Die EU-DSGVO in der Aktenvernichtung und Datenvernichtung
Das EU-Parlament hat im April 2016 die „Verordnung EU 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ verabschiedet. Das ist die im Sprachgebrauch bekannte Datenschutz-Grundverordnung, kurz DSGVO. Sinn, Zweck und Inhalt der DSGVO ist die EU-weite Vereinheitlichung der Datenschutzbestimmungen. Die DSGVO gilt nach der für EU-Verordnungen üblichen, zweijährigen Übergangsfrist spätestens seit 25. Mai 2018 einheitlich in allen EU-Mitgliedsländern. Seitdem ist die DSGVO unmittelbar geltendes Recht. Sie ersetzt die aus dem Jahr 1995 stammende "EU-Richtlinie 95/46-EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr". Seitdem ist die DSGVO innerhalb der Europäischen Union der einheitlich geltende, gemeinsame Datenschutzrahmen nach dem Grundsatz: EU-Recht geht vor nationalem Recht. Nationale Gesetze behalten nur noch dann ihre Gültig- und Wirksamkeit, wenn sie DSGVO-konform sind.
Das hat Auswirkungen auf zigtausende Unternehmen. Seit Mai 2018 ist das Verarbeiten personenbezogener Daten vom Grundsatz her verboten. Im Umkehrschluss ist es nur mit dem ausdrücklichen okay der DSGVO möglich, respektive gestattet. Die juristische Formulierung heißt „Verbot mit Erlaubnisvorbehalt“.
Diese neue Situation betrifft auch die Aktenvernichtung und die Datenvernichtung.
In der DSGVO ist die Datenverwaltung von der Erhebung über Speicherung, Nutzung und Verarbeitung bis hin zur Datenlöschung geregelt. Gegenüber dem deutschen BDSG, dem Bundesdatenschutzgesetz wurden teilweise gänzlich neue Vorgaben definiert und in EU-Recht umgesetzt. Die Nichteinhaltung kann mit einer Geldbuße von bis zu 20 Mio. Euro belegt werden. Die DSGVO hat für Handel, Gewerbe und Industrie zur Folge, dass sich jeder einzelne Datenbesitzer mit der EU-DSGVO auseinandersetzen muss.
Recht auf Löschung gemäß Artikel 17 DSGVO
Im Rahmen der EU-DSGVO hat der Betroffene das Recht darauf, dass seine Daten gelöscht werden. Artikel 17 DSGVO bezeichnet es als Recht auf Vergessenwerden. In Bezug auf die EU-DSGVO handelt es sich um eine strafbewährte Pflicht des Dateninhabers. Verletzt er die Aktenvernichtungspflicht, droht ihm eine Strafe.
„Die betroffene Person hat das Recht von dem Verantwortlichen zu verlangen, dass der die sie betreffenden personenbezogenen Daten unverzüglich löscht. Der dafür Verantwortliche ist dazu verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der Gründe nach Absatz 1 Buchstaben a) bis f) vorliegt.“
Neue Vorgaben in der EU-DSGVO für Datenvernichtung seit dem 25. Mai 2018
Artikel 25 DSGVO – Datenschutz durch Technikgestaltung und durch datenfreundliche Voreinstellungen
Die Umsetzung von „Stand der Technik“ wie in der EU-DSGVO gefordert, erfolgt durch die DIN 66399.
- Ermitteln sämtlicher Dokumente, in denen personenbezogene Daten enthalten sind
- Klassifizierung dieser Dokumente gemäß PFOTHE nach ihrer Materialart [Papier, Festplatte, CD, …]
- Entscheidung darüber, welche Materialarten als Gemisch gesammelt werden können
- Klassifizierung der Dokumente nach individuellem Schutzbedarf und somit nach Schutzklassen
- Definition der für die Materialart und das Materialgemisch notwendigen Zerkleinerungs- und in Verbindung damit der Sicherheitsstufe
- Zusammenfassung unterschiedlicher Dokumententypen zu einheitlichen Schutzklassen sowie Sicherheitsstufen
- Bestimmung von geeigneten Sammelbehältnissen für vertrauliche Unterlagen; zentral über Presscontainer für große Mengen, dezentral über Aluminium-Datenschutzbehälter
- Bestimmung des Sammelortes für den/die Datenschutzbehälter [Kopierraum, Archiv, direkt am Arbeitsplatz, …..]
