![Logo der Mammut Deutschland GmbH in [Gemeinde]](https://mammut.goinnovative.dev/img/svg/logo.svg){kind=logo}
Aktenvernichtung entsprechend der DSGVO
Wenn in der heutigen Zeit von Datenschutz im Unternehmen die Rede ist, haben die meisten Personen digitale Datenträger im Kopf. Doch nicht nur Festplatten, USB-Sticks, Handys, Server und so weiter beinhalten schützenswerte Daten, sondern auch bei Papierdokumenten ist dies nach wie vor der Fall.
Sensible Daten, die sich auf dem Unternehmensserver befinden, werden in der Regel durch komplizierte Passwörter und professionelle Verschlüsselungen vor Missbrauch geschützt. Daten in Papierform hingegen befinden sich häufig ohne jegliche Schutzvorkehrungen offen im Büroregal. Beim Löschen von virtuellen Daten werden spezielle Sicherheitsmaßnahmen getroffen, damit sie unter keinen Umständen wiederhergestellt werden können. Papierdokumente hingegen werden oftmals leichtfertig im Büromüll entsorgt.
Selbstverständlich gelten die datenschutzrechtlichen Regelungen jedoch für Papierdokumente ebenso wie für Datenträger. Wir verdeutlichen Ihnen anhand unserer kostenlosen Checkliste zur datenschutzkonformen Aktenvernichtung nach DSGVO (EU-Datenschutz-Grundverordnung), worauf Sie bei der Aufbewahrung und Entsorgung achten müssen.
Pflicht zur Datenlöschung und Aktenvernichtung nach DSGVO
Seit Inkrafttreten der europäischen Datenschutz-Grundverordnung am 25. Mai 2018 ist die Verarbeitung personenbezogener Daten grundsätzlich nicht mehr zulässig (Art. 6). Derartige Daten dürfen nur noch erhoben, verarbeitet und aufbewahrt werden, sofern die entsprechende Person ihre ausdrückliche Erlaubnis dazu erteilt hat. Oder ein gesetzlich vorgeschriebener Grund vorliegt, der eine solche Ausnahmeregelung unbedingt erforderlich macht. Gleichzeitig besteht die Verpflichtung, die gespeicherten Daten umgehend wieder zu löschen, wenn die Erforderlichkeit nicht länger vorhanden ist und kein Gesetz eine weitere Aufbewahrung ausdrücklich vorschreibt.
Die Entsorgung der Daten muss auf eine Weise erfolgen, die es unbefugten dritten Personen unmöglich macht, darauf zuzugreifen. Daher sind Datenträger und Papierakten mit schützenswerten Informationen immer so zu löschen beziehungsweise zu vernichten, dass ihr Inhalt nicht rekonstruiert werden kann.
Schützenswert sind dabei neben personenbezogenen auch unternehmensinterne Daten wie zum Beispiel Reporte und Kennzahlen. Sie müssen daher im Entsorgungsprozess ebenfalls berücksichtigt werden. Analog zu den personenbezogenen Daten muss ihre Vernichtung in einer Form erfolgen, die einen Fremdzugriff unmöglich macht.
Wie genau die Vernichtung durchzuführen ist, richtet sich nach dem Schutzbedarf der zu entsorgenden Daten. Für die Auswahl der Zerkleinerungsstufe des Aktenvernichters sollten Sie sich an der DIN 66399 orientieren. Im Gegensatz zur EN 15713:2009 bzw. DIN EN 15713 weist die Norm DIN 66399 einen verbindlicheren Charakter auf, der den Datenschutzvorschriften der DSGVO besser gerecht wird. Zudem berücksichtigt die DIN 66399 neben Papierakten auch digitale Datenträger.
Nach DIN 66399 werden Datenträger und Akten abhängig von den Informationen, welche sie beinhalten, in verschiedene Schutzklassen und Sicherheitsstufen unterteilt. Diese ermöglichen eine Einschätzung der potenziellen Risiken, wenn die Daten in fremde Hände gelangen:
- Unternehmensinterne Daten, beispielsweise Prospekte oder Produktübersichten, fallen in die Schutzklasse 1. Gemäß dieser muss der Schutz personenbezogener Daten garantiert sein. Ansonsten besteht für den Betroffenen das Risiko, dass er in seiner gesellschaftlichen Stellung sowie seinen wirtschaftlichen Verhältnissen negativ beeinträchtigt wird.
