Aktenvernichtung & DSGVO: Datenschutz bei Entsorgung von Dokumenten
- Personenbezogene Daten auf Papier müssen DSGVO-konform entsorgt werden.
- Aktenvernichtung muss so erfolgen, dass keine Rekonstruktion möglich ist.
- DSGVO-Sicherheitsstufen: 1 (intern), 2 (vertraulich), 3 (besonders geheim).
- DIN 66399 regelt Aktenvernichter-Normen für DSGVO-konforme Zerkleinerung.
- Externe Aktenvernichtung erfordert Auftragsverarbeitungsvertrag und Dokumentation.
- Item A
- Item B
- Item C
Viele Daten, wie beispielsweise Passwörter, landen häufig vermerkt auf Papier im Müll. Doch nicht nur digitale Daten benötigen spezifische Schutzmaßnahmen, sondern auch solche, die auf Papier gespeichert sind. Laut der DSGVO benötigt es einen gesetzlichen Grund, weshalb personenbezogene Daten erhoben und verarbeitet werden dürfen. Sobald die Gründe hierfür entfallen und kein anderes Gesetz die Aufbewahrung rechtfertigt, müssen die Daten datenschutzkonform gelöscht werden – auch solche auf Papier.
DSGVO & Aktenvernichtung: Akten Datenschutz-konform entsorgen
Oftmals wird geglaubt, dass es genügt, wenn Papierakten mit personenbezogenen Daten auf dem Müll entsorgt werden. Doch dies wäre fatal, da derjenige, der die Daten verarbeitet, auch dafür sorgen muss, dass diese nicht in die Hände Dritter gelangen. Somit sind Papierdokumente als Datenträger immer so zu vernichten, dass der Inhalt nicht mehr rekonstruiert werden kann. Nicht nur bei digitalisierten Daten ist es also wichtig, den Datenschutz bei der Löschung der Daten zu beachten, sondern auch bei solchen, die auf Papier existieren. Schützenswert sind in diesem Zusammenhang allerdings nicht nur personenbezogene Daten, sondern auch unternehmensinterne Daten, wie beispielweise Reportings. Beim Entsorgungsprozess müssen daher eine Reihe verschiedener Daten berücksichtigt werden.
DSGVO Akten-Sicherheitsstufen und Schutzklassen
Je nach Schutzbedarf der zu vernichtenden Daten gibt es bestimmte Vorschriften, wie die Vernichtung zu erfolgen hat. Bezüglich des Themas Datenschutz und Datensicherheit gibt es bestimmte Akten-Sicherheitsstufen und Schutzklassen, die sich danach unterscheiden, wie viel Aufwand nötig wäre, die Daten wiederherzustellen. Die Schutzklassen werden dabei in drei Stufen unterteilt:
- Stufe 1: Unternehmensinterne Daten, wie Produktübersichten,
- Stufe 2: Vertrauliche Daten, Personaldaten, Steuerdaten, Bilanzen sowie
- Stufe 3: Besonders geheime Daten, wie Forschungs- oder Gesundheitsdaten.
Personenbezogene Daten werden in Stufe 3 eingeordnet, da diese sensible Daten darstellen. Die Vernichtung muss so erfolgen, dass diese nicht oder nur mit erheblichem Aufwand reproduziert werden können. Dabei hilft ein entsprechender Aktenvernichter.
Welcher Aktenvernichter ist DSGVO konform?
Bei der Wahl der Aktenvernichter sollten Sie sich am besten an DIN-Normen orientieren. Hier gibt es verschiedene Zerkleinerungsstufen der Aktenvernichter. Sie können sich dafür an der DIN 66399 orientieren, da diese den datenschutzrechtlichen Vorschriften der DSGVO gerecht wird. Beim Kauf eines Aktenvernichters sollte daher drauf geachtet werden, welcher Sicherheitsstufe dieser entspricht. Viele handelsübliche Kleigeräte für den Hausgebrauch entsprechen nur den oben genannten Sicherheitsstufen 1-2 und sind nicht für den Einsatz im Büro gedacht, denn sie reichen nicht aus, personenbezogene Daten datenschutzkonform zu vernichten.
Akten datenschutzkonform durch eine:n Dienstleiser:in vernichten lassen
Gerade bei Notaren, Ärztinnen und anderen Berufen, bei denen ein besonderes Berufsgeheimnis gefordert wird, macht es Sinn, die Datenvernichtung von professionellen Aktenvernichter:innen übernehmen zu lassen. Hier sollten Sie aus datenschutzrechtlicher Sicht abgesehen von den Schutzklassen und Sicherheitsstufen noch weitere Punkte beachten: Wird eine externe Stelle mit der Vernichtung personenbezogener Daten beauftragt, dann wird ein Auftragsverarbeitungsvertrag (AV) benötigt.
Denn zum einen stellt auch die Vernichtung von Daten eine Verarbeitung im Sinne der Datenschutzgrundverordnung dar. Weiterhin bleibt, trotz der Übergabe der zu vernichtenden Daten die datenschutzrechtliche Verantwortung bei dem / der Auftraggeber:in, der / die seinen / ihren Verpflichtungen aus der DSGVO nachkommen muss. Zudem müssen auch bei externen Dienstleister:innen die Vernichtungsprozesse und die Maschinen den Anforderungen der DSGVO über DIN-Normen entsprechen.
Auch die Vernichtung von (Papier-) Akten muss sogfältig dokumentiert werden. Dabei soll selbstverständlich nicht dokumentiert werden, welche konkreten Daten wann und wie gelöscht wurden, denn dann wären die Daten weiterhin vorhanden. Vielmehr ist es entscheidend die Prozesse, Routinen sowie technische und organisatorische Maßnahmen bei der Vernichtung von Akten sorgfältig zu dokumentieren und sich beim Einsatz externer Dienstleister die erfolgreiche Vernichtung auch bestätigen zu lassen.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.