Kostenloser DownloadDatenschutzkonforme Aktenvernichtung (Checkliste)
Geht es um den unternehmerischen Datenschutz, denken die meisten an Festplatten, USB-Speichersticks, Smartphones, Server oder andere Datenträger. Die Tatsache, dass auch Papierdokumente schützenswerte Daten enthalten, scheint im digitalen Zeitalter immer mehr vernachlässigt zu werden.
Während Passwörter und Verschlüsselungstechnik vertrauliche Informationen auf dem Unternehmensserver schützen, stehen sie in Papierform oft leicht zugänglich im Büroregal. Während sich Unternehmer Gedanken über die sichere Datenlöschung etwa von mobilen Endgeräten machen, landen viel zu häufig Papierdokumente mit vergleichbarem Schutzbedarf einfach im Müllcontainer.
Doch die gesetzlichen Pflichten bezüglich des Datenschutzes gelten selbstverständlich auch für Papierdokumente. Und zwar bei der Aufbewahrung ebenso, wie bei der Aktenvernichtung als „Löschen“ von (personenbezogenen) Daten in Papierform. Unsere kostenlose Checkliste zur datenschutzkonformen Aktenvernichtung nach EU-Datenschutz-Grundverordnung (DGSVO) hilft Ihnen, so dass Sie personenbezogene Daten bis zum Ende entsprechend schützen!
Pflicht zur Löschung oder Vernichtung von Daten nach DSGVO
Die europäische Datenschutz-Grundverordnung, die seit dem 25. Mai 2018 wirksam ist, verbietet grundsätzlich die Verarbeitung von personenbezogenen Daten (Art. 6 DSGVO). Personenbezogene Daten dürfen also nur dann erhoben, verarbeitet und gespeichert werden, wenn eine ausdrücklich erlaubte Ausnahme von diesem grundsätzlichen Verbot vorliegt. Es muss also einen gesetzlich geregelten Grund geben, der die Verarbeitung der Daten erforderlich macht. Das bedeutet gleichzeitig, dass diese Daten zu löschen sind, sobald die Erforderlichkeit nicht mehr gegeben ist und kein anderes Gesetz eine Aufbewahrung ausdrücklich verlangt.
Es ist ein Trugschluss zu glauben, man handle gesetzeskonform, wenn man Unterlagen mit personenbezogenen Daten einfach über den Müll entsorgt, sobald man sie nicht mehr verwenden darf (oder nicht mehr benötigt). Denn wer solche Daten verarbeitet, ist auch dafür verantwortlich, dass kein Dritter unbefugten Zugriff darauf erlangen kann. Daher sind Datenträger und Papierakten mit schützenswerten Informationen immer auf eine Art und Weise zu löschen bzw. zu vernichten, dass ihr Inhalt nicht rekonstruiert werden kann.
Schützenswert sind dabei neben personenbezogenen Daten auch unternehmensinterne Daten wie zum Beispiel Reporte und Kennzahlen etc., welche daher ebenfalls derart vernichtet werden sollten, dass diese Daten vor unbefugten Zugriff geschützt werden. Auch diese Art von Daten sollte daher im Entsorgungsprozess berücksichtigt werden.
Wie genau diese Vernichtung zu erfolgen hat, richtet sich nach dem Schutzbedarf der zu vernichtenden Daten. Für die zu wählende Zerkleinerungsstufe eingesetzter Aktenvernichter sollten Sie sich an der DIN 66399 orientieren. Im Gegensatz zur EN 15713:2009 bzw. DIN EN 15713 weist die Norm DIN 66399 einen verbindlicheren Charakter auf, was den Datenschutzvorschriften der DSGVO besser gerecht wird. Zudem berücksichtigt die Norm neben Papierakten auch Datenträger anderer Art.
Nach DIN 66399 werden unterschiedliche Datenträger je nach Art und Inhalt der Information, welche sie beinhalten oder wiedergeben, in Schutzklassen und Sicherheitsstufen eingeteilt. Diese verschiedenen Formate geben eine Einschätzung potentieller Risiken wieder, welche entstehen können, wenn Daten in die Hände unbefugter Dritte gelangen:
- So fallen beispielsweise unternehmensinterne Daten wie Prospekte oder Produktübersichten in die Schutzklasse 1. Danach muss der Schutz von personenbezogenen Daten gewährleistet sein. Andernfalls besteht die Gefahr, dass der Betroffene in seiner Stellung und seinen wirtschaftlichen Verhältnissen beeinträchtigt wird.
- Vertrauliche Daten wie Personaldaten, Adressdaten von Personen z.B. aus Bestellungen, Bilanzen und Steuerunterlagen fallen in die Schutzklasse 2. Die Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird, ist in dieser Schutzklasse höher.
