Aufbewahren oder Löschen? Zum Umgang mit “abgelaufenen” Daten

Dortmund, 26.11.2019: Die umfangreiche Speicherung von Daten erfolgt nicht nur in den Einrichtungen der Kirche noch immer oft nach dem Grundsatz: „nicht wegwerfen“, denn man könnte die Daten vielleicht noch einmal gebrauchen. Die Gesetzeslage auf Ebene von Europäischer Union, Bund, Land und auf kirchlicher Ebene zeigt einer unbefristeten und/oder willkürlichen dauerhaften Speicherung von Daten jedoch deutliche Grenzen auf.

Die Grundsätze für die Verarbeitung personenbezogener Daten werden im Gesetz über den Kirchlichen Datenschutz (KDG) in § 7 formuliert. Danach dürfen/müssen personenbezogene Daten

  • nur rechtmäßig verarbeitet werden
  • nur für festgelegte, eindeutige und legitime Zwecke erhoben werden, wobei das für den Zweck notwendige Maß nicht überschritten werden darf
  • nur in sachlich richtiger und inhaltlich aktueller Form vorliegen
  • in einer Form gespeichert werden, die eine Anonymisierung der Daten ermöglicht, sobald der Zweck der Personenbeziehbarkeit entfällt
  • vor unbefugter und ungewollter Veränderung oder Verlust geschützt werden.

Aus diesen Grundsätzen ergibt sich unmittelbar das Erfordernis, alle personenbezogenen Daten nach Entfall des ursprünglichen Zweckes zu löschen oder zu anonymisieren. Alle verwendeten IT-Systeme und sonstigen Aufzeichnungen und Ablagen müssen fähig sein, solche Löschungen oder Anonymisierungen zu ermöglichen, ohne dass die Strukturen (interne Tabellen, Datenbanken, Register, Ordnungssysteme) in einen inkonsistenten Zustand fallen.

Der klassische Ansatz zur Datenspeicherung

Nach klassischer Betrachtungsweise wurden immer mehr und größere Anforderungen an das „Gedächtnis“ von IT-Systemen und Registraturen gestellt: Daten mussten vor allem verfügbar sein. Gesetzliche und betriebliche Anforderungen definierten die Mindestaufbewahrungsfrist, aber echte Löschaktionen (in der IT und in den Registratur-Schränken und -Regalen) wurden höchstens aufgrund von Platzmangel durchgeführt. Digitaler Speicherplatz wurde immer preiswerter, so dass es im elektronischen Bereich keinen echten Zwang zum Löschen von Daten gab.

Zusätzlich gab es auch immer den unerschöpflichen Ideenreichtum der Controller und sonstiger Stabsstellen für neue und zusätzliche Auswertungen der Daten und Zahlen, möglichst mit sofortigem historischem Vergleich zu vielen zurückliegenden Jahren. Im Zweifel wurden also Daten lieber etwas länger aufbewahrt, weil man ja nicht wusste, welche Daten irgendwann einmal ausgewertet werden sollten.

Das KDG sieht aber – genau wie die DSGVO – ausdrücklich keine Vorratsdatenhaltung vor! Das Prinzip ist klar: Daten sollen nur solange verarbeitet und gespeichert werden, wie es der zuvor festgelegte Zweck erfordert. Solange sind sie auch bestmöglich hinsichtlich Vertraulichkeit, Verfügbarkeit und Richtigkeit (Integrität) zu schützen. Nach dem Ablauf der Erforderlichkeit sind sie aber zu löschen, wofür schon beim Entwurf der Verarbeitung klare Regeln und Löschverfahren festgelegt werden müssen. Deswegen verlangt das Verzeichnis von Verarbeitungstätigkeiten (vergl. § 31 KDG) u.a. auch die Angabe von Löschfristen für die Daten der jeweiligen Verarbeitung.

