Aktenvernichtung im Sinne der DSGVO (Datenschutz-Grundverordnung) und BDSG (Bundesdatenschutzgesetz) bedeutet in erster Linie: Schutz personenbezogener Daten und anderer schützenswerter Daten.
Diese Daten lagern nicht nur auf digitalen Datenträgern wie Festplatten, USB-Sticks, Handys usw. Auch auf Papierdokumenten sind personenbezogene Daten gespeichert.
Diese lagern oftmals ungeschützt in den Akten Ihres Unternehmens.
Sensible digitale Daten, die sich z. B. auf dem Unternehmensserver befinden, werden in der Regel durch komplizierte Passwörter und professionelle Verschlüsselungen vor Missbrauch geschützt.
Daten in Papierform hingegen befinden sich häufig ohne jegliche Schutzvorkehrungen offen im Büroregal.
Beim Löschen von virtuellen Daten werden spezielle Sicherheitsmaßnahmen getroffen, damit sie unter keinen Umständen wiederhergestellt werden können. Papierdokumente hingegen werden oftmals leichtfertig im Büro-Müll entsorgt.
Dies ist mehr als nur fahrlässig. In dem Moment, in dem personenbezogene Daten betroffen sind, greift zwingend die DSGVO. Selbstverständlich gelten die datenschutzrechtlichen Regelungen auch für Papierdokumente. Ein Verstoß gegen die Bestimmungen der DSGVO kann empfindliche Strafen nach sich ziehen.
Wir verdeutlichen Ihnen anhand unserer kostenlosen Checkliste zur datenschutzkonformen Aktenvernichtung nach DSGVO (EU-Datenschutz-Grundverordnung), worauf Sie bei der Aufbewahrung und Entsorgung von Dokumenten achten müssen.
Pflicht zur Datenlöschung und Aktenvernichtung nach DSGVO
Seit Inkrafttreten der europäischen Datenschutz-Grundverordnung am 25. Mai 2018 ist die Verarbeitung personenbezogener Daten grundsätzlich nicht mehr zulässig (Art. 6).
Derartige Daten dürfen nur noch erhoben, verarbeitet und aufbewahrt werden, sofern die entsprechende Person ihre ausdrückliche Erlaubnis dazu erteilt hat.
Nur wenn ein gesetzlich vorgeschriebener Grund vorliegt, der eine solche Ausnahmeregelung unbedingt erforderlich macht, kann davon abgewichen werden.
Gleichzeitig besteht die Verpflichtung, die gespeicherten Daten umgehend wieder zu löschen, wenn die Erforderlichkeit nicht länger vorhanden ist und kein Gesetz eine weitere Aufbewahrung ausdrücklich vorschreibt.
Die Entsorgung der Daten muss auf eine Weise erfolgen, die es unbefugten dritten Personen unmöglich macht, darauf zuzugreifen. Daher sind Datenträger und Papierakten mit schützenswerten Informationen immer so zu löschen beziehungsweise zu vernichten, dass ihr Inhalt nicht rekonstruiert werden kann.
Schützenswert sind neben personenbezogenen Daten auch unternehmensinterne Daten, wie zum Beispiel Reporte und Kennzahlen. Analog zu personenbezogenen Daten muss deren Vernichtung in einer Form erfolgen, die einen Fremdzugriff unmöglich macht.
Wie genau die Vernichtung durchzuführen ist, richtet sich nach dem "Schutzbedarf" der zu entsorgenden Daten. Der Schutzbedarf bestimmter Daten wird in der DIN 66399 definiert.
Im Gegensatz zur EN 15713:2009 bzw. DIN EN 15713 weist die Norm DIN 66399 einen verbindlicheren Charakter auf. Diese Norm wird den Datenschutzvorschriften der DSGVO besser gerecht. Zudem berücksichtigt die DIN 66399 neben Papierakten auch digitale Datenträger.
Nach DIN 66399 werden Datenträger und Akten abhängig von den Informationen, welche sie beinhalten, in verschiedene Schutzklassen und Sicherheitsstufen unterteilt. Diese ermöglichen eine Einschätzung der potenziellen Risiken, wenn die Daten in fremde Hände gelangen:
- Unternehmensinterne Daten, Prospekte oder Produktübersichten, fallen in die Schutzklasse 1.
