Archiv wird jede Informationssammlung genannt, in der Informationen langfristig aufbewahrt werden. Zum Beispiel gibt es Archive in Rechtsanwaltskanzleien oder Unternehmen, als Aktenlager im Keller oder in einem Abstellraum. Es gibt Software zur Archivierung von Dokumenten, worunter man versteht, dass darin Dokumente unveränderbar und dauernd gespeichert werden. Oft findet man in Unternehmen die Meinung, dass durch Verlagerung personenbezogener Daten in ein solches Archiv die Speicherung für immer und ewig erlaubt sei. Diese Meinung ist falsch.

Der Verantwortliche hat u.a. nach Art. 25 Abs. 2 DSGVO die Pflicht, dafür zu sorgen, dass nur personenbezogene Daten verarbeitet werden, deren Verarbeitung erforderlich ist. Nicht mehr benötigte Daten müssen gelöscht werden. Was benötigt wird, richtet sich nach dem Zweck der Verarbeitung oder nach gesetzlichen Aufbewahrungspflichten. Das heißt, Unternehmens-Archive müssen regelmäßig nach Daten durchgesehen werden, die nicht mehr für die Zwecke gebraucht werden, für die sie gesammelt wurden, oder bei denen die Aufbewahrungsfrist nach HGB oder Abgabenordnung abgelaufen ist. Die Akten oder Dokumente müssen gelöscht bzw. vernichtet werden. Das Archiv eines Unternehmens, Vereins, einer Stiftung ist nur ein Aufbewahrungsort für Daten wie jeder andere. Aber halt: Hat man nicht schon immer Urkunden endlos aufbewahrt? Woher wissen die Historiker noch, wer den ersten ICE hat bauen lassen? Die Aufbewahrungsfrist für die Aufträge dafür ist doch längst abgelaufen!

Hier kommen die staatlichen Archive ins Bild. Für sie gelten Ausnahmen, die in der DSGVO ausdrücklich zugelassen und in Archivgesetzen geregelt sind.

Der traditionelle Datenschutz öffentlicher Archive

Das staatliche Archiv als „öffentliches Gedächtnis“ speichert Unterlagen zeitlich unbegrenzt, „forever and ever“. Vor dem Volkszählungsurteil war ihre Tätigkeit in Deutschland nicht gesetzlich geregelt. Es gab sie zum Teil seit Jahrtausenden ohne ordentliche Rechtsgrundlage. Nachdem das Grundrecht auf informationelle Selbstbestimmung entdeckt worden war, brauchte man Archivgesetze, um diese traditionelle Sammlung personenbezogener Daten rechtlich abzusichern. Der Bund und alle Länder erließen sie und schrieben hinein, was lange Usus war. In den öffentlichen Archiven gilt ein Datenschutz viel länger, als es dieses Wort gibt.

Behörden und öffentliche Einrichtungen dürfen Akten nicht gleich vernichten, wenn sie sie nicht mehr brauchen, und die Aufbewahrungsfrist abgelaufen ist. Sie müssen sie erst dem zuständigen Archiv zur Übernahme anbieten. Das Archiv entscheidet, ob es die Akten haben will, und übernimmt die ausgewählten. Nur der Rest muss vernichtet werden. Privatleute oder Unternehmen können dem öffentlichen Archiv Dokumente zur Übernahme anbieten.

Ins öffentliche Archiv übernommene Dokumente unterliegen langen Schutzfristen, in denen sie nicht eingesehen werden dürfen. In Deutschland gelten in der Regel 30 Jahre nach Entstehung der Unterlagen, selbst wenn keine personenbezogenen Daten enthalten sind. Wenn doch, dann dürfen die Unterlagen z.B. beim Bundesarchiv erst 10 Jahre nach dem Tod der Betroffenen genutzt werden. Wenn das Todesdatum nicht bekannt ist, endet die Frist 100 Jahre nach der Geburt, wenn auch der Geburtstag nicht bekannt ist, 60 Jahre nach der Entstehung der Unterlagen (§ 11 Bundesarchivgesetz). Nach dem Tod der Betroffenen unterliegen Dokumente ja ohnehin nicht mehr der DSGVO (Erwägungsgrund 27).

