Laut Datenschutz-Grundverordnung dürfen Organisationen personenbezogene Daten nicht länger als nötig aufbewahren, während das Archivgesetz die Behörden hingegen dazu verpflichtet, bestimmte Informationen über ihre laufende administrative Benutzung hinaus aufzubewahren. Wie sind diese beiden gesetzlichen Anforderungen zu vereinbaren?
- Prinzip der Speicherbegrenzung
- Prinzip der Zweckbindung
- Verbot der Verarbeitung von sensiblen Daten
- Recht auf Vergessenwerden (und andere Rechte von betroffenen Personen)
- Informationspflicht
- Garantien und Ausnahmen in Artikel 89 (Archivzwecke)
- Schlussfolgerung
- Fragen oder Anmerkungen?
Begriffsbestimmungen
- Datenschutz-Grundverordnung (DSGVO): Europäische Verordnung vom 27. April 2016 (in Kraft seit 24. Mai 2016 und anzuwenden seit 25. Mai 2018), die allen Unternehmen und Organisation (weltweit) Regeln auferlegt, die personenbezogene Daten von natürlichen Personen der Europäischen Union verarbeiten. Die Verordnung ersetzt die Datenschutzrichtlinie von 1995 und wurde in belgisches Recht umgesetzt durch das Gesetz vom 30 juli 2018 über den Schutz natürlicher Personen hinsichtlich der Verarbeitung personenbezogener Daten.
- Personenbezogene Daten: Alle Informationen über eine Person, mit denen sie direkt oder indirekt identifiziert werden kann, u.a.: personenbezogene Daten, Online-Daten, Finanzdaten, rechtliche Informationen, medizinische Daten, ethnische Daten und Daten über das Kaufverhalten.
- Verarbeitung: Jede manuelle oder automatisierte Bearbeitung von Daten, u.a. das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtun.
Prinzip der Speicherbegrenzung
Personenbezogene Daten dürfen gemäß DSGVO nur so lange gespeichert werden wie es für die Zwecke, für die sie erhoben werden, strikt erforderlich ist.
Die Verordnung sieht allerdings Ausnahmen für Archivzwecke vor.
Artikel 5 1e besagt:
„Personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 [siehe weiter unten] verarbeitet werden.“
Prinzip der Zweckbindung
Personenbezogene Daten müssen gemäß DSGVO für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt „nicht als unvereinbar mit den ursprünglichen Zwecken“. (Artikel 5 1b)
Verbot der Verarbeitung von sensiblen Daten
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt (Artikel 9).
Auch hier gelten im öffentlichen Interesse liegende Archivzwecke unter folgenden Voraussetzungen als Ausnahmegrund:
- Die Verarbeitung ist für die Verwirklichung dieser Zwecke notwendig
- Die Verarbeitung erfolgt gemäß Artikel 89 Absatz 1 (siehe weiter unten) und den Gesetzen des Mitgliedsstaats, der:
- sicherstellt, dass die Verarbeitung in einem angemessenen Verhältnis zu dem verfolgten Zweck steht;
- der Wesensgehalt des Rechts auf Datenschutz gewahrt wird;
- angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht.
Recht auf Vergessenwerden (und andere Rechte von betroffenen Personen)
Die betroffene Person hat gemäß DSGVO das Recht, die sie betreffenden personenbezogenen Daten unverzüglich löschen zu lassen, sofern die verarbeitende Instanz sie für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt.
Falls die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke notwendig ist, gilt dieses Recht nicht, “soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt” (Artikel 17 3 d).
Die betroffenen Personen können also nicht beantragen, Daten vernichten zu lassen, die das Staatsarchiv als von historischem Wert bewertet hat.
Auch Ausnahmen von den Rechten gemäß der Artikel 15, 16, 18 und 21 der GSGVO können insoweit vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen. Diese Ausnahmen werden nicht detailliert in der DSGVO geregelt, sondern in Titel 4 des belgischen Rahmengesetzes von 2018:
- Für Archiveinrichtungen, die massenweise personenbezogene Daten sammeln, ist es in der Tat unmöglich herauszufinden, welche Daten zu welcher Person aufbewahrt werden. Daher gilt eine Ausnahme vom Auskunftsrecht der betroffenen Person (Artikel 15).
- Das Recht auf Berichtigung (Artikel 16) ist für Archiveinrichtungen nicht haltbar, da sie gerade die Integrität und Authentizität der Informtionen bewahren müssen. Demnach entfällt auch die Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Artikel 19).
- Für Archiveinrichtungen ist es unmöglich, das Recht auf Einschränkung der Verarbeitung (Artikel 18) zu beachten, da sie dadurch nicht im Stande wären, grundlegende (und gesetzlich verpflichtete) Aufgaben auszuführen, wie etwa die Aufbewahrung, Inventarisierung und Digitalisierung von Archivalien. Das Gleiche gilt für das Widerspruchsrecht (Artikel 21).
- Zum Schluss gilt auch eine Ausnahme vom Recht auf Datenübertragbarkeit (Artikel 20), also dem Recht, personenbezogene Daten, die einem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, auch wenn dieses Recht selten Anwendung findet, da die meisten Archivalien nicht via die betroffene Person selbst in die Archiveinrichtung gelangen.
Keine Vereinbarung zur Weiterverarbeitung von Daten nötig bei der Überführung von Archivalien.
Eine Behörde, die personenbezogene Daten weiterverarbeiten möchte, die sie nicht selbst erhoben hat, muss hierfür in der Regel eine Vereinbarung mit dem ursprünglich Verantwortlichen schließen (Artikel 194 des Rahmengesetzes).
