürfen, wenn sie für ihre Zwecke nicht mehr erforderlich oder die gesetzlichen Aufbewahrungsfristen abgelaufen sind. Sie müssen diese zunächst dem zuständigen Archiv zur Aufbewahrung anbieten. Dieses entscheidet dann, welche Akten aufbewahrt werden und übernimmt die ausgewählten. Der Rest muss anschließend vernichtet werden.

Die ins öffentliche Archiv übernommenen Dokumente haben lange Schutzfristen. In dieser Zeit dürfen die Dokumente nicht eingesehen werden. Gemäß § 11 Abs. 1 des Bundesarchivgesetzes (BArchG) beträgt die allgemeine Schutzfrist für Archivgut des Bundes 30 Jahre ab Entstehung der Unterlage. Enthält das Dokument personenbezogene Daten darf das Dokument gemäß Absatz 2 nach Ablauf der 30 Jahre frühestens 10 Jahre nach dem Tod der betroffenen Person genutzt werden. Ist das Todesdatum nicht bekannt, endet die Frist, gemäß Absatz 3, 100 Jahre nach der Geburt des Betroffenen. Ist auch das Geburtsdatum nicht bekannt ist das Fristende, nach Absatz 4, 60 Jahre nach Entstehung der Unterlage.

Diese Schutzfristen können zwar gemäß § 12 BArchG verkürzt werden, aber nur, wenn die betroffene Person einwilligt oder Risiken für sie ausgeschlossen werden können.

Regelungen in der DSGVO und dem BDSG

Lockerung des Zweckbindungsgebots

Grundsätzlich dürfen personenbezogene Daten gemäß Art. 5 Abs. 1 lit. b DSGVO nur weiterverarbeitet werden, wenn der Zweck der Weiterverarbeitung mit dem ursprünglichen Zweck übereinstimmt.

Für die Weiterverarbeitung zu öffentlichen Archivzwecken wird eine entsprechende Übereinstimmung in Art. 5 Abs. 1 lit. b. HS. 2 DSGVO fingiert.

Dort heißt es:

„…eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken.“

Die Regelung in Art. 5 Abs. 1 lit. b HS. 2 DSGVO hat zur Folge, dass bei der Weiterverarbeitung von Daten, die ursprünglich für andere Zwecke erhoben worden waren, für die genannten Zwecke die Prüfung der Vereinbarkeit mit den ursprünglichen Zwecken entfällt; es handelt sich insoweit um eine Privilegierung der genannten Zwecke.

Archivzwecke sind jedoch nur privilegiert, wenn sie im öffentlichen Interesse liegen. Ausweislich Erwägungsgrund 158 S. 2 handelt es sich dabei im Wesentlichen um Informationen, die von bleibendem Wert für das allgemeine öffentliche Interesse sind.

Voraussetzung der Privilegierung ist außerdem, dass die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO erfolgt. Das heißt insbesondere, dass diese Weiterverarbeitungen den in Art. 89 Abs. 1 DSGVO angesprochenen geeigneten Vorkehrungen bzw. Garantien unterliegen müssen.

Garantien gemäß Art. 89 DSGVO

Absatz 1 verlangt geeignete Garantien, welche sicherstellen, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere der Grundsatz der Datenminimierung gewährleistet wird.

Hinsichtlich der Weiterverarbeitung enthält Absatz 1 Satz 4 eine etwas kryptische Formulierung.

Dort heißt es:

„In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt.“

Der Sache nach setzt damit Art. 89 DSGVO der Lockerung des Zweckbindungsgebots aus Art. 5 Abs. 1 lit. b DSGVO wieder Schranken. Zulässig ist die Weiterverarbeitung personenbezogener Daten zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken nur dann, wenn der Verantwortliche zuvor geprüft hat, ob diese privilegierten Zielsetzungen auch mit anonymisierten Daten erreicht werden können. Ist dies nicht möglich, greift die Vorgabe der geeigneten Garantien im Sinne des Absatzes 1 Satz 1 bis 3.

Weitere Ausnahmen

Weitere Ausnahmen finden sich über die gesamte DSGVO verstreut :

Öffnungsklauseln

Zudem sind in der DSGVO Öffnungsklauseln bezüglich öffentlicher Archivzwecke vorhanden:

  • Art. 9 Abs. 2 lit. j DSGVO nennt die Möglichkeit der Schaffung eines eigenen gesetzlichen Rechtsgrundes für die Speicherung von besonderen Kategorien personenbezogener Daten, wie Gesundheitsdaten oder religiöse oder weltanschauliche Überzeugung.
  • Art. 89 Abs. 3 DSGVO sieht vor, dass weitere Ausnahmen von den Betroffenenrechten für öffentliche Archivzwecke vorgesehen werden können.

Der deutsche Gesetzgeber hat im BDSG von den Öffnungsklauseln Gebrauch gemacht:

  • In § 28 Abs. 1 BDSG wird beschrieben, dass kritische Personendaten wie Gesundheit, religiöse oder weltanschauliche Überzeugung verarbeitet werden dürfen, wenn dies zu öffentlichen Archivzwecken erforderlich ist.
  • § 28 Abs. 2 BDSG legt fest, dass ein Recht auf Auskunft nur in definierten Fällen beim öffentlichen Archiv besteht.
  • § 28 Abs. 3 und 4 BDSG schränken die Betroffenenrechte auf Berichtigung, Datenübertragbarkeit und Widerspruch für öffentliche Archive ein.

Der Datenschutz ist gewahrt

Unsere Untersuchung hat gezeigt, dass der Datenschutz auch in öffentlichen Archiven gewahrt ist. Zwar sind überall in der DSGVO Ausnahmeregelungen zu finden, jedoch findet in diesem Zusammenhang stets Art. 89 Abs. 1 DSGVO Anwendung, welcher die Privilegierungen wiederum etwas einschränkt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.