Die ISO/IEC 17020 und die DSGVO

Eine Inspektionsstelle, die die Anforderungen der ISO 17020:2012 einhalten möchte, wird in Bezug auf die Archivierung von Daten, die Vorgaben der Norm beachten müssen. Diese Vorgaben sind in § 8.4.1 der ISO/IEC 17020:2012 festgelegt. Aber, wie verhält sich das zu der Datenschutz-Grundverordnung (DSGVO)?

In § 8.4.1 der Norm 17020:2012 wird von einer Inspektionsstelle das Folgende verlangt:

8.4.1 Die Inspektionsstelle muss Verfahren erstellen, die die Lenkungsmaßnahmen festlegen, die erforderlich sind für die Kennzeichnung, die Aufbewahrung, den Schutz, die Wiederauffindbarkeit, die Aufbewahrungsfrist und den Verbleib ihrer Aufzeichnungen im Hinblick auf die Erfüllung dieser Internationalen Norm.

ILAC P15, die Erläuterung zur Inspektionsnorm ISO/IEC 17020, unterstreicht, dass diese Anforderung bedeutet, dass alle Aufzeichnungen (bzw. Registrierungen), die erforderlich sind um die Erfüllung der Anforderungen der 17020 nachzuweisen, erfolgen müssen und aufbewahrt werden müssen.

Weder die Norm ISO/IEC 17020, noch die Norm ILAC P15 nennen jedoch konkrete Aufbewahrungsfristen. Als Inspektionsstelle sollte man daher selbst eine durchdachte Systematik hinsichtlich des Aufbewahrens von Aufzeichnungen bzw. Registrierungen erstellen, gerade auch im Hinblick auf die Datenschutz-Grundverordnung (DSGVO), die am 25.5. 2018 in Kraft trat. In ihr ist festgelegt, dass personenbezogene Daten nicht länger aufbewahrt werden dürfen, als dies für bestimmte (Verarbeitungs-)Zwecke erforderlich ist. Auch die DSGVO nennt keine konkreten Aufbewahrungsfristen, sondern verweist auf einschlägige gesetzliche -z.B. in der Abgabenordnung oder im Handelsgesetzbuch- festgelegte Fristen.

Hierbei sollten jedoch andere Vorschriften, die im Rahmen des Scope (des Anwendungsbereichs) der Akkreditierung relevant sind, ebenfalls berücksichtigt werden. Als Beispiel nennen wir hier die Inspektion eines Programms, bei der lange Intervalle zwischen den Inspektionen vorgesehen sind. Wenn nach einer erfolgten Inspektion die nächste Inspektion erst in sechs Jahren vorgesehen ist und man zur Vorbereitung einer Inspektion auf die Unterlagen der vorigen Prüfhandlungen zurückgreifen möchte, gilt hier eine Mindestaufbewahrungsfrist von sechs Jahren. Die Inspektionsstelle kann diese Frist als Mindestaufbewahrungsfrist für das Archiv handhaben.

Die 17020-Berater erleben oft, dass man sich in Inspektionsstellen, nicht gern mit diesem Thema auseinandersetzt. Es ist lästig und zeitaufwändig und der Einfachheit halber denkt man oft: „Besser zu lang aufbewahren, als zu kurz!“ und da kann es vorkommen, dass Akten mit Inspektionsdaten unendlich lang abgelegt werden. Es ist jedoch Sache, sich Klarheit zu verschaffen und deutliche Fristen festzulegen: welche Mindestaufbewahrungsfristen und welche Höchstaufbewahrungsfristen gelten und an welchen Daten müssen welche Dokumente, Unterlagen bzw. Akten vernichtet werden. Jede Inspektionsstelle hat dies selbst, und zwar zutreffend auf ihre eigenen Umstände festzulegen.

Related Articles
ILAC P15:05/2020: alle Änderungen auf einen Blick
Revision der ILAC P15
Befristung einer Akkreditierung unzulässig