Praxistipp: Archivordnung oder Archivunordnung? Ohne Regeln geht es nicht

Was fällt Ihnen ein beim Schlagwort Archiv? Staub, Unordnung, Modergeruch? Oder: angenehmer Geruch, Ordnung, Sauberkeit? Was nehmen Sie wahr, wenn Sie das Archiv in Ihrem Unternehmen betreten? Bei Datenarchiven, wie in vielen Bereichen, gibt es weite Unterschiede. Eines lässt sich aber generell sagen: Wer eine Archivordnung hat, ist besser dran. Es lohnt sich, Datenarchivierung gezielt anzugehen und klar zu regeln. Dabei ist die Archivordnung ein wesentlicher Baustein. Der Praxistipp klärt, warum Unternehmen eine Archivordnung brauchen und was sie enthalten sollte.

Datenträger aller Art

Zwei große Kategorien von Medien spielen bei der Archivierung eine Rolle. Da sind zum einen die elektronischen Datenträger, zum anderen das Papier, das man vor allem in Form von Aktenordnern oder Papierstapeln kennt. Ob elektronisch oder in Papierform, in beiden Fällen müssen abgelegte Datenträger bei Bedarf rasch wiedergefunden werden können. Ob das der Fall ist, hängt in der Regel davon ab, ob es eine Archivordnung gibt. Oder ob das Prinzip Unordnung das Sagen hat.

Die Sache mit der Aufbewahrung

Man kennt es aus eigener Erfahrung: Unterlagen werden im direkten Bürobetrieb nicht mehr benötigt, müssen aber aufbewahrt werden. Denn entweder gilt eine gesetzliche Aufbewahrungsfrist oder sie könnten noch einmal wichtig werden, etwa für laufende Prozesse. In jedem Fall muss es bis zur Vernichtung der Unterlagen einen Raum oder Schrank geben, wo Sie Datenträger sicher aufbewahren. Beim Datenträger Papier kann das der oben erwähnte Raum sein. Mit Moder, Staub und Durcheinander oder eben Ordnung und Sauberkeit.

Archive organisieren

Eine der wesentlichen Tücken, die im Zusammenhang mit Archiven lauern: Nicht alle Unterlagen, die im Archiv aufbewahrt werden, dürfen von allen beschäftigten Personen eingesehen werden. Bedeutet: Innerhalb des Archivs muss es eine Unterteilung geben. Verschiedene Bereiche lassen sich entsprechend sichern, so dass ein Zugang zu geschützten Medien nicht für alle möglich ist. Ebenfalls zu berücksichtigen: Werden Archivunterlagen im laufenden Bürobetrieb benötigt, ist die Entnahme aus dem Archiv zu dokumentieren. Ebenso wird festgehalten, wenn die Akte zurück ins Archiv geht. Außerdem ist zu klären, wie jemand ins Archiv gelangt, also welche Zutrittskontrolle zu überwinden ist, wer ins Archiv darf und welche Regeln dabei zu beachten sind.
Datenschutzbeauftragte und die Archivordnung Das alles wird am besten in der Archivordnung zusammengefasst. Gibt es eine solche, sollten Datenschutzbeauftragte sie regelmäßig auf Vollständigkeit und Aktualität hin prüfen. Außerdem sollten sie sich vergewissern, ob sie dem Alltag standhält. Es gehört zur Überwachungsaufgabe von Datenschutzbeauftragten, zu prüfen, wie Unterlagen aufbewahrt werden und ob dabei der Datenschutz gewahrt ist.



Wenn Archivunterlagen wichtig werden

Dass Unterlagen archiviert werden, hat gute Gründe. Zum einen gibt es gesetzliche Anforderungen, die Verantwortliche verpflichten, Unterlagen für Zwecke der Betriebsprüfung vorzuhalten. Außerdem werden Unterlagen in einzelnen Fällen benötigt, um den Ablauf bestimmter Geschäftsprozesse nachzuweisen. Dies kann etwa bei gerichtlichen Auseinandersetzungen von Bedeutung sein. In beiden Fällen müssen die Unterlagen revisionssicher und schnell greifbar sein. Das setzt voraus, dass bekannt ist, wo sich welcher Datenträger befindet. Das wiederum setzt voraus, dass Unterlagen nicht einfach irgendwo im Archiv abgelegt werden, sondern so sortiert sind, dass sie sich zügig wiederfinden lassen. Wo was archiviert wird, ist angemessen zu dokumentieren.