Auswahl des geeigneten externen Dienstleisters
- Ist er zur Ausstellung des Zertifikates nach DIN 66399 in der Lage und dazu berechtigt
- Welche Schutzklassen und welche Sicherheitsstufen kann er anbieten
- Präsentation weiterer Zertifikate wie Entsorgungsfachbetrieb, Qualitäts-/Umweltmanagement, …
- Abgleich der TOMs, technischen und organisatorischen Maßnahmen des potentiellen externen Dienstleisters mit den eigenen
- Ortsbesuch beim ausgewählten Dienstleister, um sich ein Bild vor Ort von seiner Leistungsfähigkeit zu verschaffen
- Kritische inhaltliche Prüfung des vorgelegten Vertragsentwurfes (insbesondere alle Anforderungen und Vorgaben der DIN 66399)
- Update durch den externen Dienstleisters im Jahresrhythmus, dass die TOMs unverändert geblieben sind oder wenn nicht, welche neuen TOMs aktuell gelten
- Jährliches Update der TOMs in Print- oder Dateiform, um sie mit der bisher geltenden Fassung abzugleichen
- Aushändigung eines Protokolls in Print- oder Dateiform für jede einzelne Übergabe
- Aushändigung einer Vernichtungsbestätigung nach jedem einzelnen Vernichtungsvorgang mit Aussagen über materialspezifische Sicherheitsstufe nebst Schutzklasse
Artikel 28 DSGVO – Auftragsverarbeiter
- Für alle an der Akten-/Datenvernichtung Beteiligten gilt eine absolute Verschwiegenheitspflicht
- Der Auftraggeber des Auftragverarbeiters darf nur mit solchen Akten-/Datenvernichtungsbetrieben zusammenarbeiten, die eine ausreichende Garantie dafür bieten, dass alle organisatorischen sowie technischen Maßnahmen nach Recht und Gesetz umgesetzt werden
- Näher definiert ist die ganz allgemeine Vertragspflicht in der Akten- und Datenvernichtung mit genauer Definition der Voraussetzungen.
Artikel 32 DSGVO - Sicherheit der Verarbeitung
- Aktenvernichtungsbetriebe sowie Datenbesitzer müssen dem Datenschutzrisiko angemessene Schutzmaßnahmen treffen
- Die Kontrollpflicht für den Aktenvernichtungsprozess liegt beim Auftragnehmer des Kunden
- Die geeigneten, organisatorischen und technischen Maßnahmen müssen so definiert werden, dass die gesamte Datenvernichtung von der Datenübernahme bis hin zur Datenlöschung mit einem ausreichenden Schutzniveau gewährleistet ist
Artikel 82 DSGVO - Haftung und Recht auf Schadenersatz
- Alle am Akten-/Datenvernichtungsprozess Beteiligten sind und bleiben solange Verantwortliche im Sinne der DSGVO, bis der Löschungs- und Vernichtungsvorgang beendet ist
- Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat
Artikel 83 DSGVO - Allgemeine Bedingungen für die Verhängung von Geldbußen
- Geldbußen sind, abhängig von der Art des Verstoßes, bis zur Höhe von 20 Mio. Euro oder bis zu vier Prozent des gesamten, weltweiten Unternehmensumsatzes möglich
- Handelnde Personen können auch persönlich haftbar gemacht werden
EU-DSGVO bei der MAMMUT Deutschland
Mit einer Beauftragung der MAMMUT Deutschland und den Partnerunternehmen in der Aktenvernichtung,
Festplattenvernichtung oder Datenträgervernichtung sind Sie in allen Aspekten der EU-DSGVO auf der sicheren Seite.