+49 (0)4284 927 838
office@daschub.de
Menu

Datenschutzgerechte Aktenvernichtung

Alle Unternehmer müssen Datenschutzgerechte Aktenvernichtung beachten.

Job Search, Stock vectorNach der Datenschutzgrundverordnung (DS-GVO) müssen Unternehmen aller Branchen und Größen personenbezogene Daten dann löschen, wenn sie für die Zwecke, für die diese Daten erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.

Der Zweck einer Datenverarbeitung entscheidet also über die zulässige Dauer der Speicherung der verarbeiteten Daten. Dieser so genannte Zweckbindungsgrundsatz ist eines der wesentlichen Prinzipien der Datenschutzgrundverordnung.

Unternehmen dürfen personenbezogene Daten nur für vorher festgelegte, eindeutige und legitime Zwecke erheben. Zudem dürfen Sie diese Daten nicht in einer mit den ursprünglichen Zwecken nicht zu vereinbarenden Weise weiterverarbeiten (Art. 5 Abs. 1 lit. b DS-GVO). Spätestens, wenn personenbezogene Daten für die Zwecke für die diese Daten erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich sind muss das Unternehmen diese personenbezogene Daten löschen.

Ausnahmen von der Löschpflicht

Neben den datenschutzrechtlichen Vorgaben muss man als Unternehmer aber auch andere anwendbare Aufbewahrungspflichten prüfen. Oftmals gibt es Ausnahmen von der grundsätzlichen Löschpflicht laut DS-GVO, wenn Verarbeitung der personenbezogenen Daten zur Erfüllung einer Verpflichtung nach deutschem Recht oder EU-Recht erforderlich ist (Art. 17 Abs. 3 lit. b DS-GVO). Unternehmen müssen steuerrechtlichen oder handelsrechtlichen Dokumente mindestens zehn Jahre aufbewahren. Dies gilt auch wenn diese Dokumente personenbezogen Daten enthalten!

Aber nicht nur das: Wichtig ist auch der Umgang mit Daten, die gelöscht und entsorgt werden müssen. Die Aktenvernichtung – ob als Akten auf Papier oder gespeichert auf Datenträgern – unterliegt die Dokumentierung laut der DS-GVO. Unterlagen, die nicht in digitaler Form vorliegen, müssen ganz klassisch per Hand und maschinell vernichtet werden.

Aktenvernichtung unterliegt der DS-GVO

Dabei gilt die DIN 66399. Diese DIN-Norm beschreibt wie klein die Datenträger zerkleinert werden müssen, bis man sie rechtlich sicher entsorgen darf. Die 7 Sicherheitsstufen beschreiben die Mindestgröße der Partikel nach der Vernichtung, die ein Aktenvernichter bzw. Büroschredder erreichen muss. Viele kleine elektrische Schredder sind nur auf die geringeren Sicherheitsstufen 1 und 2 ausgelegt. Sie erzeugen beim Vernichten nur Streifen und große Partikel und reichen für einer rechtlich sicheren Aktenvernichtung von personenbezogenen Daten nicht aus.

Die DIN 66399 und die Sicherheitsstufen sind auf den elektrischen Aktenvernichtern angeben. Sie unterscheiden sich je nachdem, um was für Daten es sich handelt – von allgemeinen Daten mit der Stufe 1 bis Hochsicherheitsdaten der Stufe 7. Neuere Geräte besitzen bereits oft einen Hinweis ob sie die vorgaben der DS-GVO entsprechen.

Die DIN 66399

Um bei der Aktenvernichtung der Wirtschaftlichkeit und dem Schutzbedarf der Daten Rechnung zu tragen, werden die Daten in drei Schutzklassen und 7 Sicherheitsstufen eingeteilt.

Der Grad der Schutzbedürftigkeit ist dabei bestimmend für die zur Wahl stehende Auswahl der Schutzklasse und Sicherheitsstufe. Die Einstufung beinhaltet die organisatorischen Maßnahmen, die im Bereich der Aktenvernichtung zu erfüllen sind, um die entsprechenden Schutzklassen einzuhalten.

Die Festlegung von Schutzbedarf, Schutzklassen, Sicherheitsstufen und die genauen organisatorischen Maßnahmen legt hierbei immer die „verantwortliche Stelle“ fest.

Drei Schutzklassen

Schutzklasse 1: (normaler Schutzbedarf für interne Daten)
Schutzklasse 2: (Hoher Schutzbedarf für vertrauliche Daten)
Schutzklasse 3: (Sehr hoher Schutzbedarf für streng geheime Daten)

Sieben Sicherheitsstufen

1: Allgemeine Daten – Wiederherstellung mit einfachem Aufwand
2: Interne Daten – Wiederherstellung mit besonderem Aufwand
3: Sensible Daten – Wiederherstellung mit erheblichem Aufwand
4: Besonders sensible Daten – Wiederherstellung mit außergewöhnlichem Aufwand
5: Geheim zu haltende Daten – Wiederherstellung mit nicht definierbarem Aufwand
6: Geheime Hochsicherheits-Daten – Wiederherstellung aktuell technisch nicht möglich
7: Top Secret Hochsicherheits-Daten – Wiederherstellung ausgeschlossen

Personenbezogene Daten – mindestens Sicherheitsstufe 3

Akten die personenbezogene Daten, wie z.B. Personaldaten oder Bewerbungsunterlagen, enthalten müssen mindestens unter der Schutzklasse 3 und der Sicherheitsstufe 3 vernichtet werden. Für Akten die Patientendaten oder Kanzleiakten enthalten trifft die Sicherheitsstufe 4 zu.