Streng genommen gilt das bisher Gesagte nur für personenbezogene Daten. Natürlich können in den Einrichtungen und Betrieben auch Daten anfallen, die keinen Personenbezug haben, etwa die Bestell- und Einkaufslisten für Büromaterial, Spielgeräte, Möbel etc., die Rechnung des Gärtners oder Verbrauchsabrechnungen für Energie und Wasser. Der größte Teil der Daten in kirchlichen Einrichtungen bezieht sich aber auf die Organisation Betriebes, der wiederum meistens mit Menschen zu tun hat, also mit Patienten und Angehörigen, Kindern und Eltern oder auf die Mitarbeitenden. Deshalb macht es durchaus Sinn, zur Vereinfachung die nicht-personenbezogenen Daten genau so wie die personenbezogenen Daten behandeln, um eine zusätzliche Fallunterscheidung zu vermeiden und alle Daten nach einem einheitlichen Standard zu behandeln.

Gesetzliche Aufbewahrungsfristen

Die Datenverarbeitung hat u.a. den Zweck, gesetzliche Dokumentationspflichten zu erfüllen. Gesetzliche Vorgaben bestimmen die Dokumentenarten und die Aufbewahrungsfristen, in denen die Behörden im Rahmen von Prüfungen die Vorlage der Dokumente verlangen können. In der Regel legt die gesetzliche Aufbewahrungsfrist die Mindestdauer der Speicherung bzw. Verwahrung der Daten fest. Gesetzliche Aufbewahrungsfristen werden vor allem durch die Abgabenordnung (AO) für steuerliche Zwecke sowie das Handelsgesetzbuch (HGB) zur Sicherstellung einer ordnungsgemäßen Buchführung definiert. Sie gelten u.a. für alle kaufmännischen Dokumente, also z.B. Bestellungen, Eingangs- und Ausgangsrechnungen. Auch das Arbeitsrecht (z.B. Arbeitszeitverordnung AZO, Allgemeines Gleichbehandlungsgesetz AGG) kennt Aufbewahrungsfristen für Bewerbungen, Arbeitsverträge, Gehaltsabrechnungen und deren Grundlagen (Urlaubsanträge, Krankmeldungen, Arbeitszeiterfassungen). Eine Tabelle mit den wichtigsten Aufbewahrungsfristen finden Sie am Ende des Artikels. In allen Fällen muss der Verantwortliche prüfen und ggf. dokumentieren, ob es zusätzliche, über das gesetzliche Mindestmaß hinausgehende betriebliche Zwecke gibt, die eine längere Aufbewahrung der Daten erfordern. Wenn keine gesetzlichen Fristen festgelegt sind, ist die Perspektive der betrieblichen Notwendigkeit der einzige verfügbare Maßstab. Beispielsweise ist es direkt einsichtig, dass ein Vertrag mindestens solange gespeichert werden sollte, wie die Vertragsbeziehung dauert und zusätzlich solange wie noch Ansprüche aus dem Vertrag geltend gemacht werden können.

Wenn der kaufmännische Routinebetrieb (Beschaffung, Personalwesen, Buchhaltung) z.B. für Kindertagesstätten durch Verwaltungszentren erbracht wird, bleibt die Verantwortung vor Ort hauptsächlich für diejenigen Verfahren und Daten, für die es keine expliziten gesetzlichen Aufbewahrungsfristen gibt. Hierzu gehören im Beispiel der Kitas alle Abläufe rund um die Anmeldung und Aufnahme von Kindern, die im Laufe der Betreuung anfallenden pädagogischen Daten (Stichwort „Bildungsdokumentation“) und Dokumentationen des Kita-Betriebes (Gruppenpläne, Dienstpläne). An diesen Beispielen wird deutlich, dass auch der Zeitpunkt festzulegen ist, ab dem die Aufbewahrungsfrist laufen soll. Die meisten Fristen laufen sinnvollerweise nicht ab der Datenerhebung, sondern ab dem Ende einer bestimmten Nutzungszeit, etwa ab dem Entlassdatum des Kindes aus der Kita.

In zentralen Systemen wird systemseitig für eine gesetzeskonforme Löschung Rechnung getragen.

Während in zentralen IT-Systemen die Löschung obsoleter Daten inzwischen eine „eingebaute“ Funktion ist oder wird, müssen die Verantwortlichen (d.h. Träger und Einrichtungsleitungen) bei den dezentralen Lösungen eigene Überlegungen zur Speicherdauer und zu Löschregeln anstellen und diese implementieren.

