Die EU-Datenschutzgrundverordnung aus dem Jahr 2018 stellt Unternehmen vor große Herausforderungen, die aber auch mit Chancen verbunden sind. Besonders die Achtung von personenbezogenen Daten kann einen großen Imagegewinn bedeuten, der Kunden und Lieferanten ein gutes und sicheres Gefühl gibt. Es gibt aber auch Bereiche, die in manchen Unternehmen eher stiefmütterlich behandelt werden, aber deren datenschutzrechtliche Bedeutung als sehr hoch zu bewerten ist. Zu diesem Bereich zählt der Umgang mit der Vernichtung von personenbezogenen Unterlagen.
Werden Unterlagen oder Speichermedien nicht ordnungsgemäß entsorgt oder zerstört, so können erschreckende Einzelfälle der Presse entnommen werden. Eine Berliner Sozialberatung hatte Berichte zu psychischen Erkrankungen und den festgestellten Betreuungsbedarf in Verbindung mit persönlichen Daten im Restmüll entsorgt – gebrauchte Festplatten von Behörden wurden mit hochbrisanten Daten auf Verkaufsplattformen angeboten.
Die Konsequenzen sind ein erheblicher Vertrauensverlust und mögliche Sanktionen!
Die neue Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit Daten und Informationen, welche personenbezogene Daten beinhalten. Das Erfassen, Speichern und die weitere Nutzung der Daten unterliegt Regeln, deren Missachtung Bußgeld und einen Imageverlust bedeuten kann. Aber nicht nur im Tagesgeschäft ist die Beachtung der DSGVO ein wichtiger Faktor, denn auch der weitere Umgang bei Löschung und Vernichtung der Daten ist klar geregelt. Nicht nur die digitalen Daten müssen sicher gelöscht werden – auch Papierdokumente, die personenbezogene Daten beinhalten müssen werden und unterliegen, wie auch die elektronischen Daten, der DSGVO.
Die Aktenvernichtung in Unternehmen unterliegt den Sicherheitsstufen der DIN 66399. Für das Unternehmen bedeutet dies, dass eine Regelung vorliegt, welche die Zerkleinerungsart der Dokumente vorschreibt und somit für rechtliche Sicherheit sorgt. Die Mindestgröße der zerkleinerten Partikel der Dokumente bestimmt die Sicherheitsstufe, die ein Schredder oder ein Aktenvernichter vorweisen muss, um die Vorgaben der DSGVO zu erfüllen. Die DIN wird auf den Aktenvernichtern angegeben. Die Sicherheitsstufen geben gleichermaßen vor, um welche Art von Daten es sich handelt und wie mit diesen verfahren wird. Hierbei sind 3 Stufen definiert – die erste Stufe steht für allgemeine Daten, während die Stufe 3 geheime Daten beschreibt.
Stufe 1 – unternehmensinterne Daten (Produktübersichten, Flyer…)
Stufe 2 – vertrauliche Daten (Personaldaten, Buchhaltungsunterlagen, Steuer, Bilanzen…)
Stufe 3 – geheime Daten (Patientendaten, Gesundheitsdaten, Forschungsinformationen…)
Sollen Dokumente der Sicherheitsstufe 3 vernichtet werden, so muss sichergestellt sein, dass die Unterlagen nicht, oder nur mit einem erheblichen Aufwand, reproduzierbar sind.
Sind mehr als neun Mitarbeiter in einem Unternehmen beschäftigt und haben Zugriff auf personenbezogene Daten, so ist ein interner oder externer Datenschutzbeauftragter zu bestellen. Der Datenschutzbeauftragte hat somit auch die Aufgabe, auf die ordnungsgemäße und rechtskonforme Aktenvernichtung zu achten. Der Datenschutzbeauftragte muss entscheiden, ob ein externer Dienstleister beauftragt wird, der die rechtskonforme Aktenvernichtung vornimmt, oder ob intern alle vorgeschriebenen Prozesse eingehalten werden.
Ein professioneller Dienstleister birgt für Unternehmen Vorteile, da die Vernichtung der Akten rechtskonform durchgeführt werden muss und somit die Einhaltung der Datenschutzrichtlinie gesichert ist. Hochsensible Daten können nur durch einen kostspieligen Aktenvernichter durchgeführt werden – diese Anschaffung entfällt.
Besonders die Belegschaft wird den Einsatz eines externen Dienstleisters begrüßen, da dieser auch Beratungsdienstleistungen anbietet und somit unklare Fälle auf dem kurzen Dienstweg geklärt werden können. Besonders bei der Einstufung in die verschiedenen Sicherheitsstufen kann hier hilfreiche Unterstützung angeboten werden. Gleichzeitig können die Akten auch in der ursprünglichen Form abgegeben werden und ein mühsames Ausheften der einzelnen Blätter entfällt.
In Unternehmen wird mit Speichermedien gearbeitet, welche in vielen Fällen sensible Daten beinhalten. Als Beispiele seien USB-Sticks, DVD´s und CD´s, Festplatten und Smartphones genannt.
Bitte beachten: Auch manche Drucker sind in der Lage personenbezogene Daten zu speichern, welche gleichsam gelöscht werden müssen!
Speichermedien, auf denen sensible Daten gespeichert sind, werden oft nicht mehr genutzt und können entsorgt werden. Leider ist eine endgültige Löschung der Daten gar nicht möglich, da Computerprofis auch gelöschte Daten wiederherstellen können und somit Zugriff auf personenbezogene Daten erlangen. Die Speichermedien müssen also komplett zerstört werden. Hier wird ein Aktenvernichter der entsprechenden Sicherheitsstufe benötigt. Ein weiterer, sicherer Weg um Datenträger zu vernichten, ist ein professioneller Dienstleiter, welcher eine Datenträgervernichtung nach der DIN 66399 vornimmt.
Verlangt ein Verbraucher von einem Unternehmen die Löschung seiner personenbezogenen Daten, so müssen in einem Unternehmen einige Schritte unternommen werden, um eine rechtssicheren Prozess sicherzustellen. Ist hier kein Löschkonzept vorhanden, so kann es zu Bußgeldern und einem Imageverlust kommen.
Aus diesen Gründen sollte ein Unternehmen personenbezogene Daten nach einem datenschutz-konformen Konzept löschen.
Am 17. Dezember 2021 tritt in der EU die Whistleblower-Richtlinie in Kraft. Höchste Zeit für kleine und mittlere Unternehmen die Auswirkungen der Richtlinie in den Blick zu nehmen! Wir geben einen Überblick, was die Whistleblower-Richtlinie für Unternehmen bedeutet:
Mehr erfahrenSicherheitskontrollen sind wichtig, um unsere Organisation vor möglichen Gefahren zu schützen. Es gibt zwei Haupttypen: Vorbeugende, die darauf abzielen, Vorfälle zu verhindern, bevor sie passieren, und Aufdeckende, die Vorfälle nach ihrem Eintreten aufspüren. Vorbeugende Kontrollen umfassen administrative, technische und physische Maßnahmen wie Richtlinien, Firewalls und Überwachung. Aufdeckende Kontrollen nutzen Prüfpfade, Eindringungserkennungssysteme und Virenscanner. Beide Arten sind entscheidend für den Schutz von Vermögenswerten und Mitarbeitern.
Mehr erfahrenUm für Betroffene gewisse Informationsrechte abzusichern, ist besonders der Artikel 13 der DSGVO zu beachten, da dieser die gegebenen Informationsrechte, wenn eine Erhebung von personenbezogenen Daten stattfindet, regelt.
Mehr erfahren