Ein Records Management dient der systematischen Verwaltung geschäftsrelevanter Dokumente und ist hilfreich bei der Einhaltung rechtlicher Vorgaben (Bild: Pixabay)
Ernst Platz, Rechtsanwalt, aus dem CAS Data Privacy Officer
Das ungerechtfertigte Horten von Personendaten ist eine verbreitete Unsitte, welcher das Datenschutzgesetz einen Riegel schieben will. Im Spannungsfeld zwischen der Pflicht, nicht benötigte Personendaten zu vernichten und gesetzlichen Aufbewahrungspflichten sowie eigenen Interessen kann ein Records Management eine wichtige Stütze sein. Zwar ist dessen Einführung mit Aufwand und Widerständen verbunden, erspart aber längerfristig Ärger
Ohne eine systematische Verwaltung von Dokumenten wäre der Büroalltag durch ein heilloses Durcheinander gekennzeichnet – wichtige Schriftstücke blieben unauffindbar oder veraltete Daten verschwendeten Platz. Nicht zu vergessen sind rechtliche Risiken, welche zu Konflikten mit dem Datenschutz führen können. Um diesem Problem Herr zu werden, ist ein durchdachtes Konzept zur Dokumentenablage in Form eines sog. Records Managements von zentraler Bedeutung. Je nach Grösse des Unternehmens und der Art der betroffenen Dokumente kann eine simple Tabelle als Hilfsmittel genügen, wogegen in grösseren Dimensionen ausgefeilte Software-Tools nötig sind.
Aufbewahrung oder Löschen – das ist hier die Frage
Der im Datenschutzgesetz verankerte Verhältnismässigkeitsgrundsatz besagt, dass Personendaten nicht länger als unbedingt notwendig aufbewahrt werden dürfen (Art. 4 Abs. 2 DSG). Jedoch kann dieses Gebot mit gesetzlichen Aufbewahrungspflichten oder weiteren Rechtfertigungsgründen kollidieren. Hieraus ergibt sich der Rahmen für den Lebenszyklus der Personendaten.
Gesetzliche Rechtfertigungsgründe ermöglichen längere Speicherung
Die gesetzlichen Aufbewahrungspflichten stellen einen Rechtfertigungsgrund zur Bearbeitung von Personendaten dar (Art. 13 Abs. 1 DSG). Sobald dieser weg fällt und keine anderen Rechtfertigungsgründe greifen, müssen Personendaten innert nützlicher Frist vernichtet werden. Ein typisches Beispiel sind gesetzliche Aufbewahrungspflichten für Geschäftsakten, für welche zumeist eine Frist von 10 Jahren gilt (Art. 958f OR), während z.B. das Steuerrecht längere Fristen kennt.
In der Praxis besteht zudem seitens der Datenbearbeiter oft ein überwiegendes Interesse i.S.v. Art. 13 Abs. 1 DSG daran, Geschäftsvorgänge bis zum Eintreten der Verjährung beweisen zu können, um eigene Forderungen durchzusetzen und Forderungen von Dritten abzuwehren. In den meisten Fällen rechtfertigt sich somit eine Aufbewahrungsdauer von 10 Jahren entsprechend der allgemeinen Verjährungsfrist nach OR.
Schliesslich ist es im Einzelfall möglich, dass eine Vertragsabwicklung länger dauert, als die Verjährungsfrist. Auch dabei handelt es sich um einen Rechtfertigungsgrund zur weiteren Bearbeitung von Personendaten (Art. 13 Abs. 2 Bst. a DSG).
Was ist zu tun?
Die eigenen Dokumente im Griff zu haben bringt dem Unternehmen nicht nur Effizienzvorteile, sondern trägt der gesetzlichen Vorgabe zur technisch und organisatorisch gesetzeskonformen Ausgestaltung der Datenbearbeitung Rechnung. Ein erster wichtiger Schritt ist es dem Gebot der Datensparsamkeit nachzuleben, da die Datenbearbeitung nicht dem Selbstzweck dient. Die notwendigen Überlegungen zu den Verjährungsfristen und Rechtfertigungsgründen sind vor dem Hintergrund der spezifischen Geschäftstätigkeit zu beurteilen. Im Sinne eines Risiko-Managements wäre es auch denkbar gewisse Dokumente vor dem Ablauf der Verjährungsfrist zu vernichten, falls die Wahrscheinlichkeit einer diesbezüglichen rechtlichen Auseinandersetzung gering oder der potentielle Streitwert unbedeutend ist – selbstredend gehen gesetzliche Aufbewahrungsfristen vor.
In diesem Sinn ergeht der Appell: Schenken Sie Ihrer Dokumentenablage die gebührende Aufmerksamkeit, vermeiden Sie somit Berge obsoleter Dokumente und schlimmstenfalls rechtliche Problem mit dem EDÖB. Die mitunter aufwändige Planung und Umsetzung eines Records Managements sollten Sie nicht scheuen.