Zurück

Jan
07 2020

Zurück zur Übersicht

DIE ISO/IEC 17020 und die DSGVO


Eine Inspektionsstelle, die die Anforderungen der ISO 17020:2012 einhalten möchte, wird in Bezug auf die Archivierung von Daten, die Vorgaben der Norm beachten müssen. Diese Vorgaben sind in 8.4.1 der ISO/IEC 17020:2012 festgelegt. Aber, wie verhält sich diese Forderung zu der Datenschutz-Grundverordnung (DSGVO)?

In 8.4.1 der Norm 17020:2012 wird von einer Inspektionsstelle das Folgende verlangt:

Die Inspektionsstelle muss Verfahren erstellen, die die Lenkungsmaßnahmen festlegen, die erforderlich sind für die Kennzeichnung, die Aufbewahrung, den Schutz, die Wiederauffindbarkeit, die Aufbewahrungsfrist und den Verbleib ihrer Aufzeichnungen im Hinblick auf die Erfüllung dieser Internationalen Norm.

ILAC P15, die Erläuterung zur Inspektionsnorm ISO/IEC 17020, unterstreicht, dass diese Anforderung bedeutet, dass alle Aufzeichnungen (bzw. Registrierungen), die erforderlich sind um die Erfüllung der Anforderungen der 17020 nachzuweisen, erfolgen müssen und aufbewahrt werden müssen.

Weder die Norm ISO/IEC 17020, noch die Norm ILAC P15 nennen jedoch konkrete Aufbewahrungsfristen.

Als Inspektionsstelle sollte man daher selbst eine durchdachte Systematik hinsichtlich des Aufbewahrens von Aufzeichnungen bzw. Registrierungen erstellen, gerade auch im Hinblick auf die Datenschutz-Grundverordnung (DSGVO). In ihr ist festgelegt, dass personenbezogene Daten nicht länger aufbewahrt werden dürfen, als dies für bestimmte (Verarbeitungs-)Zwecke erforderlich ist. Auch die DSGVO nennt keine konkreten Aufbewahrungsfristen, sondern verweist auf einschlägige gesetzliche -z.B. in der Abgabenordnung oder im Handelsgesetzbuch- festgelegte Fristen.

Die wesentliche Frist für akkreditierte Inspektionsstellen stammt aus dem Akkreditierungsgesetz: §12 (8) Akkreditierte Konformitätsbewertungsstellen müssen jene Aufzeichnungen, die zur Nachvollziehbarkeit und Schlüssigkeit der ausgestellten Berichte und Zertifikate dienen, zehn Jahre aufbewahren.

Es ist lästig und zeitaufwändig und der Einfachheit halber denkt man oft: „Besser zu lang aufbewahren, als zu kurz!“ und da kann es vorkommen, dass Akten mit Inspektionsdaten unendlich lang abgelegt werden. Es ist jedoch Sache, sich Klarheit zu verschaffen und deutliche Fristen festzulegen: welche Mindestaufbewahrungsfristen und welche Höchstaufbewahrungsfristen gelten und an welchen Daten müssen welche Dokumente, Unterlagen bzw. Akten vernichtet werden. Jede Inspektionsstelle hat dies selbst, und zwar zutreffend auf ihre eigenen Umstände festzulegen.

Zurück