Aktenvernichtung & DSGVO: Datenschutz bei Entsorgung von Dokumenten

Letztes Update:
27
.
03
.
2023
Lesezeit:
0
Min
Trotz Festplatten und USB-Speichersticks werden personenbezogene Daten häufig noch auf dem Medium Papier festgehalten. Doch auch diese Daten sind schützenswert und müssen bei der Entsorgung so vernichtet werden, dass Dritte keinen Zugriff erhalten. Wir zeigen, was es hier zu beachten gilt.
Aktenvernichtung & DSGVO: Datenschutz bei Entsorgung von Dokumenten
Die wichtigsten Erkenntnisse
  • Personenbezogene Daten auf Papier müssen DSGVO-konform entsorgt werden.
  • Aktenvernichtung muss so erfolgen, dass keine Rekonstruktion möglich ist.
  • DSGVO-Sicherheitsstufen: 1 (intern), 2 (vertraulich), 3 (besonders geheim).
  • DIN 66399 regelt Aktenvernichter-Normen für DSGVO-konforme Zerkleinerung.
  • Externe Aktenvernichtung erfordert Auftragsverarbeitungsvertrag und Dokumentation.

Viele Daten, wie beispielsweise Passwörter, landen häufig vermerkt auf Papier im Müll. Doch nicht nur digitale Daten benötigen spezifische Schutzmaßnahmen, sondern auch solche, die auf Papier gespeichert sind. Laut der DSGVO benötigt es einen gesetzlichen Grund, weshalb personenbezogene Daten erhoben und verarbeitet werden dürfen. Sobald die Gründe hierfür entfallen und kein anderes Gesetz die Aufbewahrung rechtfertigt, müssen die Daten datenschutzkonform gelöscht werden – auch solche auf Papier.

DSGVO & Aktenvernichtung: Akten Datenschutz-konform entsorgen

Oftmals wird geglaubt, dass es genügt, wenn Papierakten mit personenbezogenen Daten auf dem Müll entsorgt werden. Doch dies wäre fatal, da derjenige, der die Daten verarbeitet, auch dafür sorgen muss, dass diese nicht in die Hände Dritter gelangen. Somit sind Papierdokumente als Datenträger immer so zu vernichten, dass der Inhalt nicht mehr rekonstruiert werden kann. Nicht nur bei digitalisierten Daten ist es also wichtig, den Datenschutz bei der Löschung der Daten zu beachten, sondern auch bei solchen, die auf Papier existieren. Schützenswert sind in diesem Zusammenhang allerdings nicht nur personenbezogene Daten, sondern auch unternehmensinterne Daten, wie beispielweise Reportings. Beim Entsorgungsprozess müssen daher eine Reihe verschiedener Daten berücksichtigt werden.

DSGVO Akten-Sicherheitsstufen und Schutzklassen

Je nach Schutzbedarf der zu vernichtenden Daten gibt es bestimmte Vorschriften, wie die Vernichtung zu erfolgen hat. Bezüglich des Themas Datenschutz und Datensicherheit gibt es bestimmte Akten-Sicherheitsstufen und Schutzklassen, die sich danach unterscheiden, wie viel Aufwand nötig wäre, die Daten wiederherzustellen. Die Schutzklassen werden dabei in drei Stufen unterteilt:

  • Stufe 1: Unternehmensinterne Daten, wie Produktübersichten,
  • Stufe 2: Vertrauliche Daten, Personaldaten, Steuerdaten, Bilanzen sowie
  • Stufe 3: Besonders geheime Daten, wie Forschungs- oder Gesundheitsdaten.

Personenbezogene Daten werden in Stufe 3 eingeordnet, da diese sensible Daten darstellen. Die Vernichtung muss so erfolgen, dass diese nicht oder nur mit erheblichem Aufwand reproduziert werden können. Dabei hilft ein entsprechender Aktenvernichter.

Welcher Aktenvernichter ist DSGVO konform?

Bei der Wahl der Aktenvernichter sollten Sie sich am besten an DIN-Normen orientieren. Hier gibt es verschiedene Zerkleinerungsstufen der Aktenvernichter. Sie können sich dafür an der DIN 66399 orientieren, da diese den datenschutzrechtlichen Vorschriften der DSGVO gerecht wird. Beim Kauf eines Aktenvernichters sollte daher drauf geachtet werden, welcher Sicherheitsstufe dieser entspricht. Viele handelsübliche Kleigeräte für den Hausgebrauch entsprechen nur den oben genannten Sicherheitsstufen 1-2 und sind nicht für den Einsatz im Büro gedacht, denn sie reichen nicht aus, personenbezogene Daten datenschutzkonform zu vernichten.

Akten datenschutzkonform durch eine:n Dienstleiser:in vernichten lassen

Gerade bei Notaren, Ärztinnen und anderen Berufen, bei denen ein besonderes Berufsgeheimnis gefordert wird, macht es Sinn, die Datenvernichtung von professionellen Aktenvernichter:innen übernehmen zu lassen. Hier sollten Sie aus datenschutzrechtlicher Sicht abgesehen von den Schutzklassen und Sicherheitsstufen noch weitere Punkte beachten: Wird eine externe Stelle mit der Vernichtung personenbezogener Daten beauftragt, dann wird ein Auftragsverarbeitungsvertrag (AV) benötigt.

Denn zum einen stellt auch die Vernichtung von Daten eine Verarbeitung im Sinne der Datenschutzgrundverordnung dar. Weiterhin bleibt, trotz der Übergabe der zu vernichtenden Daten die datenschutzrechtliche Verantwortung bei dem / der Auftraggeber:in, der / die seinen / ihren Verpflichtungen aus der DSGVO nachkommen muss. Zudem müssen auch bei externen Dienstleister:innen die Vernichtungsprozesse und die Maschinen den Anforderungen der DSGVO über DIN-Normen entsprechen.

Auch die Vernichtung von (Papier-) Akten muss sogfältig dokumentiert werden. Dabei soll selbstverständlich nicht dokumentiert werden, welche konkreten Daten wann und wie gelöscht wurden, denn dann wären die Daten weiterhin vorhanden. Vielmehr ist es entscheidend die Prozesse, Routinen sowie technische und organisatorische Maßnahmen bei der Vernichtung von Akten sorgfältig zu dokumentieren und sich beim Einsatz externer Dienstleister die erfolgreiche Vernichtung auch bestätigen zu lassen. 

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!