Signal

Archivierung von Geschäftsunterlagen

14 Aug 20

Mit Blick auf die Coronakrise ist wieder bewusst geworden, wie ein digitales Dokumenten-Management- und Archivsystem die Arbeit im Homeoffice nicht nur erleichtern, sondern in vielen Fällen sogar erst ermöglichen kann.

Geschäftliche Unterlagen enthalten in aller Regel auch personenbezogene Daten. Die datenschutzrechtlichen Vorgaben der DSGVO zur Speicherung bzw. zur Löschung solcher Daten sind dabei zu beachten. Wie lange darf ich diese Daten überhaupt speichern und wann muss ich sie löschen?

Zunächst kommt es auf den ursprünglichen Zweck an. Erst wenn ein Vertrag abgewickelt, die Rechnung bearbeitet ist usw., ist der eigentliche Zweck der Datenverarbeitung erreicht. Darüber hinaus ist eine Speicherung nur erlaubt, sofern hierfür eine Rechtsgrundlage besteht. Solche ergeben sich in erster Linie aus den  Aufbewahrungspflichten für Unternehmen,  die das Handels- und Steuerrecht vorgeben. Aber auch Verjährungsfristen von Schadensersatzansprüchen (zwischen drei und 30 Jahren) sollten beachtet werden.

Darüber hinaus fordern die allgemeinen Datenschutzgrundsätze, dass die Richtigkeit, Verfügbarkeit und Integrität (=Unveränderbarkeit) von personenbezogenen Daten über sog. technisch-organisatorische Maßnahmen (z. B. Zugriffsberechtigungen und -kontrollen) gewährleistet werden. Insofern ergeben sich Überschneidungen und damit auch Synergieeffekte mit den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD).

Zuletzt sollten bei der Umsetzung einer digitalen Archivierung auch die Vorgaben aus dem Gesetz zum Schutz von Geschäftsgeheimnissen beachtet werden. Diese wirken sich nicht unmittelbar auf die Archivierung aus, eine Implementierung in die Archivierungsprozesse kann aber einen effizienten Schutz von Geschäftsgeheimnissen gewährleisten.

Besondere Fälle zu löschender Daten sind Backup- und Logdateien, die in der Regel fast immer personenbezogene Daten im Sinne der Gesetze enthalten, etwa Usernamen, IDs oder LogOn-Zeiten. Hierzu gilt: Der Zweck von Backups ist nicht die Archivierung, sondern die Sicherung der Verfügbarkeit der Daten. Archivierung und Backups zu Wiederherstellungs-Zwecken sind daher methodisch zu trennen – auch bei der Löschung. Häufig verwischen sich die technischen und administrativ-organisatorischen Grenzen zwischen Archiv und Backup. Wird das Backup in modernen „Snapshot-Verfahren“ angelegt, lässt sich eine angemessene Löschfrist relativ leicht festlegen. Im Einzelfall wäre aber auch zu prüfen, ob nicht eine Einschränkung der Verarbeitung im Backup, z. B. durch ein Sperren der Daten, zulässig wäre.

Wir helfen Ihnen gerne weiter!

Kontakt aufnehmen

Wir beraten Sie projektbegleitend und in Einzelfragen. Schreiben Sie uns eine E-Mail oder rufen Sie uns an!