Wenn das Unwort des Jahres gekürt wird, könnte es vor allem für kleine und mittelständische Unternehmen wohl die „Datenschutzgrundverordnung“, kurz DSGVO, sein, die am 25. Mai 2018 in Kraft getreten ist. Einen Monat vor Inkrafttreten der DSGVO ermittelte eine Umfrage des Interverbandes eco, dass lediglich 13 % deutscher Unternehmen sich rechtssicher fühlten. Kein Wunder, umfasst die Datenschutzgrundverordnung doch weitaus mehr, als „nur“ den eigenen Online-Auftritt anzupassen. Deshalb haben wir uns ein Thema angeschaut, dass gerne unter den Tisch fällt: Wir zeigen Ihnen, warum die DSGVO auch Auswirkungen auf Ihre Aktenvernichtung hat. So bleiben Sie auf der (datenschutz-)sicheren Seite.

Was hat die DSGVO mit Aktenvernichtung zu tun?

Datenschutzgrundverordnung DSGVOHinter der DSGVO, die das EU-Parlament schon 2016 verabschiedet hat, steht ein guter Grundgedanke: Jeder EU-Bürger soll jederzeit wissen, wer über seine Daten verfügt. Das gilt für eine E-Mail-Adresse genauso wie etwa medizinische Aufzeichnungen.

Wenn Sie in Ihrem Unternehmen Daten erheben, speichern und verarbeiten möchten, dann müssen Sie dafür um Erlaubnis bitten und das Einverständnis Ihrer Kontakte (z.B. Kunden oder Geschäftspartner) dokumentieren.

Außerdem ist es Pflicht, einen konkreten Grund anführen zu können, warum die Daten gebraucht werden. Ist es beispielsweise notwendig, für eine Anfrage Telefonnummer und E-Mail-Adresse abzufragen und zu speichern? Fragen Sie nach Geburtsdaten oder Anschriften? Dann müssen Sie auch hier entsprechend belegen, warum diese Daten für Ihre Arbeit unabdingbar sind. Das ist laut DSGVO mit Zweckbindung gemeint.

Ein Beispiel: Eine Papiertonnenbestellung bei Berlin Recycling im Rahmen der DSGVO

AktenvernichtungBestellen Sie zum Beispiel eine Papiertonne bei Berlin Recycling, geben Sie uns die Erlaubnis, Ihren Namen, Ihre Adresse und eventuelle Zahlungsdaten zu speichern und zu verarbeiten. All diese Daten sind notwendig, um die von Ihnen beauftragte Dienstleistung zu erfüllen. Das Aufnehmen Ihrer Anschrift in unsere Touren-Planung wäre zum Beispiel eine Verarbeitung.

Wichtig laut DSGVO ist jedoch: Ist ein Auftrag erfüllt, müssen die Daten gelöscht werden. Wenn Sie also beispielsweise in eine andere Stadt ziehen und daher Ihre Papiertonne bei Berlin Recycling abbestellen, dann müssen wir Ihre Daten vernichten. Dabei bleiben wir von der Erhebung bis zur Vernichtung der Daten für ihre Sicherheit verantwortlich. Wir müssen also sicherstellen, dass niemand anderes Zugriff auf Ihre Daten hat.

Und hier kommt die richtige Aktenvernichtung ins Spiel. Denn grundsätzlich gilt: Egal ob Papierakte oder Festplatte – Daten, die nicht mehr aufbewahrt werden dürfen (oder müssen), müssen vernichtet werden. Die Überreste dürfen nicht rekonstruierbar sein. Das gilt umso mehr für personenbezogene Daten, also all solche Daten, die Rückschlüsse auf einzelne Personen zulassen.

Jetzt unseren Impulsgeber abonnieren

Aktenvernichtung nach DSGVO: Ab wann dürfen und müssen Dokumente vernichtet werden

Papier vernichtenBestimmte Arten von Dokumenten müssen eine bestimmte Zeit lang aufbewahrt werden und dürfen nicht einfach nach Belieben gelöscht werden. Standardmäßig wird hierbei in eine 6- und eine 10-Jahres-Frist unterschieden.
Unternehmen ab einem Umsatz von 500.000 Euro und 50.000 Euro Gewinn pro Jahr müssen sich an diese Fristen halten. Auch viele andere Berufe sind per Handelsgesetzbuch zur Aufbewahrung von Dokumenten verpflichtet. Dokumente, die buchhalterisch relevant sind, müssen in der Regel zehn Jahre lang aufbewahrt werden. Dazu gehören zum Beispiel:

  • Lohnunterlagen
  • Buchungsbelege
  • Buchhaltungsdaten der betrieblichen EDV.

Für alle anderen Unterlagen, die nicht für die Buchhaltung relevant sind, ist als Faustregel eine Sechsjahresfrist einzuhalten. Das betrifft zum Beispiel Geschäftsbriefe.

Die Dokumente sollten sicher aufbewahrt werden, sodass sie während der Frist problemlos einsehbar bleiben. Originale sollten zudem in Deutschland aufbewahrt werden.

Sind die Fristen schließlich abgelaufen, müssen die Dokumente vernichtet werden. Die Aktenvernichtung muss jedoch nach bestimmten Kriterien und Prozessen ablaufen.

Der erste Schritt: Auftragsvereinbarungsvertrag mit Dienstleistern abschließen

DatensicherheitWenn Sie einem Dienstleister Akten zur Vernichtung übergeben, die personenbezogene Daten enthalten, stellt dies laut EU-Regelung eine Auftragsverarbeitung dar. Heißt: Ein anderes Unternehmen erhält die personenbezogenen Daten und muss gewährleisten, dass es die Daten genauso schützt wie Sie es getan haben. Damit der Auftrag zur Datenvernichtung also datenschutzkonform ist, brauchen Sie einen Auftragsverarbeitungsvertrag (kurz: AV-Vertrag).