Gemäß dieser, muss der Schutz personenbezogener Daten garantiert sein. Ansonsten besteht für Betroffene das Risiko, dass er in seiner gesellschaftlichen Stellung sowie seinen wirtschaftlichen Verhältnissen negativ beeinträchtigt wird. - Die Schutzklasse 2 umfasst vertrauliche Informationen wie Personal- und Adressdaten von Personen, beispielsweise aus Bestellungen, Steuerunterlagen und Bilanzen. Im Falle eines Datenmissbrauchs besteht die Gefahr, dass betroffene Personen finanziell oder in ihrer gesellschaftlichen Stellung erheblich beeinträchtigt werden.
- Der Schutzklasse 3 gehören besonders geheime Informationen an, beispielsweise Gesundheits- oder Forschungsdaten. Der Schutz personenbezogener Informationen muss unbedingt gewährleistet sein, da ansonsten die Freiheit, die körperliche Unversehrtheit oder sogar das Leben der betroffenen Personen gefährdet sein könnte.
Für die Durchführung einer datenschutzkonformen Aktenvernichtung sind unterschiedliche Sicherheitsstufen vorgegeben. Je nach Sicherheitsstufe variiert der Aufwand, der notwendig wäre, um die vernichteten Daten wiederherzustellen. Die Sicherheitsstufe 3 beispielsweise betrifft sensible und personenbezogene Daten; eine Wiederherstellung wäre, wenn überhaupt, nur mit erheblichem Aufwand möglich.
Daten- und Aktenvernichtung nach DSGVO durch Dritte
Wollen Sie die Datenvernichtung einem externen Dienstleister anvertrauen, müssen Sie bezüglich des Datenschutzes einiges beachten.
Wenn personenbezogene Daten durch eine externe Stelle vernichtet werden, handelt es sich um eine Auftragsverarbeitung (AV). Damit verbunden sind Anforderungen und Konsequenzen sowohl für den Auftraggeber als auch den Auftragnehmer.
Nur der Auftraggeber, Ihr Unternehmen, kennt den Inhalt der Daten und kann so den Schutzbedarf definieren. Somit hat der Auftraggeber dem Dienstleister detailliert über den Schutzbedarf zu informieren.
Die Verantwortung für die datenschutzkonforme Daten- und Aktenvernichtung nach DSGVO verbleibt also beim Auftraggeber.
Gleichzeitig ist der Auftragnehmer dazu verpflichtet, die Vernichtung gemäß den erhaltenen Vorgaben durchzuführen. Er unterstützt den Kunden zudem bei Anfragen oder im Schadensfall.
Schredderanlagen zur Vernichtung von Papierdokumenten müssen die Anforderungen der jeweiligen DIN-Norm erfüllen. Der definierte Schutzbedarf der Daten ist für die Auswahl des Aktenvernichters maßgeblich.
Eine Auftragsverarbeitung liegt auch dann vor, wenn der Dienstleister die Aktenvernichtung beim Kunden vor Ort durchführt.
AV-Vertrag ist zur Aktenvernichtung erforderlich
Wird die Aktenvernichtung nach DSGVO vom Verantwortlichen an einen Dienstleister abgegeben, muss ein Auftragsverarbeitungs-Vertrag (AV-Vertrag) zwischen beiden Parteien abgeschlossen werden.
Dieser hat in jedem Fall die Anforderungen des Art. 28 Abs. 3 DSGVO zu erfüllen: Er muss von vornherein eine genaue Definition des Gegenstandes, Zwecks und der Art der Datenverarbeitung sowie die Dauer, für die sie geplant ist, beinhalten.
Auch Weisungsbefugnisse und Berechtigungen zu Kontrollmaßnahmen durch den Verantwortlichen müssen im Vertrag festgehalten werden.
Die Verantwortung bleibt beim Datenbesitzer
Der Abschluss des AV-Vertrags entbindet den Auftraggeber nicht von seiner Sorgfaltspflicht. Er bleibt weiterhin für die Einhaltung der gesetzlichen Vorschriften verantwortlich; muss also dafür sorgen, dass die Aktenvernichtung DSGVO-gerecht erfolgt.