- Die Schutzklasse 3 betrifft besonders geheime Daten wie z.B. Gesundheits- oder Forschungsdaten. Hier muss der Schutz personenbezogener Daten unbedingt gewährleistet sein. Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen.
Für Art und Umfang der Vernichtung gelten unterschiedliche Sicherheitsstufen. Diese unterschieden sich jeweils danach, ob und mit welchem Aufwand eine Reproduktion der Daten möglich wäre. Personenbezogene Daten sind dabei mindestens nach Sicherheitsstufe 3 zu vernichten. Diese Sicherheitsstufe betrifft die Vernichtung sensibler Daten. Eine Reproduktion der Daten ist hier nur mit erheblichem Aufwand möglich.
Datenschutzkonforme Aktenvernichtung durch Dritte
Grundlagen
Wenn Sie die Aufgabe der Aktenvernichtung an einen Dienstleister weitergeben wollen, gilt es aus Perspektive des Datenschutzes ebenfalls einige Dinge zu beachten. Enthalten die zu zerstörenden Dokumente personenbezogene Daten und wird eine externe Stelle mit der Vernichtung beauftragt, dann liegt ein Fall der Auftragsverarbeitung (AV) vor, was einige Konsequenzen und Anforderungen mit sich bringt.
Im Fall der Auftragsverarbeitung macht das Unternehmen dem externen Auftragnehmer detaillierte Vorgaben dazu, wie die Datenverarbeitung erfolgen soll. Der Auftragnehmer fungiert quasi als verlängerter Arm des Unternehmens, die datenschutzrechtliche Verantwortung verbleibt beim Auftraggeber. Dennoch hat auch der Auftragsverarbeiter eine Unterstützungsfunktion, wenn der Auftraggeber seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter hat den Auftraggeber dann bei der Erfüllung von Anfragen und bei der Durchsetzung von Ansprüchen des Betroffenen zu unterstützen.
Eine Auftragsverarbeitung liegt so auch in der weisungsgebundenen Übertragung der Datenträgerentsorgung durch Schreddern von Dokumenten durch einen externen Dienstleister vor. Die zur Vernichtung von Papierakten verwendeten Geräte müssen den Anforderungen der jeweils maßgebliche(n) DIN-Norm(en) entsprechen. Bei der Auswahl eines Aktenvernichters ist dementsprechend die Sicherheitsbedürftigkeit der Dokumente ausschlaggebend, um ein adäquates Produkt zu wählen.
Dabei ist es übrigens irrelevant, an welchem Ort der Dienstleister die Aktenvernichtung durchführt. Weil es nicht um das Wo, sondern das Wer geht, greift die Auftragsverarbeitung auch, wenn der Dienstleister mit seinen Geräten bei Ihnen vor Ort tätig wird.
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten, Kreis betroffener Personen
- Umfang der Weisungsbefugnisse
- Pflichten und Rechte des Verantwortlichen
- Pflichten des Auftragsverarbeiters:
- Verarbeitung nach dokumentierter Weisung,
- Wahrung der Vertraulichkeit bzw. Verschwiegenheit,
- Ergreifung geeigneter Maßnahmen für die eigene Sicherheit der Verarbeitung,
- Rechtmäßige Hinzuziehung von Subunternehmen,
- Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen,
- Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DSGVO,
- Ergreifung geeigneter Maßnahmen für die Sicherheit der Verarbeitung (Art. 28 III 2 lit. f DS-GVO i.V.m. Art. 32 DSGVO),
- Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 33 DS-GVO),
- Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 34 DS-GVO),
- Durchführung einer Datenschutz-Folgenabschätzung (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 35 DS-GVO),
- Konsultierung der Aufsichtsbehörde bei Verarbeitung mit hohen Risiken (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 36 DS-GVO).
- Löschung oder Rückgabe nach Beendigung des Auftrags,
- Zurverfügungstellung von Informationen und Ermöglichung von Überprüfungen
Wichtiger Bestandteil des Vertrages ist eine Anlage zu den technischen und organisatorischen Maßnahmen, mit denen der Auftragnehmer Datenschutz und Datensicherheit der ihm überlassenen Daten gewährleistet.
AV-Vertrag zur Aktenvernichtung notwendig
In jedem Fall ist bei der Aktenvernichtung durch Externe zwischen dem Auftraggeber und dem Auftragnehmer ein Auftragsverarbeitungs-Vertrag (AV-Vertrag) zu schließen, der mindestens den Anforderungen aus Art. 28 Abs. 3 DSGVO genügt. Daraus geht unter anderem hervor, dass eindeutig festzulegen ist, was Gegenstand, Art und Zweck der Verarbeitung ist, sowie deren Dauer, wenn der Auftragnehmer mit den zu vernichtenden Dokumenten arbeitet. Weisungsbefugnisse und Kontrollrechte des Auftraggebers bzw. Verantwortlichen sowie Mitwirkungspflichten des Auftragnehmers sind ebenso in diesem Auftragsverarbeitungs-Vertrag festzulegen.