Datensicherung

Es gehört zu den technischen und organisatorischen Maßnahmen nach der Datenschutz-Grundverordnung (DSGVO), die Verfügbarkeit personenbezogener Daten sicherzustellen. Dazu müssen informationstechnische Systeme bei einem physischen oder technischen Zwischenfall schnell wiederherstellbar sein. Dazu gehört, dass Datensicherungen eingespielt werden. Um das zu gewährleisten, muss eine Datensicherung nicht nur vorhanden sein, sondern auch zur Verfügung stehen, sprich: gefunden werden können.

Archivordnung laut DSGVO

Sind diese Voraussetzungen nicht gegeben, liegt ein Verstoß gegen die Grundsätze des Datenschutzes nach DSGVO vor. Befindet sich ein Archiv „in Unordnung“, können Daten nicht rechtzeitig gefunden und wiederhergestellt werden. Damit liegt ein Verstoß gegen Grundsätze des Datenschutzes vor, was mit einer Geldbuße geahndet werden kann. Indirekt also fordert die DSGVO eine funktionierende Archivordnung.

Tipps für eine DSGVO-konforme Archivordnung

• Prüfen Sie, wie die Archivierung derzeit organisiert ist.
• Stellen Sie sicher, dass eine aktuelle und vollständige Archivordnung vorhanden ist und alle betroffenen Beschäftigten sie kennen.
• Prüfen Sie, ob im Archiv Zutrittsregelungen gelten und Archivräume so gestaltet sind, dass die Vertraulichkeit personenbezogener Daten gewahrt bleibt.
• Prüfen Sie, ob Zutritte in Archivräume dokumentiert werden müssen und wenn ja, ob dies zuverlässig erfolgt.
• Prüfen Sie, ob innerhalb der archivierten Unterlagen Zugriffsbegrenzungen gelten. Besteht beispielsweise bei elektronischen Datenträgern ein Passwortschutz? Sind Aktenunterlagen, die nicht von allen eingesehen werden dürfen, entsprechend gesichert?
• Prüfen Sie, wie die Entnahme von Archivunterlagen vor sich geht. Ist sichergestellt, dass sowohl die Entnahme als auch das Zurückbringen von Unterlagen dokumentiert wird? Wird gegebenenfalls verfolgt, warum Datenträger nicht zurückkommen?
• Stellen Sie sicher, dass die räumlichen Umstände in Archivräumen regelmäßig kontrolliert werden. Dazu zählen etwa Luftfeuchtigkeit, Staub, Temperatur, Dichtig¬keit wasserführender Leitungen usw. Vergessen Sie nicht, Überprüfungen zu dokumentieren.
• Prüfen Sie regelmäßig, ob in Archivräumen so gearbeitet wird, wie die Archivordnung es regelt. Kommt es zu Abweichungen? Nimmt beispielsweise eine beschäftigte Person ihr Notebook mit ins Archiv, weil sich Archivunterlagen direkt am Notebook einfacher bearbeiten lassen? Klären Sie, ob und unter welchen Umständen Notebooks zur Arbeit im Archiv mitgenommen werden dürfen.
• Erstellen Sie einen Prüfkatalog für die datenschutzrechtliche Überwachung von Papierarchiven und elektronischen Archiven, der regelmäßig geprüft und überarbeitet wird.
• Nehmen Sie die Überprüfung der Archivräume in den Datenschutz-Jahresbericht auf.

Sollte in Ihren Archiven bisher die Unordnung regiert haben, hält mit diesen Tipps bestimmt die Ordnung Einzug. Viel Erfolg dabei!

Rechtsquellen zum Nachlesen

• Zu den Grundsätzen des Datenschutzes: Art. 5 Abs. 1 DSGVO
• Zur Aufgabe der Überwachung durch den Datenschutzbeauftragten: Art. 39 Abs. 1 lit. b DSGVO