Wann immer Sie personenbezogene Daten speichern oder verarbeiten, gilt es bestimmte Vorschriften und Regelungen zu beachten, um sicherzustellen, dass die Daten gut geschützt sind und nicht Gefahr laufen, dass Unbefugte Zugriff auf sie erhalten. So gibt es beispielsweise Aufbewahrungsfristen. Diese unterscheiden sich je nach Art der Daten und reichen von einigen Monaten bis hin zu mehreren Jahren. Auch wie die Daten nach Ablauf dieser Fristen zu vernichten sind, unterscheidet sich je nach Datenkategorie und ist festgelegt.
Doch nicht nur wie lange die Daten verwahrt werden sollen und wie nach Ablauf der Frist mit ihnen zu verfahren ist, ist von Bedeutung, sondern auch, wie und wo sie aufbewahrt werden. Dieser Beitrag beschäftigt sich mit den datenschutzrelevanten Anforderungen an ein Archiv und erklärt, was dieses zu einem sicheren Ort für personenbezogene Daten macht.
Bevor Sie Daten archivieren, sollten Sie sich bewusst sein, zu welchem Zweck und für welchen Zeitraum die Daten aufbewahrt werden müssen. Hierbei gilt es, bestimmten rechtlichen, geschäftlichen oder historischen Anforderungen zu entsprechen. Dokumentieren Sie immer, welche Daten zu welchem Zweck und für welchen Zeitraum gespeichert werden. Dies ist relevant, da Sie die Daten erhoben und / oder verarbeitet haben und somit als verantwortliche Stelle einer Rechenschaftspflicht obliegen.
Ganz gleich, ob Sie ein digitales oder ein papierbasiertes Archiv anlegen wollen, es ist wichtig, dass die Daten gut geschützt sind. Gegen unbefugten Zugriff, Verlust oder Zerstörung sollten Sicherheitsmaßnahmen ergriffen, regelmäßig kontrolliert und aufrechterhalten werden.
Auf die archivierten Daten dürfen nur autorisierte Personen Zugriff haben. Um dies zu gewährleisten, ist ein klarer Zugangskontrollmechanismus unabdingbar. Ob der Zugang nur autorisierten Personen zur Verfügung steht und von niemandem sonst genutzt werden kann, sollte stets dokumentiert und überwacht werden. Zusätzlich sind Schutzmaßnahmen wie Verschlüsselung und Zugriffssteuerung zu ergreifen.
Nicht nur aus rechtlichen Gründen sollte es Ihnen wichtig sein, dass Ihr Archiv den Anforderungen der DSGVO entspricht, denn auch das Vertrauen der betroffenen Personen könnte Schaden nehmen, wenn es zu einer Datenpanne kommen könnte. Durch transparente Archivierungspraktiken zeigen Unternehmen, dass sie die Privatsphäre ihrer Kunden und Mitarbeiter respektieren und schützen.
Beispiel: Papierbasiertes Archiv
I. Zweckgebundene Archivierung
Das Unternehmen definiert klar, warum jedes Dokument archiviert wird und für wie lange es aufbewahrt werden muss. Dokumente, die personenbezogene Daten enthalten, wie Mitarbeiterakten, werden nur so lange aufbewahrt, wie es für die Erfüllung der vertraglichen oder gesetzlichen Verpflichtungen notwendig ist. Nach Ablauf der Aufbewahrungsfrist werden diese Dokumente sicher vernichtet.
II. Zugangskontrollen und Sicherheit
- Der Raum ist verschlossen und nur befugte Personen haben Zugriff auf das Archiv.
- Der Raum wird ausschließlich als Archivraum genutzt.
- Schlüsselsysteme werden verwendet, um den Zugang zu kontrollieren. Nur bestimmte Mitarbeiter, wie die Personalabteilung oder das Management, können die Dokumente, die sich in verschließbaren Schränken in einem abgeschlossenen Raum befinden, einsehen.
- Es wird ein Zugangsbuch geführt, das dokumentiert, wer wann auf welche Akten zugegriffen hat.
III. Verhinderung von Verlust und Zerstörung
Das Unternehmen sorgt für Brandschutz und Wasserschutz im Archivraum, indem es Feuerschutztüren und Regale mit wasserfesten Beschichtungen installiert. Zusätzlich gibt es eine regelmäßige Wartung und Überprüfung der Aufbewahrungseinrichtungen. Auch sind, aufgrund potenzieller Witterungseinflüsse, Dachböden oder Keller als Archivräume nicht geeignet.
Beispiel: Digitales Archiv
I. Zweckgebundene Archivierung
Das Unternehmen legt klar fest, welche Daten digital archiviert werden und aus welchem Grund. Beispielsweise werden Mitarbeiterdaten nur für den Zeitraum gespeichert, der für die Erfüllung von arbeitsrechtlichen, steuerlichen und sozialversicherungsrechtlichen Pflichten erforderlich ist. Alle archivierten Daten sind nach Verwendungszweck kategorisiert und auf eine festgelegte Aufbewahrungsfrist begrenzt. Nach Ablauf der Frist erfolgt eine automatisierte Löschung.
II. Zugangskontrollen und Sicherheit
Der Zugang zum digitalen Archiv ist durch starke Authentifizierungsmethoden gesichert:
- Nur autorisierte Mitarbeiter erhalten Zugang über Benutzerkonten und Passwörter, die regelmäßig aktualisiert werden.
- Zudem wird eine Zwei-Faktor-Authentifizierung (2FA) implementiert, um sicherzustellen, dass der Zugang zu sensiblen Daten nur von berechtigten Personen erfolgt.
- Es wird eine Protokollierung des Zugriffs geführt, sodass nachvollziehbar ist, wer wann auf welche Daten zugegriffen hat.
- Das digitale Archiv ist durch fortschrittliche Verschlüsselungstechnologien (z.B. AES-256) sowohl bei der Datenübertragung als auch bei der Datenlagerung gesichert. Diese Verschlüsselung schützt die Daten vor unbefugtem Zugriff, selbst wenn ein externer Angreifer in das System eindringen sollte.
III. Verhinderung von Datenverlust und Zerstörung
Um Datenverlust zu vermeiden, werden regelmäßige Backups des digitalen Archivs erstellt. Diese Backups werden an einem sicheren, externen Ort gespeichert (z.B. Cloud-Speicher mit DSGVO-konformem Anbieter oder internes Rechenzentrum). Dabei wird sichergestellt, dass auch bei Ausfällen oder Katastrophen die Daten wiederhergestellt werden können.
Außerdem werden Redundanzen eingebaut, um die Daten jederzeit verfügbar zu halten und sicherzustellen, dass keine Daten unbeabsichtigt verloren gehen.
Fazit
Ein papierbasiertes oder digitales Archiv, das diese Maßnahmen umsetzt, entspricht den Anforderungen der DSGVO und gewährleistet, dass personenbezogene Daten sicher und gemäß den gesetzlichen Vorgaben aufbewahrt werden. Dadurch schützen Sie nicht nur die Daten Ihrer Mitarbeiter und Kunden, sondern minimieren auch das Risiko von Datenschutzverletzungen und rechtlichen Konsequenzen.
Bei Fragen oder wenn Sie sich Beratung wünschen, kontaktieren Sie uns gerne!
Checkliste für einen sicheren Archivraum
Laden Sie unsere praktische Checkliste herunter, um Ihren Archivraum sicher und DSGVO-konform zu gestalten. Füllen Sie das Formular aus und erhalten Sie sofortigen Zugriff!