Die Schutzfristen können zwar verkürzt werden, aber nur, wenn die betroffene Person einwilligt oder Risiken für sie ausgeschlossen werden können.

Öffentliche Archive in DSGVO und BDSG

Seit Inkrafttreten der DSGVO reichen nationale Gesetze nicht mehr aus, um diese Datenverarbeitung in öffentlichen Archiven abzusichern. Doch die DSGVO enthält selbst die nötigen Ausnahmevorschriften.

Am wichtigsten ist Art 5 Abs. 1 Buchst. b. Danach gilt die Verarbeitung personenbezogener Daten „für im öffentlichen Interesse liegende Archivzwecke“ – im Anschluss an die Verarbeitung für einen anderen Zweck – nicht als Zweckänderung. Für die Verarbeitung im Archiv wird daher kein „neuer“ Zweck nach Art. 6 DSGVO benötigt. Die Wendung „für im öffentlichen Interesse liegende Archivzwecke“ wiederholt sich in der DSGVO vielfach – in Deutschland sind damit nur die in den Archivgesetzen geregelten öffentlichen Archive gemeint. Weitere Ausnahme-Vorschriften für diese Archive:

  • 5 Abs. 1 Buchst. e – Ausnahmen bei Speicherfristen
  • 14 Abs. 5 Buchst. b – Ausnahmen von der Pflicht zur Erteilung von Informationen an Betroffene
  • 17 Abs. 3 Buchst. d – Ausnahmen vom Löschungsanspruch

Dazu kommen Öffnungsklauseln:

  • 9 Abs. 2 Buchst. j – ein eigener gesetzlicher Rechtsgrund für die Speicherung kritischer Personendaten wie Gesundheit, religiöse oder weltanschauliche Überzeugung kann für öffentliche Archive geschaffen werden
  • 89 Abs. 3 – weitere Ausnahmen von den Betroffenenrechten können für öffentliche Archive vorgesehen werden

Im BDSG wurde von den Öffnungsklauseln Gebrauch gemacht:

  • 28 Abs. 1 – kritische Personendaten wie Gesundheit, religiöse oder weltanschauliche Überzeugung dürfen verarbeitet werden “wenn zu öffentlichen Archivzwecken erforderlich”
  • 28 Abs. 2 – Recht auf Auskunft nur in definierten Fällen beim öffentlichen Archiv
  • 28 Abs. 3 und 4 – Betroffenenrechte auf Berichtigung, Datenübertragbarkeit und Widerspruch werden für öffentliche Archive eingeschränkt.

Nach Art. 89 Abs. 1 DSGVO sind im Gegenzug besondere Garantien für die Rechte und Freiheiten der Betroffenen im Archiv erforderlich.

Neue Herausforderungen

Die öffentlichen Archive stehen vor neuen Herausforderungen, weil immer mehr Daten bei ihnen in digitaler Form eingehen. Dafür nutzen sie spezielle Software, oft entwickelt nach eigenen Vorgaben von einer Arbeitsgemeinschaft staatlicher Archive. Zu den besonderen Anforderungen gehört es, die regelmäßig notwendigen Migrationen mindestens alle 10 Jahre auf neue Hardware und Betriebssysteme von vornherein mitzudenken.

Die traditionellen technischen und organisatorischen Maßnahmen der Datensicherheit beruhen vor allem auf der Fernhaltung betriebsfremder Personen aus den Archiven. Die Benutzer kommen nur in ein Lesezimmer. Dort werden ihnen vom Magazindienst Akten vorgelegt. Die Vorlage dieser Akten wird protokolliert, die Protokolle werden selbst als Archivgut gespeichert. Im Inneren des Archivs dagegen gibt es ein hohes Maß an Vertrauen.

Dieses bewährte System kann nicht bruchlos auf die Archivierungs-Software übertragen werden. Vier-Augen-Prinzip, „need to know“, ausgefeilte Rechteverwaltung halten ins Archiv Einzug. Eine neue Kultur entsteht.

Das öffentliche Archiv ist also kein weißer Fleck auf der Landkarte des Datenschutzes. Auch dort gibt es für den Datenschutz viel zu tun, allerdings oft anderes als woanders.