Es fällt daher auch in die Verantwortung des Auftraggebers, Kriterien wie Art, Umfang, Zweck und Umstände der Vernichtung zu berücksichtigen und Risiken abzuwägen.
Dementsprechend muss der Datenbesitzer geeignete organisatorische und technische Maßnahmen zum Datenschutz festlegen und umsetzen oder anordnen.
Der Dienstleister:Auswahl und Kontrollmaßnahmen
Um die Daten- und Aktenvernichtung nach DSGVO zu gewährleisten, ist der Auftraggeber dafür verantwortlich, einen geeigneten Dienstleister zu beauftragen und verhältnismäßige Kontrollmaßnahmen vorzunehmen.
Der Auftraggeber muss sich vorab überzeugen, dass der Dienstleister über geeignete Maschinen und Kenntnisse für die Datenvernichtung verfügt und ob dessen technische und organisatorischen Maßnahmen den Schutz der ihm anvertrauten Daten garantieren.
Nach Art. 28 DSGVO muss der Dienstleister gewährleisten, dass er die datenschutzrechtlichen Vorgaben in der Praxis erfüllen kann.
Anders als im alten BDSG (Bundesdatenschutzgesetz) ist eine Erstkontrolle vor Abschluss des AV-Vertrages nicht mehr ausdrücklich vorgeschrieben.
Dennoch besteht die bereits erwähnte Verpflichtung des Auftraggebers, sich vorab über die Einhaltung der DSGVO durch den Dienstleister zu versichern.
Das gilt sowohl für den Auswahlprozess als auch für die Zeitspanne, in welcher der Dienstleister die ihm anvertrauten Daten verarbeitet.
Als Orientierungshilfe für den Auftraggeber dienen Qualitätssiegel und Zertifizierungen.
Dazu gehören das Qualitätssiegel des BVSE (Bundesverbands Sekundärrohstoffe und Entsorgung) für Fachbetriebe im Bereich Datenträger- und Aktenvernichtung sowie die Zertifizierung nach DIN 66399.
Wichtig für Sie:
Sollten derartige Garantien nachträglich wegfallen oder Vorgaben in der Praxis nicht mehr eingehalten werden, ist auch die Daten- und Aktenvernichtung nach DSGVO nicht mehr erfüllt!
Die Daten gelten dann nicht mehr als gesetzeskonform vernichtet. In einem solchen Fall hat der Auftraggeber rechtlich gegen seine Auswahlverantwortung verstoßen.
In der Folge können einem Unternehmen Sanktionen drohen, die mit einer Geldbuße von bis zu 4 % des im vergangenen Geschäftsjahr weltweit erwirtschafteten Umsatzes einhergehen.
Alternativ können in jedem Fall Geldbußen von bis zu 20 Millionen Euro verhängt werden.
Daten- und Aktenvernichtung nach DSGVO: Praktische Tipps
- Sämtliche sensible oder personenbezogenen Daten, die Ihr Unternehmen erhebt, müssen unter Einhaltung der DSGVO gesetzeskonform vernichtet werden, sobald deren Aufbewahrungsfrist abgelaufen ist.
- Es empfiehlt sich ein Verfahrensverzeichnis, um die genauen Abläufe der Verarbeitung und Entsorgung derartiger Daten zu definieren und ihren Schutzbedarf festzulegen.
- Haben Sie sich dazu entschieden, die gesetzeskonforme Entsorgung durch einen Dienstleister vornehmen zu lassen, muss dieser sorgfältig und wohlüberlegt ausgewählt werden.
- Wenn Sie auf sichergehen möchten, wählen Sie einen Dienstleister, der eine Zertifizierung nach DIN 66399 besitzt.
- Vertrauen ist gut, Kontrolle ist besser: Dokumentieren Sie die Entsorgung inklusive der getroffenen Sicherheitsmaßnahmen und kontrollieren Sie regelmäßig, ob die Daten- und Aktenvernichtung weiterhin DSGVO-konform erfolgt.
- Informieren Sie Ihre Mitarbeiter umfassend über das Thema Datenschutz und Sicherheit bei der Entsorgung von Dokumenten. Vermitteln Sie die rechtlichen Grundlagen für den Umgang mit sensiblen Daten sowie deren sichere Vernichtung.