Seitdem die DSGVO in Kraft getreten ist, müssen personengebundene Daten nach speziellen Sicherheitsvorkehrungen vernichtet werden. Wie Unternehmen dabei vorgehen müssen, erfahren Sie hier.
Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (kurz: DSGVO) in Kraft getreten. Ziel dieser Verordnung ist es personengebundene Daten von Kunden und Mitarbeitern besser zu schützen. Dies betrifft nicht nur das Online-Business, wie häufig vermutet wird, sondern auch sämtliche andere Unternehmen, die Daten von Kunden beziehen.
Die Verordnung umfasst aber nicht nur das Erfassen, Speichern und Nutzen der Daten, sondern auch die Vernichtung, also das Löschen dieser. So müssen beispielsweise Unterlagen, die nicht in digitaler Form vorliegen, per Hand vernichtet werden. Das können beispielsweise Krankenakten sein oder aber der Schriftverkehr zwischen Anwälten, Gerichten und Mandanten. Diese hochvertraulichen Daten gilt es ebenso DSGVO-konform zu löschen, wie die digitalen Daten.
Wie Sie Ihre Akten nach der Datenschutz-Grundverordnung richtig vernichten und was es dabei zu beachten gibt, möchte ich Ihnen hier genau erläutern. Vorab sei schon einmal gesagt, dass ein DSGVO-konformer Aktenvernichter eine enorm wichtige Rolle spielt. Ausführliche Testberichte, wie zum Beispiel auf https://www.arbeitsrechte.de/buerobedarf/aktenvernichter-test/, zeigen, dass nicht nur die Schneidleistung und der Bedienkomfort eine wichtige Rolle spielen, sondern auch die Datensicherheit.
Datenschutz keine Neuerfindung
Auch wenn die DSGVO erst im Mai 2018 in Kraft getreten ist, so war bis dahin natürlich das Wort Datenschutz kein Fremdwort. Bereits im Jahr 1983 wurde es im Grundgesetz verankert. Demnach hat jeder Bürger das „Recht auf informationelle Selbstbestimmung“. Alle Regelungen dazu sind im Bundesdatenschutzgesetz unter https://www.gesetze-im-internet.de/bdsg_2018/BJNR209710017.html klar definiert.
Unter anderem wird darin auch das Thema Aktenvernichtung gesetzlich festgelegt. Als Grundlage zur Einhaltung der gesetzlichen Vorschrift dient die DIN 66399, die Sie unter https://www.tuev-sued.de/fokus-themen/it-security/din-66399/din-66399-schutzklassen-und-sicherheitsstufen genau nachlesen können.
Kurzum regelt die DIN 66399 wie klein die gewissen Datenträger zerkleinert werden müssen, damit man sie rechtlich entsorgen darf. Dazu gibt es unterschiedliche Sicherheitsstufen und Schutzklassen.
Sicherheitsstufen und Schutzklassen nach Datenschutzgesetz
Insgesamt gibt es drei Schutzklassen und sechs Sicherheitsstufen. Die Schutzklassen regeln die inhaltliche Bedeutung der Dokumente. Das sieht dann so aus:
❖ Schutzklasse 1:
Dazu zählen Notizen, Kataloge, Wurfsendungen, personalisierte Werbung und allgemeine Korrespondenzen. Der Schutzbedarf ist hier als normal einzustufen. Eine Veröffentlichung hätte kaum bis keine negativen Folgen.
❖ Schutzklasse 2:
Hier besteht ein erhöhter Schutzbedarf. Hierbei handelt es sich um vertrauliche Informationen wie Bewerbungsunterlagen, Anfragen, Angebote, Personaldaten, usw.. Eine Weitergabe oder Veröffentlichung der Daten könnte gegen Vertragsverletzungen verstoßen.
❖ Schutzklasse 3:
Hierin enthalten sind besonders vertrauliche und geheime Informationen, die nicht an die Öffentlichkeit geraten dürfen. Dazu zählen beispielsweise Patientenakten, Verträge und Kanzleiakten.
Die jeweilige Schutzklasse entscheidet dann darüber unter welcher Sicherheitsstufe die Akten vernichtet werden müssen.
Sicherheitsstufe | Schriftgut | Möglichkeit der Wiederherstellung |
---|---|---|
1 | Allgemeine Daten | mit einfachem Aufwand möglich |
2 | Interne Daten | mit besonderem Aufwand möglich |
3 | Sensible Daten | mit erheblichen Aufwand möglich |
4 | Besonders sensible Daten | mit außergewöhnlichem Aufwand möglich |
5 | Geheimzuhaltende Daten | nur mit zweifelhaften Methoden möglich |
6 | Geheime Hochsicherheitsdaten | ausgeschlossen |
Ob Sie als Unternehmer Ihre Unterlagen selbst vernichten oder eine Firma damit beauftragen wollen, bleibt Ihnen selbst überlassen. Dabei ist natürlich die Menge der zu vernichteten Daten nicht ganz unerheblich. Unternehmen, in denen viel Schriftverkehr anfällt, der sachgemäß entsorgt werden muss, sollten eher auf spezielle Dienstleister, wie z.B. Reisswolf unter https://www.reisswolf.com/ zurückzugreifen. Diese haben das entsprechende Know-How bei der Vernichtung und Sie sparen zudem Zeit vor dem Aktenvernichter.
Wer sich dafür entscheidet die Daten selbst zu entsorgen, der sollte einen Datenschutzbeauftragten hinzuziehen. Außerdem benötigen Sie einen entsprechend DSGVO-konformen Aktenvernichter.
Den richtigen Aktenvernichter verwenden
# | Vorschau | Produkt | Bewertung | Preis | |
---|---|---|---|---|---|
1 | Amazon Basics... | 38,99 EUR | Zum Shop | ||
2 | Bonsaii Aktenvernichter, schreddert 6 Blätter auf... | 32,99 EUR | Zum Shop |
Wer sich dafür entscheidet, die Unterlagen selbst zu vernichten, muss einen DSGVO-konformen Aktenvernichter besitzen. Die meisten kleineren Geräte, die es öfter in Discountern gibt, die sind meist nur für die kleinen Sicherheitsstufen geeignet, also nichts für Unternehmen. Zum einen haben diese Geräte nur eine geringe einlegbare Blattanzahl und zum anderen sind sie nicht entsprechend den Sicherheitsklassen ausgerüstet. Oftmals haben sie nur Stufe 1 oder 2. In einem Unternehmen benötigen Sie aber mindestens Stufe 3, wenn nicht sogar ab 4. Geräte mit der Sicherheitsstufe P4 beispielsweise schreddern das Papier in Partikel (nicht in Streifen), sodass das Wiederherstellen der Dokumente deutlich erschwert ist.