Die Archivierung personenbezogener Daten ist in sozialwirtschaftlichen Einrichtungen ein notwendiger Bestandteil der Verwaltungs- und Dokumentationspraxis. Sie betrifft Klient*innenakten, Hilfeverläufe, Personalunterlagen, Rechnungen, Verwendungsnachweise und viele weitere datenhaltige Dokumente, die aus rechtlichen, organisatorischen oder fachlichen Gründen über einen bestimmten Zeitraum aufbewahrt werden müssen. Aus datenschutzrechtlicher Sicht ist die Archivierung jedoch nicht automatisch zulässig, sondern muss sich an den Grundsätzen der DSGVO orientieren – insbesondere an der Zweckbindung, der Speicherbegrenzung und der Integrität. Der zentrale Grundsatz lautet: Daten dürfen nur so lange gespeichert werden, wie sie für den ursprünglichen Zweck erforderlich sind oder eine gesetzliche Aufbewahrungspflicht besteht.

Dabei ist zu unterscheiden zwischen der aktiven Datenverarbeitung und der passiven Archivierung. Sobald ein Zweck entfällt – etwa nach dem Ende einer Hilfe, dem Abschluss eines Arbeitsverhältnisses oder der Abrechnung eines Projekts – dürfen die Daten nicht mehr ohne weiteres im Zugriff verbleiben, sondern müssen entweder gelöscht oder in ein gesondertes, eingeschränkt zugängliches Archivsystem überführt werden. Dieses Archiv darf nur von berechtigten Personen eingesehen werden und muss technisch so gestaltet sein, dass eine unbefugte Weiterverarbeitung ausgeschlossen ist. Die bloße Lagerung in allgemeinen Dateiverzeichnissen, in unverschlüsselten Netzlaufwerken oder in Papierform ohne Zugriffskontrolle stellt keine datenschutzkonforme Archivierung dar, sondern ein erhebliches Risiko für Datenschutzverletzungen.

Die Aufbewahrungspflichten in der Sozialwirtschaft ergeben sich aus unterschiedlichen rechtlichen Grundlagen: etwa aus dem Handels- und Steuerrecht (zehn Jahre für Rechnungen, sechs Jahre für geschäftliche Korrespondenz), aus dem Sozialgesetzbuch (je nach Trägerstruktur zwischen fünf und zehn Jahren für bestimmte Hilfeakten), aus landesrechtlichen Vorgaben oder aus vertraglichen Bedingungen gegenüber Fördermittelgebern. Auch die Trägerverantwortung oder Prüfpflichten öffentlicher Stellen können eine befristete Aufbewahrung rechtfertigen. Diese Fristen müssen klar dokumentiert und regelmäßig überprüft werden. Eine unbegrenzte Speicherung auf Vorrat ist unzulässig und widerspricht dem Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO.

Einrichtungen sind verpflichtet, ein Lösch- und Archivierungskonzept zu entwickeln, das festlegt, welche Daten wann gelöscht oder archiviert werden, wer hierfür zuständig ist, wie die Zugriffsrechte im Archiv geregelt sind und wie mit Sonderfällen umgegangen wird. Dabei muss auch die Trennung zwischen fachlicher und rechtlicher Notwendigkeit beachtet werden. Häufig werden Akten über Jahre aufbewahrt, weil sie „noch gebraucht werden könnten“, obwohl keine rechtliche Grundlage mehr besteht. Auch das Bedürfnis nach interner Absicherung oder Dokumentation entbindet nicht von der Pflicht, Daten zu löschen oder zu archivieren.

Die IJOS Datenschutzmanagement-Software (DSM) unterstützt Einrichtungen dabei, den Übergang von der aktiven Verarbeitung in die datenschutzkonforme Archivierung systematisch zu organisieren. Sie ermöglicht die Verwaltung von Aufbewahrungsfristen, die automatisierte Erinnerung an anstehende Löschtermine, die Dokumentation von Archivierungsentscheidungen und die risikoorientierte Bewertung von Sonderfällen. So lässt sich die Einhaltung der Speicherbegrenzung nicht nur sicherstellen, sondern auch nachweisen – ein wesentlicher Bestandteil der Rechenschaftspflicht. In Verbindung mit der Whistleblower-Plattform der IJOS GmbH können auch interne Verstöße gegen Archivierungs- oder Löschregeln anonym gemeldet und strukturiert aufgearbeitet werden.

Archivierung ist kein rein administrativer Vorgang, sondern ein sensibler Bestandteil des Datenschutzes. Wer personenbezogene Daten über die zulässige Dauer hinaus speichert oder ungesichert archiviert, riskiert nicht nur Bußgelder und Aufsichtsmaßnahmen, sondern auch das Vertrauen der Menschen, deren Daten anvertraut wurden. Einrichtungen der Sozialwirtschaft, die über strukturierte, dokumentierte und technisch abgesicherte Archivierungsprozesse verfügen, erfüllen nicht nur die rechtlichen Anforderungen, sondern zeigen auch, dass sie verantwortungsvoll und professionell mit sensiblen Informationen umgehen.