DSGVO: Paradigmenwechsel auch bei der Archivierung

08 .03 .2019

DSGVO und Archivierung

„Revisionssicher“, „unveränderbar“, „Langzeitdatenaufbewahrung“ – das waren bis vor wenigen Monaten die Schlagworte, mit denen elektronische Archivsysteme beworben wurden. Die Erwartung an eine gute Archivlösung war, dass sie Daten unauslöschlich und für die Ewigkeit speichert.

Und dann wurde die Datenschutzgrundverordnung (DSGVO) wirksam und hat alles auf den Kopf gestellt. Diese kam zwar nicht aus heiterem Himmel – aber ihre ganze Tragweite ist vielen IT-Verantwortlichen erst mit ihrem Inkrafttreten bewusst geworden.

Die ersten Anwendungsbereiche, in denen der Einfluss der DSGVO diskutiert wurde, waren beispielsweise das E-Mail- und Online-Marketing, Social Media und Cloud-Angebote. Danach rückten Themen wie Datenschutzbeauftragte in Unternehmen, Verarbeitungsverzeichnisse und Auftragsdatenverarbeitung in den Fokus. Die Erkenntnis, dass die DSGVO nicht nur Marketing oder IT betrifft, sondern de facto alle Geschäftsprozesse und Unternehmensbereiche, setzte sich erst allmählich durch. Dafür möchte ich einige Beispiele liefern.

Mitarbeiter/Innen sind auch Personen

Die Datenschutzgrundverordnung bezieht sich nur auf natürliche Personen, nicht auf Unternehmen. Das heißt aber nicht, dass unternehmensintern oder im B2B-Geschäft die DSGVO nicht gelten würde. Mitarbeiter/Innen von Unternehmen sind Personen, auch wenn sie in der Rolle des Beschäftigten agieren. Das heißt, alle Dokumente und Daten, in denen Informationen zu einem/r Mitarbeiter/in vorkommen, sind personenbezogen. Dies gilt sowohl für die Beschäftigten Ihres eigenen Unternehmens als auch für die Mitarbeiter/Innen Ihrer Geschäftspartner, wie Kunden oder Lieferanten.

Was heißt „identifizierbar“?

Die DSGVO gilt für „personenbezogene Daten“ und definiert diese in den Begriffsbestimmungen als

"alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann" Quelle: Amtsblatt der Europäischen Union

Das lässt einerseits natürlich etwas Spielraum. Mit Einsatz, Kreativität und einer guten Spürnase sind sicher mehr Personen identifizierbar als ohne. Andererseits erweitert „identifizierbar“ den Radius dramatisch gegenüber „identifiziert“: eine E-Mail-Adresse, eine Telefondurchwahl, ein Benutzername, ein Kürzel – die Liste der personenbezogenen Daten wird lang.

Daten, die nicht personenbezogen sind – gibt es das bei Geschäftsprozessen überhaupt?

Ich habe lange darüber nachgedacht – und kein Beispiel dafür gefunden. Auf einer Rechnung stehen zum Beispiel die Kontaktdaten des Lieferanten und des Empfängers, beide inklusive Ansprechpartner/in. Wenn die Rechnung in einem ERP-System verarbeitet wird, werden alle Arbeitsschritte revisionssicher protokolliert – inklusive der Bearbeiter/in. Spätestens über die Metadaten lässt sich alles transparent nachvollziehen. Auch bei einem eigentlich recht unpersönlichen Geschäftsprozess wie der Rechnungsverarbeitung sind also bereits mehrere identifizierbare Personen involviert – und die DSGVO greift somit.

Und was hat die DSGVO jetzt mit Archivierung zu tun?

Bei der Archivierung geht es in der Regel um Geschäftsdokumente, zum Beispiel Rechnungen. De facto enthalten alle Geschäftsdokumente bereits personenbezogene Daten. Die elektronische Verarbeitung und Archivierung erzeugt in der Regel noch weitere personenbezogene Daten – auch hier greift die DSGVO.

Spannend wird es, wenn wir andere Anforderungen der DSGVO miteinbeziehen, und zwar die Grundsätze wie Zweckbindung, Datenminimierung und Speicherbegrenzung. Stark vereinfacht sagen diese, dass personenbezogen Daten nur genutzt oder gespeichert werden dürfen, wenn es dafür einen (rechtlichen) Grund gibt. Wenn es keinen Grund gibt, müssen personenbezogene Daten gelöscht werden – und zwar unaufgefordert.

An dieser Stelle kommt es zum Paradigmenwechsel: Vorher war das Ziel der Archivierung eine zeitlich unbegrenzte, unveränderbare Aufbewahrung von Daten und Dokumenten. Angesichts der DSGVO sind die wichtigsten Anforderungen, die eine Archivlösung erfüllen muss, Transparenz und Nachvollziehbarkeit, Recherche- und Filteroptionen und die Möglichkeit, Daten und Dokumente (automatisch) zu löschen.

Weiterführende Informationen: Laden Sie hier unsere Checkliste herunter mit den 10 wichtigsten Funktionen, die eine Archivlösung haben sollte, mit der auch personenbezogene Daten aufbewahrt werden.

Themen:  DSGVO | Archivierung

Dina Haack

Von Dina Haack

Produktmarketing Managerin bei der WMD Group - Dina Haack ist seit rund 10 Jahren in der B2B-Softwarebranche zu Hause. Bei WMD in Ahrensburg verantwortet sie das Produktmarketing. Themenschwerpunkte: SAP-integrierte Rechnungsverarbeitung, elektronische Rechnungen und XRechnung