Das gilt z.B. auch für Dateiablagen, in denen Schriftverkehr gespeichert wird oder für die E-Mail-Postfächer der Einrichtung. Beispiel: Es gibt in der Regel keine Gründe, einen E-Mail-Austausch mit einem Elternteil lange über den Zeitpunkt hinaus zu speichern, an dem das Kind die Kita verlassen hat. Dazu müssen aber organisatorische Regeln erlassen und durchgesetzt werden, nach denen solche obsoleten Daten einfach gefunden und gelöscht werden können.

Papierakten und Ordner

Die zu Beginn des Artikels genannten Grundsätze gelten unabhängig von den Medien, auf denen die Daten aufgezeichnet sind. Bei Verfahren, die „auf Papier“ durchgeführt werden, sind die gleichen Überlegungen zur Dauer der Zweckhaftigkeit anzustellen wie bei IT-gestützten Verfahren. Entsprechend müssen auch für die Organisation des Aktenschrankes Regeln aufgestellt werden, die das Löschen von obsoleten Daten in leichter Weise ermöglichen.

Löschen von Daten auf Papier bedeutet in der Regel das physische Vernichten des Papieres durch Schreddern oder Entsorgung durch einen zur Aktenentsorgung zertifizierten Dienstleister. Nähere Informationen zu den Standards der Aktenvernichtung finden sich in der DIN-Norm 66399, die aufsteigende Sicherheitsstufen bei der Vernichtung definiert. Nach heutigem Stand der Technik sollten zur Vernichtung von Akten mit personenbezogenen Daten immer mindestens Geräte der Sicherheitsstufe 4 verwendet werden. Bei der Anschaffung eines Aktenschredders achten Sie bitte darauf, dass dieser mit dem Zertifikat „P-4“ (das „P“ steht für „Papier“) ausgestattet ist oder beauftragen Sie nur Dienstleister mit der Aktenvernichtung, die eine Behandlung der Akten nach Sicherheitsstufe 4 garantieren.

Langzeitgedächtnis Archiv

Das KDG enthält an mehreren Stellen Verweise auf kirchliche Archive, denen Daten anstelle der Löschung übergeben werden können. Umgekehrt bestimmt die neben dem KDG geltende „Anordnung über die Sicherung und Nutzung der Archive der katholischen Kirche (KAO)“, dass alle katholischen Einrichtungen vor einer Löschung bzw. Vernichtung von Daten bei dem zuständigen Archiv (meistens das Diözesanarchiv) nachfragen müssen, ob das Archiv die Daten übernehmen will. Bei einer positiven Antwort werden die Daten übergeben und gelten dann aus Perspektive der Einrichtung als gelöscht. Bei einer negativen Antwort hat die endgültige Löschung der Daten durch die Einrichtung zu erfolgen.

Das KDSZ steht seit einiger Zeit mit den Diözesanarchivaren im Gespräch mit dem Ziel, die o.g. „Anbietungspflicht“ von Daten für die Einrichtungen praktikabel zu machen. Die Archive begreifen sich nicht als „verlängerte Registratur“ und sind nicht darauf ausgelegt, alle anfallenden Daten in vollständiger Breite zu übernehmen. Vielmehr konzentrieren sich die Archive darauf, einzelne typische Vertreter für bestimmte Arten von Einrichtung auszuwählen, um an diesen Beispielen durch eine Archivierung der Daten ein Abbild der Zeitgeschichte festzuhalten und damit eine zukünftige wissenschaftliche Auswertung zu ermöglichen. Die Entscheidung, welche Einrichtungen dazu ausgewählt werden, trifft das Diözesanarchiv.

Grundsätzlich gilt also, dass in allen Verfahren der Datenverarbeitung eine Datenübergabe an ein Archiv vorgesehen werden sollte, oder besser, dass schon bei der Spezifikation von (neuen) Verfahren mit dem zuständigen Archiv geklärt wird, ob und – wenn ja – welche Daten archivwürdig sind und wie die Übergabe später technisch erfolgen soll.

Unabhängig davon finden Dokumente über besondere Ereignisse der Einrichtung (Richtfeste, Jubiläumsfeiern, Verabschiedung von langgedientem Personal etc.) natürlich einen guten Platz auch in den örtlichen Archiven der Kirchengemeinden.

Gesetzliche Aufbewahrungsfristen (nicht abschließend)