Datenschutz

Datenvernichtung nach der DSGVO

Datenvernichtung nach der DSGVO
252x252-arthur_heydata_882dfef0fd.jpg
Arthur
27.01.2023

Personenbezogene Unterlagen – auch bei der Entsorgung greift der Datenschutz

Die EU-Datenschutzgrundverordnung aus dem Jahr 2018 stellt Unternehmen vor große Herausforderungen, die aber auch mit Chancen verbunden sind. Besonders die Achtung von personenbezogenen Daten kann einen großen Imagegewinn bedeuten, der Kunden und Lieferanten ein gutes und sicheres Gefühl gibt. Es gibt aber auch Bereiche, die in manchen Unternehmen eher stiefmütterlich behandelt werden, aber deren datenschutzrechtliche Bedeutung als sehr hoch zu bewerten ist. Zu diesem Bereich zählt der Umgang mit der Vernichtung von personenbezogenen Unterlagen.

Werden Unterlagen oder Speichermedien nicht ordnungsgemäß entsorgt oder zerstört, so können erschreckende Einzelfälle der Presse entnommen werden. Eine Berliner Sozialberatung hatte Berichte zu psychischen Erkrankungen und den festgestellten Betreuungsbedarf in Verbindung mit persönlichen Daten im Restmüll entsorgt – gebrauchte Festplatten von Behörden wurden mit hochbrisanten Daten auf Verkaufsplattformen angeboten.

Die Konsequenzen sind ein erheblicher Vertrauensverlust und mögliche Sanktionen!‍

Personenbezogene Unterlagen – darauf müssen Betriebe achten

Die neue Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit Daten und Informationen, welche personenbezogene Daten beinhalten. Das Erfassen, Speichern und die weitere Nutzung der Daten unterliegt Regeln, deren Missachtung Bußgeld und einen Imageverlust bedeuten kann. Aber nicht nur im Tagesgeschäft ist die Beachtung der DSGVO ein wichtiger Faktor, denn auch der weitere Umgang bei Löschung und Vernichtung der Daten ist klar geregelt. Nicht nur die digitalen Daten müssen sicher gelöscht werden – auch Papierdokumente, die personenbezogene Daten beinhalten müssen werden und unterliegen, wie auch die elektronischen Daten, der DSGVO.

Welche Vorgaben gibt es bei der Aktenvernichtung?

Die Aktenvernichtung in Unternehmen unterliegt den Sicherheitsstufen der DIN 66399. Für das Unternehmen bedeutet dies, dass eine Regelung vorliegt, welche die Zerkleinerungsart der Dokumente vorschreibt und somit für rechtliche Sicherheit sorgt. Die Mindestgröße der zerkleinerten Partikel der Dokumente bestimmt die Sicherheitsstufe, die ein Schredder oder ein Aktenvernichter vorweisen muss, um die Vorgaben der DSGVO zu erfüllen. Die DIN wird auf den Aktenvernichtern angegeben. Die Sicherheitsstufen geben gleichermaßen vor, um welche Art von Daten es sich handelt und wie mit diesen verfahren wird. Hierbei sind 3 Stufen definiert – die erste Stufe steht für allgemeine Daten, während die Stufe 3 geheime Daten beschreibt.

Betrachtet man die einzelnen Stufen, so sieht die DSGVO folgende Unterteilungen vor:

Stufe 1 unternehmensinterne Daten (Produktübersichten, Flyer…)

Stufe 2 – vertrauliche Daten (Personaldaten, Buchhaltungsunterlagen, Steuer, Bilanzen…)

Stufe 3 – geheime Daten (Patientendaten, Gesundheitsdaten, Forschungsinformationen…)

Sollen Dokumente der Sicherheitsstufe 3 vernichtet werden, so muss sichergestellt sein, dass die Unterlagen nicht, oder nur mit einem erheblichen Aufwand, reproduzierbar sind.‍

Welche Rolle spielt ein Datenschutzbeauftragter bei der Aktenvernichtung?

Sind mehr als neun Mitarbeiter in einem Unternehmen beschäftigt und haben Zugriff auf personenbezogene Daten, so ist ein interner oder externer Datenschutzbeauftragter zu bestellen. Der Datenschutzbeauftragte hat somit auch die Aufgabe, auf die ordnungsgemäße und rechtskonforme Aktenvernichtung zu achten. Der Datenschutzbeauftragte muss entscheiden, ob ein externer Dienstleister beauftragt wird, der die rechtskonforme Aktenvernichtung vornimmt, oder ob intern alle vorgeschriebenen Prozesse eingehalten werden.

Die externe Entsorgung von Akten

Ein professioneller Dienstleister birgt für Unternehmen Vorteile, da die Vernichtung der Akten rechtskonform durchgeführt werden muss und somit die Einhaltung der Datenschutzrichtlinie gesichert ist. Hochsensible Daten können nur durch einen kostspieligen Aktenvernichter durchgeführt werden – diese Anschaffung entfällt.

Besonders die Belegschaft wird den Einsatz eines externen Dienstleisters begrüßen, da dieser auch Beratungsdienstleistungen anbietet und somit unklare Fälle auf dem kurzen Dienstweg geklärt werden können. Besonders bei der Einstufung in die verschiedenen Sicherheitsstufen kann hier hilfreiche Unterstützung angeboten werden. Gleichzeitig können die Akten auch in der ursprünglichen Form abgegeben werden und ein mühsames Ausheften der einzelnen Blätter entfällt.

Vernichtung von digitalen Speichermedien

In Unternehmen wird mit Speichermedien gearbeitet, welche in vielen Fällen sensible Daten beinhalten. Als Beispiele seien USB-Sticks, DVD´s und CD´s, Festplatten und Smartphones genannt.