Bei Überführungen von Archivalien an das Staatsarchiv ist dies allerdings nicht erforderlich, da das Staatsarchiv einen gesetzlichen Auftrag für die im öffentlichen Interesse liegende Weiterverarbeitung dieser Archivalien hat.
Informationspflicht
Betroffene Personen haben gemäß DSGVO das Recht darauf, über die Verarbeitung der sie betreffenden personenbezogenen Daten informiert zu werden (was, wie und warum) und welche Rechte sie ferner hierbei haben.
Wenn die Verarbeitung allerdings im Rahmen von im öffentlichen Interesse liegenden Archivzwecken stattfindet und die Informationspflicht diese Zwecke voraussichtlich unmöglich macht oder ernsthaft beeinträchtigt (da es unausführbar ist, alle betroffenen Personen einzeln zu kontaktieren), darf von dieser Pflicht abgesehen werden unter der Voraussetzung, dass diese Informationen für die Öffentlichkeit bereitgestellt werden. (Artikel 14 5b)
Das Staatsarchiv kommt dieser Verpflichtung in seiner Datenschutzbelehrung auf seiner Website nach.
Garantien und Ausnahmen in Artikel 89 (Archivzwecke)
Im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke sind kein Freifahrtschein. Auch wenn Ausnahmen gelten, muss die für die Verarbeitung verantwortliche Stelle stets geeignete technische und organisatorische Maßnahmen umsetzen, um dem Geist des Gesetzes gerecht zu werden, unter anderem dem Prinzip der Datenminimierung; dass also ausschließlich Daten im Umfang und für eine Dauer verarbeitet werden, die für die Zwecke der Verarbeitung notwendig sind, und nur in dem Maße Zugang zu den personenbezogenen Daten gewährt wird wie für die Zwecke der Verarbeitung notwendig. Dies kann auf folgende Weise bewerkstelligt werden:
- Pseudonymisierung
- Bewertung (Nur das aufbewahren, was von historischem Wert ist)
- Fristen festlegen, die verstrichen sein müssen, bevor Dokumente mit personenbezogenen Daten einsehbar werden.
- Bei Einsichtnahme eine Nachforschungserklärung unterzeichnen lassen
Der Artikel legt auch fest, dass Mitgliedsstaaten Ausnahmen von Artikel 15, 16, 18, 19, 20 und 21 vorsehen können. So geschehen unter Titel 4 des einschlägigen belgischen Rahmengesetzes (siehe weiter oben).
Schlussfolgerung
- Das Archivgesetz bleibt vollumfänglich anwendbar. Behörden dürfen also ohne die Genehmigung des Staatsarchivs keine Unterlagen oder Daten vernichten.
- Im Verzeichnis der Verarbeitungstätigkeiten (Artikel 30, DSGVO) verweisen die Behörden auf die jeweilige Aussonderungsliste, in der die Aufbewahrungsfristen und die Endbestimmung der Unterlagen (d.h. vernichten oder zur dauerhaften Aufbewahrung an das Staatsarchiv überführen) vermerkt sind.
- Behörden überführen ihre statischen Archive, die keinen administrativen Nutzen mehr haben und zur dauerhaften Aufbewahrung bestimmt sind, an ihren eigenen Archivdienst oder an das Staatsarchiv, das gesetzlich zur Archivierung im öffentlichen Interesse beauftragt ist. Der Zugang zu den Daten muss in jeder Phase des Lebenszyklus der Dokumente auf die Personen beschränkt sein, die die Daten zur Durchführung ihrer Aufgaben benötigen.
- Nicht für eine dauerhafte Aufbewahrung bestimmte Daten müssen so bald wie möglich nach dem Verstreichen der Aufbewahrungsfrist vernichtet werden, nachdem hierfür eine Genehmigung zur Vernichtung von Archivalien beim Staatsarchiv beantragt und erteilt wurde. Die Vernichtung muss so durchgeführt werden, dass nicht-autorisierte Dritte zu keinem Moment Zugang zu den Daten, den Datenträgern oder den Überresten dieser Datenträger nach der Vernichtung haben. Weitere Informationen hierzu auf der Seite Informationen vernichten.
- Die Behörden müssen die Umkehrbarkeit jeder Art von Datenverschlüsselung garantieren können.
- Die Überführung von Daten an das Staatsarchiv bedeutet nicht, dass sie unmittelbar und unbegrenzt der Öffentlichkeit zur Verfügung gestellt werden:
- Je nach Art Archivbildner gelten spezifische Bedingungen zur Einsichtnahme.
- personenbezogene Daten von lebenden Personen werden niemals online veröffentlicht (außer mit ausdrücklicher Einwilligung der betroffenen Person, oder wenn es sich um Personen des öffentlichen Lebens handelt, oder bei Daten, die in engem Zusammenhang mit historischen Gegebenheiten stehen – siehe Artikel 205 des Rahmengesetzes)
- personenbezogene Daten können im Rahmen von historischen und wissenschaftlichen Nachforschungen bereitgestellt werden, sofern hierfür angemessene Garantien bestehen, unter anderem die Unterzeichnung einer Nachforschungserklärung.
- In Bezug auf die alltäglichen Geschäftsvorgänge und die Leitung der Organisation (im Umgang mit Lesern, Zulieferern, Personal…) ist das Staatsarchiv an die selben Beschränkungen und Verpflichtungen gebunden wie jede andere Organisation. Hinsichtlich des Grundsatzes der Transparenz bietet diese Seite Auskunft über die Verarbeitungsvorgänge beim Staatsarchiv.