Gerade in großen Unternehmensgruppen oder Konzernen, aber auch in kleinen Unternehmen, spielt die Entwicklung desselbigen eine bedeutsame Rolle. So möchte man auch nach vielen Jahren noch nachvollziehen können, wie sich das Unternehmen zahlenmäßig, aber auch projektmäßig entwickelt hat. Gerade große Meilensteine aus der Presse, aber auch wichtige interne Events können eine besondere Relevanz haben. Es ist diesbezüglich nachvollziehbar, dass Unternehmen sich deshalb ein Unternehmensarchiv aufbauen möchten, in welchem dauerhaft Informationen zur Entwicklung gespeichert werden. Da wichtige Meilensteine auch oft mit bestimmten Personen zusammenhängen, bleibt da eine Speicherung von personenbezogenen Daten nicht aus.
Anwendbarkeit der DSGVO
Grundsätzlich ist zu prüfen, ob für die genannte Verarbeitung die DSGVO anwendbar ist. Hierzu ist festzuhalten, dass die DSGVO nur dann greift, wenn es sich beim Betroffenen um eine lebende Person handelt. Inhalte der Unternehmensgeschichte die bereits verstobene Personen betreffen, unterfallen nicht der DSGVO. Auch Inhalte die keinerlei Personenbezug aufweisen, also reine Informationen über das Unternehmen und Prozesse, unterfallen nicht der DSGVO. Diese Inhalte können dauerhaft gespeichert werden. Die nachfolgende Bewertung gilt nur für Inhalte, die personenbezogene Daten von Mitarbeitern oder Externen (u. a. auch Autorennamen, etc.) beinhalten.
Darüber hinaus könnte denkbar sein, dass die Öffnungsklausel nach Art. 85 DSGVO einschlägig ist, die Verarbeitungen zu journalistischen Zwecken betrifft. Hierbei ist die herrschende Meinung allerdings, dass Unternehmen sich auf diese Öffnungsklausel nicht berufen können. Vielmehr gilt diese Öffnungsklausel für Presseunternehmen und Journalisten. Die personenbezogenen Inhalte, die im Unternehmensarchiv gespeichert werden, sind deshalb – bis auf die Ausnahmen oben – i. S. d. DSGVO zu beurteilen.
Rechtsgrundlage
Die Speicherung von personenbezogenen Daten, die zu Archivzwecken aufbewahrt werden sollen, können grundsätzlich auf Basis eines berechtigten Interesses erfolgen. Soweit die Daten vorab zu anderen Zwecken erhoben und verarbeitet wurden, liegt zusätzlich eine Zweckänderung nach Art. 6 Abs. 4 DSGVO vor, weshalb die Voraussetzungen ggf. ebenfalls zu prüfen sind.
Die Datenverarbeitung muss grundsätzlich erforderlich sein. Dies ist im Einzelfall festzulegen. Die personenbezogenen Daten der Inhalte sollten inhaltlich erforderlich und archivierungswert sein. Geht es bspw. um das Ereignis an sich und betroffene Personen sind irrelevant, sollten die personenbezogenen Daten vor Archivierung entfernt werden. Denkbar ist z. B., bei der Archivierung von Unterlagen/ Dokumenten, den Autor zu entfernen, wenn dieser keine Rolle spielt.
Zusätzlich ist bei den Inhalten zu prüfen, ob schutzwürdige Interessen der Betroffenen überwiegen können. Dies dürfte insbesondere dann der Fall sein, wenn es sich um sensible Inhalte handelt. Bei Informationen die in Zusammenarbeit mit dem Betroffenen veröffentlicht wurden (z. B. Intranet oder Presse), dürften grundsätzlich keine überwiegenden schutzwürdigen Interessen vorliegen. Darüber hinaus ist im Einzelfall abzuwägen. Personalunterlagen o. ä. dürfen in keinem Fall archiviert werden. Insbesondere dürfen auch keine personenbezogenen Daten besonderer Kategorien nach Art. 9 DSGVO (insbesondere Gesundheitsdaten, etc.) gespeichert werden.
Dauerhafte Speicherung
Grundsätzlich müssen Daten nach Zweckerreichung oder nach Ablauf einer gesetzlichen Archivierungsfrist wieder gelöscht werden.