Bitte beachten: Auch manche Drucker sind in der Lage personenbezogene Daten zu speichern, welche gleichsam gelöscht werden müssen!

‍Speichermedien, auf denen sensible Daten gespeichert sind, werden oft nicht mehr genutzt und können entsorgt werden. Leider ist eine endgültige Löschung der Daten gar nicht möglich, da Computerprofis auch gelöschte Daten wiederherstellen können und somit Zugriff auf personenbezogene Daten erlangen. Die Speichermedien müssen also komplett zerstört werden. Hier wird ein Aktenvernichter der entsprechenden Sicherheitsstufe benötigt. Ein weiterer, sicherer Weg um Datenträger zu vernichten, ist ein professioneller Dienstleiter, welcher eine Datenträgervernichtung nach der DIN 66399 vornimmt.

Personenbezogene Daten löschen – die Umsetzung

Verlangt ein Verbraucher von einem Unternehmen die Löschung seiner personenbezogenen Daten, so müssen in einem Unternehmen einige Schritte unternommen werden, um eine rechtssicheren Prozess sicherzustellen. Ist hier kein Löschkonzept vorhanden, so kann es zu Bußgeldern und einem Imageverlust kommen.

  • ohne ein Konzept kann es zur Löschung falscher Daten kommen.
  • werden Daten in verschiedenen Systemen genutzt, kann eine fehlerhafte Löschung Zusammenhänge verschleiern und die Datenqualität leidet.
  • wird die Löschung nicht durchgeführt, so droht ein Bußgeld.
  • werden Dokumente gelöscht, die noch den gesetzlichen Aufbewahrungsfristen unterliegen, so drohen Konsequenzen.

Aus diesen Gründen sollte ein Unternehmen personenbezogene Daten nach einem datenschutz-konformen Konzept löschen.

Folgende Schritte beinhaltet ein datenschutz-konformer Löschungsprozess:

  • die Verarbeitungsprozesse der personenbezogenen Daten müssen in Gänze identifiziert werden
  • um einen sauberen Löschungsprozess durchzuführen, müssen alle Daten und Kategorien erfasst und sämtliche Aufbewahrungsfristen eingehalten werden. Ohne diese Grundlage kann ein Unternehmen keine sichere Datenlöschung vornehmen.
  • soll der Löschprozess durchgeführt werden, so müssen alle involvierten Systeme und Schnittstellen feststehen. Ohne die Systeme und Datenflüsse identifiziert zu haben, ist kein exakter Löschvorgang möglich. Dieser Punkt wird meistens unterschätzt, aber da man in Unternehmen und Behörden gewachsene IT-Systeme vorfindet, ist dieser Arbeitsschritt als komplex zu bewerten.
  • um einen Löschvorgang erfolgreich und rechtlich sicher durchzuführen, muss ein Nachweis über die vollzogene Löschung vorhanden sein.

 

Weitere Artikel

wie_man_whatsapp_nutzt_und_konform_bleibt_489eec2405.webp

Wie man WhatsApp für Unternehmen nutzt und dabei DSGVO-konform bleibt

Mit über 2 Milliarden Nutzern ist WhatsApp ein mächtiges Werkzeug für Unternehmen, um Kunden anzusprechen. Die Einhaltung der DSGVO ist jedoch ein großes Problem, insbesondere für die klassischen WhatsApp- und WhatsApp Business-Apps, die Metadaten verarbeiten und auf Kontaktdaten zugreifen. Die WhatsApp Business API, die für größere Unternehmen entwickelt wurde, bietet eine sicherere Lösung, die mit externen Business Solution Providern (BSPs) zusammenarbeitet, um den Datenschutz zu gewährleisten. Die Wahl eines BSP in der EU/im EWR mit angemessenen Datenmanagement-Fähigkeiten ist entscheidend, um die DSGVO einzuhalten und die Reichweite von WhatsApp effektiv zu nutzen.

Mehr erfahren
webinar-marketing-gdpr

Webinar Rückblick: DSGVO und Marketing

Erschweren Compliance-Regeln deine Marketingstrategien? Unser neuestes Webinar unter der Leitung von Arthur Almeida, LL.M., Privacy Success Manager bei heyData, soll dir helfen, diese Herausforderungen zu meistern. In dieser Live-Frage-Antwort-Runde konnten wir uns direkt mit einem Experten austauschen, der die Feinheiten der DSGVO-Einhaltung in der Marketingwelt kennt.

Mehr erfahren
NIS2-Part-Two-DE

Wichtige Schritte und Risiken bei Nichteinhaltung der NIS2-Richtlinie

Die NIS2-Richtlinie, die ab dem 17. Oktober 2024 in Kraft tritt, schreibt strengere Cybersicherheitsanforderungen in der gesamten EU vor und zielt auf ein breiteres Spektrum von Sektoren ab. Zu den Risiken bei Nichteinhaltung gehören hohe Geldstrafen, Durchsetzungsmaßnahmen, Rufschädigung, Betriebsstörungen und sogar strafrechtliche Sanktionen für die oberste Führungsebene. Um die Anforderungen zu erfüllen, müssen Organisationen zunächst prüfen, ob sie in den Geltungsbereich der Richtlinie fallen, und dann ihre Cybersicherheitsmaßnahmen bewerten und verstärken. Dazu gehören die Verbesserung des Risikomanagements, der Zugangskontrollen, der Reaktion auf Vorfälle und der Sicherheit durch Dritte. Bei der Einhaltung geht es nicht nur um die Einhaltung von Gesetzen, sondern auch um die Verbesserung der allgemeinen Sicherheit und des Vertrauens.

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen