Datenvernichtung nach der DSGVO

Personenbezogene Unterlagen – auch bei der Entsorgung greift der Datenschutz

Die EU-Datenschutzgrundverordnung aus dem Jahr 2018 stellt Unternehmen vor große Herausforderungen, die aber auch mit Chancen verbunden sind. Besonders die Achtung von personenbezogenen Daten kann einen großen Imagegewinn bedeuten, der Kunden und Lieferanten ein gutes und sicheres Gefühl gibt. Es gibt aber auch Bereiche, die in manchen Unternehmen eher stiefmütterlich behandelt werden, aber deren datenschutzrechtliche Bedeutung als sehr hoch zu bewerten ist. Zu diesem Bereich zählt der Umgang mit der Vernichtung von personenbezogenen Unterlagen.

Werden Unterlagen oder Speichermedien nicht ordnungsgemäß entsorgt oder zerstört, so können erschreckende Einzelfälle der Presse entnommen werden. Eine Berliner Sozialberatung hatte Berichte zu psychischen Erkrankungen und den festgestellten Betreuungsbedarf in Verbindung mit persönlichen Daten im Restmüll entsorgt – gebrauchte Festplatten von Behörden wurden mit hochbrisanten Daten auf Verkaufsplattformen angeboten.

Die Konsequenzen sind ein erheblicher Vertrauensverlust und mögliche Sanktionen!‍

Personenbezogene Unterlagen – darauf müssen Betriebe achten

Die neue Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit Daten und Informationen, welche personenbezogene Daten beinhalten. Das Erfassen, Speichern und die weitere Nutzung der Daten unterliegt Regeln, deren Missachtung Bußgeld und einen Imageverlust bedeuten kann. Aber nicht nur im Tagesgeschäft ist die Beachtung der DSGVO ein wichtiger Faktor, denn auch der weitere Umgang bei Löschung und Vernichtung der Daten ist klar geregelt. Nicht nur die digitalen Daten müssen sicher gelöscht werden – auch Papierdokumente, die personenbezogene Daten beinhalten müssen werden und unterliegen, wie auch die elektronischen Daten, der DSGVO.

Welche Vorgaben gibt es bei der Aktenvernichtung?

Die Aktenvernichtung in Unternehmen unterliegt den Sicherheitsstufen der DIN 66399. Für das Unternehmen bedeutet dies, dass eine Regelung vorliegt, welche die Zerkleinerungsart der Dokumente vorschreibt und somit für rechtliche Sicherheit sorgt. Die Mindestgröße der zerkleinerten Partikel der Dokumente bestimmt die Sicherheitsstufe, die ein Schredder oder ein Aktenvernichter vorweisen muss, um die Vorgaben der DSGVO zu erfüllen. Die DIN wird auf den Aktenvernichtern angegeben. Die Sicherheitsstufen geben gleichermaßen vor, um welche Art von Daten es sich handelt und wie mit diesen verfahren wird. Hierbei sind 3 Stufen definiert – die erste Stufe steht für allgemeine Daten, während die Stufe 3 geheime Daten beschreibt.

Betrachtet man die einzelnen Stufen, so sieht die DSGVO folgende Unterteilungen vor:

Stufe 1 – unternehmensinterne Daten (Produktübersichten, Flyer…)

Stufe 2 – vertrauliche Daten (Personaldaten, Buchhaltungsunterlagen, Steuer, Bilanzen…)

Stufe 3 – geheime Daten (Patientendaten, Gesundheitsdaten, Forschungsinformationen…)

Sollen Dokumente der Sicherheitsstufe 3 vernichtet werden, so muss sichergestellt sein, dass die Unterlagen nicht, oder nur mit einem erheblichen Aufwand, reproduzierbar sind.‍

Welche Rolle spielt ein Datenschutzbeauftragter bei der Aktenvernichtung?

Sind mehr als neun Mitarbeiter in einem Unternehmen beschäftigt und haben Zugriff auf personenbezogene Daten, so ist ein interner oder externer Datenschutzbeauftragter zu bestellen. Der Datenschutzbeauftragte hat somit auch die Aufgabe, auf die ordnungsgemäße und rechtskonforme Aktenvernichtung zu achten. Der Datenschutzbeauftragte muss entscheiden, ob ein externer Dienstleister beauftragt wird, der die rechtskonforme Aktenvernichtung vornimmt, oder ob intern alle vorgeschriebenen Prozesse eingehalten werden.