- Die Schutzklasse 2 umfasst vertrauliche Informationen wie Personal- und Adressdaten von Personen, beispielsweise aus Bestellungen, Steuerunterlagen und Bilanzen. Im Falle eines Datenmissbrauchs ist hier die Gefahr, dass die betroffene Person finanziell oder in ihrer gesellschaftlichen Stellung erheblich beeinträchtigt wird, deutlich höher.
- Der Schutzklasse 3 gehören besonders geheime Informationen an, beispielsweise Gesundheits- oder Forschungsdaten. Der Schutz personenbezogener Informationen muss unbedingt gewährleistet sein, da ansonsten die Freiheit, die körperliche Unversehrtheit oder sogar das Leben der betroffenen Person gefährdet sein können.
Für die Durchführung der Daten- und Aktenvernichtung nach DSGVO sind unterschiedliche Sicherheitsstufen vorgegeben. Je nach Sicherheitsstufe variiert der Aufwand, der notwendig wäre, um die vernichteten Daten wiederherzustellen. Die Sicherheitsstufe 3 beispielsweise betrifft sensible, personenbezogene Daten; eine Wiederherstellung wäre mit erheblichem Aufwand verbunden.
Daten- und Aktenvernichtung nach DSGVO durch Dritte
Erfolgt die Datenvernichtung durch einen Dienstleister, müssen Sie bezüglich des Datenschutzes einiges beachten. Sollen persönliche Daten durch eine externe Stelle vernichtet werden, handelt es sich um eine Auftragsverarbeitung (AV), was mit einigen Anforderungen und Konsequenzen verbunden ist:
Das Unternehmen hat dem Dienstleister detailliert mitzuteilen, auf welche Weise die Datenvernichtung durchgeführt werden soll. Die Verantwortung für die datenschutzkonforme Daten- und Aktenvernichtung nach DSGVO behält weiterhin der Auftraggeber. Gleichzeitig ist der Auftragnehmer dazu verpflichtet, die Vernichtung gemäß den erhaltenen Vorgaben durchzuführen. Er unterstützt den Kunden zudem bei Anfragen oder im Schadensfall.
Schredderanlagen zur Vernichtung von Papierdokumenten müssen die Anforderungen der jeweiligen DIN-Norm erfüllen. Die Schutzbedürftigkeit der Daten ist für die Auswahl des Aktenvernichters maßgeblich.
Eine Auftragsverarbeitung liegt auch dann vor, wenn der Dienstleister die Aktenvernichtung beim Kunden vor Ort durchführt.
AV-Vertrag zur Aktenvernichtung erforderlich
Wird die Aktenvernichtung nach DSGVO vom Verantwortlichen an einen Dienstleister abgegeben, muss ein Auftragsverarbeitungs-Vertrag (AV-Vertrag) zwischen beiden Parteien abgeschlossen werden. Dieser hat in jedem Fall die Anforderungen des Art. 28 Abs. 3 DSGVO zu erfüllen: Er muss von vornherein eine genaue Definition des Gegenstandes, Zwecks und der Art der Datenverarbeitung sowie die Dauer, für die sie geplant ist, beinhalten. Auch die Weisungsbefugnisse und Berechtigungen zu Kontrollmaßnahmen durch den Verantwortlichen müssen im Vertrag festgehalten werden.
Die Verantwortung bleibt beim Verantwortlichen
Der Abschluss des AV-Vertrags entbindet den Auftraggeber nicht von seiner Sorgfaltspflicht. Er bleibt weiterhin für die Einhaltung der gesetzlichen Vorschriften verantwortlich; muss also dafür sorgen, dass die Aktenvernichtung DSGVO-gerecht erfolgt.