Wie bereits festgestellt, kann man sich bei einer unternehmensinternen Archivierung nicht auf die Öffnungsklausel berufen, auf die sich Presseunternehmen stützen können. Es bleibt weiterhin dabei, dass die Grundsätze i. S. d. Art. 5 DSGVO eingehalten werden müssen. Dies umfasst auch den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO. Ausnahmen hiervon gibt es nicht. Denn selbst für die Presse gilt, dass eine dauerhafte Speicherung von Inhalten nicht pauschal vertretbar ist. Nach Auffassung des BVerfG sind sogar für die Presse die Gefahren der unbegrenzten Verfügbarkeit von Informationen im Internet bei der Auslegung des Grundgesetzes zu beachten (Vgl. BVerfG NJW 2020, 300 Rn. 104).
Rechtssicher ist es deshalb, eine Löschfrist für die Speicherung von Inhalten einzurichten. Dagegen argumentiert werden könnte, dass der Zweck „Nachhalten der Unternehmenshistorie“ dauerhaft anhält und somit nie an einem Zeitpunkt x erreicht wird. Insbesondere wenn die Inhalte auch an anderer Stelle öffentlich zugänglich sind (bspw. im Falle von öffentlich zugänglichen Artikeln), ist es fraglich, inwieweit eine Löschpflicht im Unternehmen bestehen muss, wenn die Inhalte öffentlich für alle einsehbar sind. Da es in der DSGVO aber keine Ausnahme zum Grundsatz der Speicherbegrenzung gibt, bleibt es nach wie vor rechtssicher, eine Löschfrist für personenbezogene Daten festzulegen. Insbesondere für Inhalte die nicht in Veröffentlichungen durch die Presse festgehalten wurden, sondern vielmehr nur interne Kommunikation betrifft, sollte immer eine Prüfung erfolgen, ob die Inhalte anonymisiert werden können. Wenn keine Löschfrist eingerichtet wird, sollte aber regelmäßig (z. B. nach 10 Jahren) geprüft werden, ob die Inhalte mit Personenbezug zum Zweck „Nachhalten der Unternehmenshistorie“ weiterhin relevant sind, oder ob eine Anonymisierung/Löschung der Inhalte möglich ist.
Informationspflichten
Die betroffenen Personen sind gem. Art. 13 DSGVO zu informieren. Insbesondere sollte auch auf die dauerhafte Speicherung der Inhalte hingewiesen werden. Insbesondere wenn es pauschal sämtliche Inhalte des Unternehmens betreffen kann, empfiehlt es sich, die Datenschutzhinweise für Mitarbeiter sowie die Datenschutzhinweise für Kunden und Geschäftspartner zu ergänzen. Zudem sollten relevante, individuelle Datenschutzinformationen (bspw. Aufsteller auf Veranstaltungen, Einwilligungserklärungen bei Fotos/Videos), direkt auf die Speicherung der Daten zu Archivzwecke hinweisen. Insbesondere sollten die Betroffenen auf ihr Widerspruchsrecht hingewiesen werden.
Fazit
Da es keine Ausnahmeregelung in der DSGVO zur Speicherbegrenzung gibt, bleibt eine dauerhafte Speicherung von personenbezogenen Daten risikobehaftet. Zur Risikoreduzierung bei dauerhafter Speicherung sollte eine regelmäßige Überprüfung der Inhalte erfolgen, um nicht (mehr) relevante Inhalte zu löschen oder zu anonymisieren. Zusätzlich ist darauf hinzuweisen, dass bei Veröffentlichung archivierter Inhalte ggf. eine Einwilligung erforderlich sein kann.
Geerke Simons
5. Januar 2023 @ 11:36
Aber was ist, wenn Sie als Pflegeeinrichtung ein Museum mit Fotos & Films und manchmal Namen von charakteristischen Klienten (mit Erlaubnis) usw. haben? Dieses Museum ist nicht für dieses Jahr da, sondern (hoffentlich) für Jahrzehnte.
Nico Reisener
30. Dezember 2022 @ 18:46
Hallo Frau Körner, ein sehr guter Beitrag, danke dafür. Vermutlich auf die Rechtsgrundlage gemäß Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO gestützt, sollte nach meinem Dafürhalten auch regelmäßig die Interessensabwägung erneuert werden und vor allem, was häufig vergessen wird, dokumentiert. VG Reisener