AV-Vertrag regelt Zweck und Konditionen der Datenverarbeitung

Es klingt skurril, aber sogar zur Vernichtung von Daten muss vertraglich festgehalten werden, zu welchem Zweck die Daten an den Dienstleister abgegeben werden. Möchten Sie uns mit der Vernichtung Ihrer Akten beauftragen, teilen Sie uns sozusagen mit, wie schutzbedürftig Ihre Unterlagen sind. Wir verpflichten uns im Gegenzug zur Einhaltung bestimmter Sicherheitsvorkehrungen, um die Akten bis zur Vernichtung abzusichern.

Diese technisch-organisatorischen Maßnahmen fordert die DSGVO als Bestandteil aller Auftragsverarbeitungsverträge. Beispiele für solche Maßnahmen sind

  • der Schutz der übergebenen Akten, zum Beispiel in verschlossenen Containern
  • Angaben darüber, wer Zugang zu den zu vernichtenden Daten haben wird
  • die Einhaltung angemessener Methoden zur Aktenvernichtung.

Aktenvernichtung nach DIN 66399

Je nach Datenträger (Papier, Festplatte, USB-Stick etc.) gibt es verschiedene Vorgaben, wie die Daten unleserlich und nicht reproduzierbar gemacht werden. Außerdem gibt es mehrere Normen, nach denen die enthaltenen Daten klassifiziert werden können.

Verschiedene Datenträger

Aufgrund der strengen Regelungen der DSGVO empfiehlt sich die Aktenvernichtung nach DIN66399. Sie berücksichtigt nicht nur Papierakten, sondern auch Datenträger anderer Art.

Verschiedene Akten haben verschiedene Sicherheitsanforderungen

Nach DIN66399 werden unterschiedliche Datenträger je nach Art der Information, die sie enthalten, in Schutzklassen und Sicherheitsstufen eingeteilt. Die Schutzklassen stellen eine grobe Gliederung der potenziellen Risiken dar, die entstehen können, wenn enthaltene Daten in die falschen Hände gelangen. Den Sicherheitsstufen entsprechen maximale Partikelgrößen, die nach dem Vernichtungsprozess zurückbleiben dürfen. Diese Größe soll der Reproduzierbarkeit der vernichteten Daten Rechnung tragen.

Sicherheitsstufen und Schutzklassen

Personenbezogene Daten müssen mindestens nach Sicherheitsstufe 3 vernichtet werden. Auf Sicherheitsstufe 1 sind Daten ohne Fachkenntnisse unter großem Zeitaufwand wiederherstellbar. Daten, die entsprechend Stufe 5 vernichtet wurden, sind nicht reproduzierbar. Kombiniert bilden Schutzklasse und Sicherheitsstufe die Grundlage für die richtige Aktenvernichtung.

So werden unterschiedliche Datenträger unlesbar gemacht

Datenvernichtung FestplatteBerlin Recycling bietet für die Vernichtung von Daten zwei Behälter an, eine Aktenvernichtungstonne und eine für die Löschung und Vernichtung von magnetischen Datenträgern.  Papierakten werden nach der Abholung mithilfe eines Magneten von Metallanteilen getrennt und geschreddert. Die einzelnen Schnipsel haben dabei eine Seitenlänge von unter 1,8 cm. Die entstandenen Partikel werden zusätzlich verwirbelt, um eine Wiederherstellung noch schwieriger zu machen. Bei magnetischen Datenträgern ist die Sache nicht ganz so einfach. Solid State Drives (SSDs) und Magnet-Festplatten können mit nicht ganz lauteren Mitteln auch nach Löschung der enthaltenen Dateien wiederhergestellt werden. Sie müssen also mechanisch zerstört werden. Auch hierum kümmern wir uns für Unternehmen zuverlässig.

Als Fazit lässt sich daher zusammenfassen, dass die Aktenvernichtung nach DSGVO sehr aufwendig, aber dringend notwendig ist. Denn wenn Sie Ihre Aktenvernichtung nicht nach den Vorschriften umsetzen, könnte dies schlimmstenfalls als Verstoß gegen die DSGVO gewertet werden. Das kann Maximalgeldstrafen in Höhe von bis zu 20 Mio. Euro oder 4 % Ihres Jahresumsatzes nach sich ziehen. Stellen Sie daher sicher, dass in Ihrem Unternehmen die Aktenvernichtung nach DSGVO zuverlässig umgesetzt wird – gerne helfen wir Ihnen dabei.

Haben Sie noch weitere Fragen? Wie handhabt Ihr Betrieb die Aktenvernichtung? Schreiben Sie es uns in die Kommentare! Sie möchten immer auf dem Laufenden bleiben, wenn es um die Themen Recycling und Abfallmanagement geht? Dann klicken Sie hier, um unseren Impulsgeber-Newsletter zu abonnieren!

Bildnachweise

© Vorschau- und Headerbild: Maksym Yemelyanov / stock.adobe.com

© Schloss Laptop DSGVO: sonne_fleckl / stock.adobe.com

© Tablet digitale Entsorgung: ANDRANIK HAKOBYAN / stock.adobe.com

© Papier-Vernichtung: Aguaviva / stock.adobe.com

© Tastatur Wegweiser Datensicherheit : momius / stock.adobe.com

© Ursprungsquelle Infografik Schutzklassen und Sicherheitsstufen: TÜV Süd

© Festplatte: Huguette Roe / shutterstock.com