Die Verantwortung bleibt beim Verantwortlichen
Mit Abschluss des AV-Vertrags ist der Auftraggeber von seinen Sorgfaltspflichten bei der Aktenvernichtung nicht entbunden. Laut Art. 24 DSGVO bleibt der Auftraggeber für die Einhaltung der Datenschutz-Vorschriften in erster Linie verantwortlich. Dies bedeutet, dass er dafür Sorge zu tragen hat, dass die Verarbeitung – wozu die Vernichtung der Daten gehört – rechtmäßig erfolgt. Hierbei muss er auch Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigen und entsprechend hierfür geeignete technische und organisatorische Maßnahmen zur Sicherheit der Datenverarbeitung umsetzen(lassen). Hierunter fallen nach Art 32 DSGVO zum beispielsweise Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten oder auch die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.llamcorper mattis, pulvinar dapibus leo.
Auswahl und Kontrolle des Dienstleisters zur Aktenvernichtung
Der Auftraggeber trägt bei der Aktenvernichtung auch die Verantwortung für die Auswahl des Dienstleisters bzw. Verarbeiters. Er muss sich davon überzeugen, dass der Auftragnehmer ausreichende technische und organisatorische Maßnahmen getroffen hat, um den Schutz der ihm zugänglich gemachten Daten zu gewährleisten. Um darzustellen, dass die datenschutzrechtlichen Vorgaben auch tatsächlich vom Dienstleister erfüllt werden, muss der Auftragsverarbeiter nach Art. 28 DSGVO hinreichende Garantien bieten.
Die nach dem alten BDSG bekannte Erstkontrolle, also bevor der Dienstleister zum ersten Mal Dokumente zur Vernichtung erhält, entfällt unter der DSGVO. Nichtsdestotrotz besteht über das Einholen der vorgenannten Garantien eine Auswahlpflicht sowohl für den Beginn als auch über die gesamte Dauer der Auftragsverarbeitung. Damit soll sich der Auftraggeber dauerhaft vergewissern, dass der eingesetzte Auftragsverarbeiter zur Verarbeitung geeignet ist.
Einen guten Anhaltspunkt für die Kontrolle des Auftragsverarbeiters bieten z.B. das bvse-Qualitätssiegel für Fachbetriebe aus dem Bereich der Datenträger- und Aktenvernichtung des Bundesverbands Sekundärrohstoffe und Entsorgung (bvse) oder auch der Nachweis einer Zertifizierung nach DIN 66399.
Achtung: Wenn diese hinreichenden Garantien im Nachhinein wegfallen oder faktisch nicht eingehalten werden, so entfällt die datenschutzrechtliche Privilegierung der Auftragsverarbeitung.
Verstößt der Auftraggeber gegen die Auswahlverantwortung sind Sanktionen in Form einer maximalen Geldbuße bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % des weltweiten Umsatzes des vorangegangenen Geschäftsjahres (je nachdem welcher der Beträge höher ist!) möglich. Wichtig zu wissen ist hier auch, dass der gesamte Konzernumsatz den für die Berechnung eines Bußgelds maßgeblichen Unternehmensumsatz bildet.
Der
Praktische Tipps für die datenschutzkonforme Aktenvernichtung
- Alle personenbezogenen Daten, die in Ihrem Unternehmen verarbeitet werden, müssen nach Ablauf der Aufbewahrungsfristen datenschutzkonform vernichtet werden.
- Legen Sie Entsorgungs- und Verfahrensprozesse für die jeweils zu entsorgenden Daten in einem Verfahrensverzeichnis fest und bestimmen Sie den jeweils relevanten Schutzbedarf der zu verarbeitenden Daten.
- Sofern ein Dienstleister mit rechtmäßigen Entsorgung betraut werden soll, braucht es immer eine sorgfältige Auswahl des Auftragsverarbeiters z.B. Entsorger, die das bvse-Siegel oder eine Zertifizierung nach DIN 66399 nachweisen können.
- Dokumentieren und kontrollieren Sie die rechtmäßige Entsorgung.
- Schulen Sie Ihre Mitarbeiter im Umgang mit der Vernichtung personenbezogener Daten insbesondere der „Datentonne“ – denn was nicht darin ist kann nicht ordnungsgemäß entsorgt werden!
Changelog
Version 2.2
Aktualisierung der Bezüge im Bereich: Ermittlung des Schutzbedarfs.