Es fällt daher auch in die Verantwortung des Auftraggebers, Kriterien wie Art, Umfang, Zweck und Umstände der Vernichtung zu berücksichtigen und Risiken abzuwägen. Dementsprechend muss er geeignete organisatorische und technische Maßnahmen zum Datenschutz festlegen und umsetzen oder anordnen.
Der Dienstleister zur Datenvernichtung: Auswahl und Kontrollmaßnahmen
Um die Daten- und Aktenvernichtung nach DSGVO zu gewährleisten, ist der Auftraggeber auch dafür verantwortlich, einen geeigneten Dienstleister zu beauftragen und verhältnismäßige Kontrollmaßnahmen vorzunehmen.
Der Auftraggeber muss sich vorab davon überzeugen, dass dem Dienstleister geeignetes Equipment für die Datenvernichtung zur Verfügung steht und dass seine organisatorischen Maßnahmen den Schutz der ihm anvertrauten Daten garantieren. Nach Art. 28 DSGVO muss der Dienstleister gewährleisten, dass er die datenschutzrechtlichen Vorgaben in der Praxis erfüllen kann.
Anders als im alten BDSG ist eine Erstkontrolle vor Abschluss des AV-Vertrages nicht mehr ausdrücklich vorgeschrieben. Dennoch besteht die bereits erwähnte Verpflichtung des Auftraggebers, sich vorab über die Einhaltung der DSGVO durch den Dienstleister zu versichern; sowohl im Auswahlprozess als auch während der Zeitspanne, in welcher der Dienstleister die ihm anvertrauten Daten verarbeitet.
Als Orientierungshilfe für den Auftraggeber dienen Qualitätssiegel und Zertifizierungen. Dazu gehören das Qualitätssiegel des BVSE (Bundesverbands Sekundärrohstoffe und Entsorgung) für Fachbetriebe im Bereich Datenträger- und Aktenvernichtung sowie die Zertifizierung nach DIN 66399.
Wichtig: Sollten derartige Garantien nachträglich wegfallen oder Vorgaben in der Praxis nicht mehr eingehalten werden, ist auch die Daten- und Aktenvernichtung nach DSGVO nicht mehr erfüllt! Die Daten gelten dann nicht mehr als gesetzeskonform vernichtet.
In einem solchen Fall hat der Auftraggeber rechtlich gegen seine Auswahlverantwortung verstoßen. In der Folge können einem Unternehmen Sanktionen drohen, die mit einer Geldbuße von bis zu 4% des im vergangenen Geschäftsjahr weltweit erwirtschafteten Umsatzes einhergehen. Alternativ können in jedem Fall Geldbußen von bis zu 20 Millionen Euro verhängt werden.
Daten- und Aktenvernichtung nach DSGVO: Praktische Tipps
- Sämtliche sensible oder personenbezogenen Daten, die Ihr Unternehmen erhebt, müssen unter Einhaltung der DSGVO gesetzeskonform vernichtet werden, sobald ihre Aufbewahrungsfrist abgelaufen ist.
- Es empfiehlt sich ein Verfahrensverzeichnis, um die genauen Abläufe der Verarbeitung und Entsorgung derartiger Daten zu definieren und ihren Schutzbedarf festzulegen.
- Haben Sie sich dazu entschieden, die gesetzeskonforme Entsorgung durch einen Dienstleister vornehmen zu lassen, muss dieser sorgfältig und wohlüberlegt ausgewählt werden. Wenn Sie auf Nummer sicher gehen möchten, wählen Sie einen Dienstleister, der eine Zertifizierung nach DIN 66399 besitzt.
- Vertrauen ist gut, Kontrolle ist besser: Dokumentieren Sie die Entsorgung inklusive der getroffenen Sicherheitsmaßnahmen und kontrollieren Sie regelmäßig, ob die Daten- und Aktenvernichtung weiterhin DSGVO-konform erfolgt.
- Informieren Sie Ihre Mitarbeiter umfassend über das Thema Datenschutz. Vermitteln Sie ihnen die rechtlichen Grundlagen für den Umgang mit sensiblen Daten sowie deren sichere Vernichtung.