Bei Organisationen spielt die Entwicklung (Historie) eine wichtige Rolle. So wird oft auch ein Bestehen von Jahrzehnten als Anlass für eine große Feier und Präsentation der Organisation genutzt.
Hierzu zählt natürlich auch nach vielen Jahren noch die Nachvollziehbarkeit, wie sich die Organisation zahlenmäßig und projektartig entwickelt hat. Gerade große Meilensteine aus der Presse, aber auch wichtige interne Events können eine besondere Relevanz haben.
Es ist daher nachvollziehbar, dass Organisationen sich deshalb ein Archiv über die Historie aufbauen, in welchem dauerhaft Informationen zur Entwicklung gespeichert sind. Da wichtige Meilensteine auch oft mit bestimmten Personen zusammenhängen, bleibt da eine Speicherung von personenbezogenen Daten nicht aus.
Personenbezogene Daten
Grundsätzlich ist zu unterscheiden, ob für die genannte Verarbeitung die DSGVO anwendbar ist. Die DSGVO greift nur, wenn es sich beim Betroffenen um eine lebende Person handelt. Inhalte der Organisationsgeschichte, die bereits verstorbene Personen betreffen, fallen nicht und die DSGVO.
Auch Inhalte, die keinerlei Personenbezug aufweisen, also Informationen über die Organisation und Prozesse, unterfallen nicht der DSGVO. Diese Inhalte können dauerhaft gespeichert werden.
Journalistische Zwecke
Organisationen beziehen sich gerne auf die Öffnungsklausel nach Art. 85 der DSGVO, die Verarbeitungen zu journalistischen Zwecken betrifft. Dabei wird jedoch die Meinung vertreten, dass Organisationen sich auf diese Öffnungsklausel nicht berufen können. Vielmehr gilt diese Öffnungsklausel für Presseunternehmen und Journalisten.
Die gespeicherten personenbezogenen Inhalte im Organisationsarchiv sind deshalb meistens im Sinne der DSGVO zu beurteilen.
Rechtsgrundlage
Die Speicherung von personenbezogenen Daten zum Zweck der Historie (Archiv) kann grundsätzlich auf Basis des berechtigten Interesses erfolgen. Soweit die Daten vorab zu anderen Zwecken erhoben und verarbeitet wurden, liegt zusätzlich eine Zweckänderung nach Art. 6 Abs. 4 DSGVO vor, weshalb die Voraussetzungen ggf. zu prüfen sind.
Erforderlich
Die personenbezogenen Daten der Inhalte müssen inhaltlich erforderlich und archivierungswert sein. Wenn es zum Beispiel um ein Ergebnis an sich geht und die betroffene Personen irrelevant sind, sind die personenbezogenen Daten vor Archivierung zu entfernen. So ist es denkbar, bei der Archivierung von Unterlagen/ Dokumenten den Autor zu entfernen, wenn dieser keine Rolle spielt.
Schutzwürdige Interessen
Zudem ist bei den Inhalten zu prüfen, ob schutzwürdige Interessen der Betroffenen überwiegen. Dies ist insbesondere dann der Fall, wenn es sich um sensible Inhalte handelt. Bei Informationen, die im Zusammenhang mit den Betroffenen veröffentlicht werden (z. B. Presse, Internet), dürfen grundsätzlich keine überwiegenden schutzwürdigen Interessen vorliegen.
Darüber hinaus ist der Einzelfall abzuwägen. Personalunterlagen o. Ä. sind hier in keinem Fall zu archivieren. Dies gilt auch für personenbezogene Daten besonderer Kategorien nach Art. 9 DSGVO (insbesondere Gesundheitsdaten etc.).
Dauerhafte Speicherung
Grundsätzlich sind Daten nach Zweckerfüllung oder nach Ablauf einer gesetzlichen Archivierungsfrist zu löschen.
Wie bereits erwähnt, ist dabei ein Bezug auf die Öffnungsklausel, welche sich auf Presseunternehmen stützt, nicht möglich. Es bleibt weiterhin dabei, dass die Grundsätze nach Art. 5 DSGVO einzuhalten sind.
Dies umfasst auch den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO. Ausnahmen hiervon gibt es nicht. Denn selbst für die Presse gilt, dass eine dauerhafte Speicherung von Inhalten nicht pauschal vertretbar ist.
Löschfristen
Es ist deshalb eine Löschfrist für die Speicherung von Inhalten einzurichten. Doch dabei wird argumentiert, dass der Zweck zum Nachhallen der Organisationshistorie dauerhaft besteht und somit zu keinem Zeitpunkt erreicht ist.
Dies gilt insbesondere, wenn die Inhalte auch an anderer Stelle öffentlich zugänglich sind (bspw. im Falle von öffentlich zugänglichen Artikeln). Daher ist es fraglich, inwieweit eine Löschpflicht in der Organisation bestehen kann, wenn die Inhalte öffentlich für alle einsehbar sind.
Da es in der DSGVO aber keine Ausnahme zum Grundsatz der Speicherbegrenzung gibt, ist es rechtssicher, eine Löschfrist für personenbezogene Daten festzulegen. Insbesondere für Inhalte, die nicht in Veröffentlichungen durch die Presse festgehalten wurden, sondern vielmehr nur interne Kommunikation betreffen, sollte immer eine Prüfung erfolgen, ob die Inhalte zu anonymisieren sind.
Wenn keine Löschfrist eingerichtet wird, sollte regelmäßig (etwa nach 10 Jahren) geprüft werden, ob die Inhalte mit Personenbezug zum Zweck des Nachhallen der Organisationshistorie weiterhin relevant sind oder ob eine Anonymisierung bzw. Löschung der Inhalte vorzunehmen ist.
Informationspflichten
Die betroffenen Personen sind natürlich gem. Art. 13 DSGVO zu informieren. Insbesondere ist auf die dauerhafte Speicherung der Inhalte hinzuweisen. Sind dabei pauschal sämtliche Inhalte der Organisation betroffen, so sind die Datenschutzhinweise für Mitarbeiter:innen, Kund:innen etc. zu ergänzen.
Auch ist bei individuellen Datenschutzinformationen (Aufsteller auf Veranstaltungen, Einwilligungserklärungen bei Fotos/Videos) direkt auf die Speicherung der Daten zu Archivzwecken hinzuweisen.
Dabei ist insbesondere auf das Widerspruchsrecht der Betroffenen hinzuweisen.
Restrisiko
Es gibt nach der DSGVO keine Ausnahmeregelung zur Speicherbegrenzung und daher ist eine dauerhafte Speicherung von personenbezogenen Daten mit einem Restrisiko verbunden. Zur Risikoreduzierung bei dauerhafter Speicherung ist eine regelmäßige Überprüfung der Inhalte erforderlich, um entsprechende Inhalte ggf. zu löschen oder zu anonymisieren.
Zusätzlich ist darauf hinzuweisen, dass bei Veröffentlichung archivierter Inhalte ggf. eine Einwilligung erforderlich ist.
Also lassen Sie sich gut beraten.