Die externe Entsorgung von Akten

Ein professioneller Dienstleister birgt für Unternehmen Vorteile, da die Vernichtung der Akten rechtskonform durchgeführt werden muss und somit die Einhaltung der Datenschutzrichtlinie gesichert ist. Hochsensible Daten können nur durch einen kostspieligen Aktenvernichter durchgeführt werden – diese Anschaffung entfällt.

Besonders die Belegschaft wird den Einsatz eines externen Dienstleisters begrüßen, da dieser auch Beratungsdienstleistungen anbietet und somit unklare Fälle auf dem kurzen Dienstweg geklärt werden können. Besonders bei der Einstufung in die verschiedenen Sicherheitsstufen kann hier hilfreiche Unterstützung angeboten werden. Gleichzeitig können die Akten auch in der ursprünglichen Form abgegeben werden und ein mühsames Ausheften der einzelnen Blätter entfällt.

Vernichtung von digitalen Speichermedien

In Unternehmen wird mit Speichermedien gearbeitet, welche in vielen Fällen sensible Daten beinhalten. Als Beispiele seien USB-Sticks, DVD´s und CD´s, Festplatten und Smartphones genannt.

Bitte beachten: Auch manche Drucker sind in der Lage personenbezogene Daten zu speichern, welche gleichsam gelöscht werden müssen!

‍Speichermedien, auf denen sensible Daten gespeichert sind, werden oft nicht mehr genutzt und können entsorgt werden. Leider ist eine endgültige Löschung der Daten gar nicht möglich, da Computerprofis auch gelöschte Daten wiederherstellen können und somit Zugriff auf personenbezogene Daten erlangen. Die Speichermedien müssen also komplett zerstört werden. Hier wird ein Aktenvernichter der entsprechenden Sicherheitsstufe benötigt. Ein weiterer, sicherer Weg um Datenträger zu vernichten, ist ein professioneller Dienstleiter, welcher eine Datenträgervernichtung nach der DIN 66399 vornimmt.

Personenbezogene Daten löschen – die Umsetzung

Verlangt ein Verbraucher von einem Unternehmen die Löschung seiner personenbezogenen Daten, so müssen in einem Unternehmen einige Schritte unternommen werden, um eine rechtssicheren Prozess sicherzustellen. Ist hier kein Löschkonzept vorhanden, so kann es zu Bußgeldern und einem Imageverlust kommen.

• ohne ein Konzept kann es zur Löschung falscher Daten kommen.
• werden Daten in verschiedenen Systemen genutzt, kann eine fehlerhafte Löschung Zusammenhänge verschleiern und die Datenqualität leidet.
• wird die Löschung nicht durchgeführt, so droht ein Bußgeld.
• werden Dokumente gelöscht, die noch den gesetzlichen Aufbewahrungsfristen unterliegen, so drohen Konsequenzen.

Aus diesen Gründen sollte ein Unternehmen personenbezogene Daten nach einem datenschutz-konformen Konzept löschen.

Folgende Schritte beinhaltet ein datenschutz-konformer Löschungsprozess:

• die Verarbeitungsprozesse der personenbezogenen Daten müssen in Gänze identifiziert werden
• um einen sauberen Löschungsprozess durchzuführen, müssen alle Daten und Kategorien erfasst und sämtliche Aufbewahrungsfristen eingehalten werden. Ohne diese Grundlage kann ein Unternehmen keine sichere Datenlöschung vornehmen.
• soll der Löschprozess durchgeführt werden, so müssen alle involvierten Systeme und Schnittstellen feststehen. Ohne die Systeme und Datenflüsse identifiziert zu haben, ist kein exakter Löschvorgang möglich. Dieser Punkt wird meistens unterschätzt, aber da man in Unternehmen und Behörden gewachsene IT-Systeme vorfindet, ist dieser Arbeitsschritt als komplex zu bewerten.
• um einen Löschvorgang erfolgreich und rechtlich sicher durchzuführen, muss ein Nachweis über die vollzogene Löschung vorhanden sein.