Shredder

Aktenvernichtung & DSGVO: Datenschutz bei Entsorgung von Dokumenten

Trotz Festplatten und USB-Speichersticks werden personenbezogene Daten häufig noch auf dem Medium Papier festgehalten. Doch auch diese Daten sind schützenswert und müssen bei der Entsorgung so vernichtet werden, dass Dritte keinen Zugriff erhalten. Wir zeigen, was es hier zu beachten gilt.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2021-03-22

Logo
  • Author: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

Viele Daten, wie beispielsweise Passwörter, landen häufig vermerkt auf Papier im Müll. Doch nicht nur digitale Daten benötigen spezifische Schutzmaßnahmen, sondern auch solche, die auf Papier gespeichert sind. Laut der DSGVO benötigt es einen gesetzlichen Grund, weshalb personenbezogene Daten erhoben und verarbeitet werden dürfen. Sobald die Gründe hierfür entfallen und kein anderes Gesetz die Aufbewahrung rechtfertigt, müssen die Daten datenschutzkonform gelöscht werden – auch solche auf Papier.

 

DSGVO & Aktenvernichtung: Akten Datenschutz-konform entsorgen

Oftmals wird geglaubt, dass es genügt, wenn Papierakten mit personenbezogenen Daten auf dem Müll entsorgt werden. Doch dies wäre fatal, da derjenige, der die Daten verarbeitet, auch dafür sorgen muss, dass diese nicht in die Hände Dritter gelangen. Somit sind Papierdokumente als Datenträger immer so zu vernichten, dass der Inhalt nicht mehr rekonstruiert werden kann. Nicht nur bei digitalisierten Daten ist es also wichtig, den Datenschutz bei der Löschung der Daten zu beachten, sondern auch bei solchen, die auf Papier existieren. Schützenswert sind in diesem Zusammenhang allerdings nicht nur personenbezogene Daten, sondern auch unternehmensinterne Daten, wie beispielweise Reportings. Beim Entsorgungsprozess müssen daher eine Reihe verschiedener Daten berücksichtigt werden.

 

DSGVO Akten-Sicherheitsstufen und Schutzklassen

Je nach Schutzbedarf der zu vernichtenden Daten gibt es bestimmte Vorschriften, wie die Vernichtung zu erfolgen hat. Bezüglich des Themas Datenschutz und Datensicherheit gibt es bestimmte Akten-Sicherheitsstufen und Schutzklassen, die sich danach unterscheiden, wie viel Aufwand nötig wäre, die Daten wiederherzustellen. Die Schutzklassen werden dabei in drei Stufen unterteilt:

  • Stufe 1: Unternehmensinterne Daten, wie Produktübersichten,
  • Stufe 2: Vertrauliche Daten, Personaldaten, Steuerdaten, Bilanzen sowie
  • Stufe 3: Besonders geheime Daten, wie Forschungs- oder Gesundheitsdaten.

Personenbezogene Daten werden in Stufe 3 eingeordnet, da diese sensible Daten darstellen. Die Vernichtung muss so erfolgen, dass diese nicht oder nur mit erheblichem Aufwand reproduziert werden können. Dabei hilft ein entsprechender Aktenvernichter.

 

Welcher Aktenvernichter ist DSGVO konform?

Bei der Wahl der Aktenvernichter sollten Sie sich am besten an DIN-Normen orientieren. Hier gibt es verschiedene Zerkleinerungsstufen der Aktenvernichter. Sie können sich dafür an der DIN 66399 orientieren, da diese den datenschutzrechtlichen Vorschriften der DSGVO gerecht wird. Beim Kauf eines Aktenvernichters sollte daher drauf geachtet werden, welcher Sicherheitsstufe dieser entspricht. Viele handelsübliche Kleigeräte für den Hausgebrauch entsprechen nur den oben genannten Sicherheitsstufen 1-2 und sind nicht für den Einsatz im Büro gedacht, denn sie reichen nicht aus, personenbezogene Daten datenschutzkonform zu vernichten.

 

Akten datenschutzkonform durch eine:n Dienstleiser:in vernichten lassen

Gerade bei Notaren, Ärztinnen und anderen Berufen, bei denen ein besonderes Berufsgeheimnis gefordert wird, macht es Sinn, die Datenvernichtung von professionellen Aktenvernichter:innen übernehmen zu lassen. Hier sollten Sie aus datenschutzrechtlicher Sicht abgesehen von den Schutzklassen und Sicherheitsstufen noch weitere Punkte beachten: Wird eine externe Stelle mit der Vernichtung personenbezogener Daten beauftragt, dann wird ein Auftragsverarbeitungsvertrag (AV) benötigt.

Denn zum einen stellt auch die Vernichtung von Daten eine Verarbeitung im Sinne der Datenschutzgrundverordnung dar. Weiterhin bleibt, trotz der Übergabe der zu vernichtenden Daten die datenschutzrechtliche Verantwortung bei dem / der Auftraggeber:in, der / die seinen / ihren Verpflichtungen aus der DSGVO nachkommen muss. Zudem müssen auch bei externen Dienstleister:innen die Vernichtungsprozesse und die Maschinen den Anforderungen der DSGVO über DIN-Normen entsprechen.

Auch die Vernichtung von (Papier-) Akten muss sogfältig dokumentiert werden. Dabei soll selbstverständlich nicht dokumentiert werden, welche konkreten Daten wann und wie gelöscht wurden, denn dann wären die Daten weiterhin vorhanden. Vielmehr ist es entscheidend die Prozesse, Routinen sowie technische und organisatorische Maßnahmen bei der Vernichtung von Akten sorgfältig zu dokumentieren und sich beim Einsatz externer Dienstleister die erfolgreiche Vernichtung auch bestätigen zu lassen. 

 

Autorin: Kathrin Strauß
Artikel veröffentlicht: 18.03.2021

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr