Aktenvernichtung
und DSGVO

Sensible digitale Daten, die sich z. B. auf dem Unternehmensserver befinden, werden in der Regel durch komplizierte Passwörter und professionelle Verschlüsselungen vor Missbrauch geschützt. 

Daten in Papierform hingegen befinden sich häufig ohne jegliche Schutzvorkehrungen offen im Büroregal. 

Beim Löschen von virtuellen Daten werden spezielle Sicherheitsmaßnahmen getroffen, damit sie unter keinen Umständen wiederhergestellt werden können. Papierdokumente hingegen werden oftmals leichtfertig im Büro-Müll entsorgt.

Dies ist mehr als nur fahrlässig. In dem Moment, in dem personenbezogene Daten betroffen sind, greift zwingend die DSGVO. Selbstverständlich gelten die datenschutzrechtlichen Regelungen auch für Papierdokumente. Ein Verstoß gegen die Bestimmungen der DSGVO kann empfindliche Strafen nach sich ziehen. 

Wir verdeutlichen Ihnen anhand unserer kostenlosen Checkliste zur datenschutzkonformen Aktenvernichtung nach DSGVO (EU-Datenschutz-Grundverordnung), worauf Sie bei der Aufbewahrung und Entsorgung von Dokumenten achten müssen.

Seit Inkrafttreten der europäischen Datenschutz-Grundverordnung am 25. Mai 2018 ist die Verarbeitung personenbezogener Daten grundsätzlich nicht mehr zulässig (Art. 6). 

Derartige Daten dürfen nur noch erhoben, verarbeitet und aufbewahrt werden, sofern die entsprechende Person ihre ausdrückliche Erlaubnis dazu erteilt hat. 

Nur wenn ein gesetzlich vorgeschriebener Grund vorliegt, der eine solche Ausnahmeregelung unbedingt erforderlich macht, kann davon abgewichen werden.

Gleichzeitig besteht die Verpflichtung, die gespeicherten Daten umgehend wieder zu löschen, wenn die Erforderlichkeit nicht länger vorhanden ist und kein Gesetz eine weitere Aufbewahrung ausdrücklich vorschreibt.

Die Entsorgung der Daten muss auf eine Weise erfolgen, die es unbefugten dritten Personen unmöglich macht, darauf zuzugreifen. Daher sind Datenträger und Papierakten mit schützenswerten Informationen immer so zu löschen beziehungsweise zu vernichten, dass ihr Inhalt nicht rekonstruiert werden kann.

Schützenswert sind neben personenbezogenen Daten auch unternehmensinterne Daten, wie zum Beispiel Reporte und Kennzahlen. Analog zu personenbezogenen Daten muss deren Vernichtung in einer Form erfolgen, die einen Fremdzugriff unmöglich macht. 

Wie genau die Vernichtung durchzuführen ist, richtet sich nach dem "Schutzbedarf" der zu entsorgenden Daten. Der Schutzbedarf bestimmter Daten wird in der DIN 66399 definiert. 

Im Gegensatz zur EN 15713:2009 bzw. DIN EN 15713 weist die Norm DIN 66399 einen verbindlicheren Charakter auf. Diese Norm wird den Datenschutzvorschriften der DSGVO besser gerecht. Zudem berücksichtigt die DIN 66399 neben Papierakten auch digitale Datenträger.

Nach DIN 66399 werden Datenträger und Akten abhängig von den Informationen, welche sie beinhalten, in verschiedene Schutzklassen und Sicherheitsstufen unterteilt. Diese ermöglichen eine Einschätzung der potenziellen Risiken, wenn die Daten in fremde Hände gelangen:
 

• Unternehmensinterne Daten, Prospekte oder Produktübersichten, fallen in die Schutzklasse 1. 
  Gemäß dieser, muss der Schutz personenbezogener Daten garantiert sein. Ansonsten besteht für Betroffene das Risiko, dass er in seiner gesellschaftlichen Stellung sowie seinen wirtschaftlichen Verhältnissen negativ beeinträchtigt wird.
• Die Schutzklasse 2 umfasst vertrauliche Informationen wie Personal- und Adressdaten von Personen, beispielsweise aus Bestellungen, Steuerunterlagen und Bilanzen. Im Falle eines Datenmissbrauchs besteht die Gefahr, dass betroffene Personen finanziell oder in ihrer gesellschaftlichen Stellung erheblich beeinträchtigt werden.

• Der Schutzklasse 3 gehören besonders geheime Informationen an, beispielsweise Gesundheits- oder Forschungsdaten. Der Schutz personenbezogener Informationen muss unbedingt gewährleistet sein, da ansonsten die Freiheit, die körperliche Unversehrtheit oder sogar das Leben der betroffenen Personen gefährdet sein könnte.

Für die Durchführung einer datenschutzkonformen Aktenvernichtung sind unterschiedliche Sicherheitsstufen vorgegeben. Je nach Sicherheitsstufe variiert der Aufwand, der notwendig wäre, um die vernichteten Daten wiederherzustellen. Die Sicherheitsstufe 3 beispielsweise betrifft sensible und personenbezogene Daten; eine Wiederherstellung wäre, wenn überhaupt, nur mit erheblichem Aufwand möglich.

Gleichzeitig ist der Auftragnehmer dazu verpflichtet, die Vernichtung gemäß den erhaltenen Vorgaben durchzuführen. Er unterstützt den Kunden zudem bei Anfragen oder im Schadensfall.

Schredderanlagen zur Vernichtung von Papierdokumenten müssen die Anforderungen der jeweiligen DIN-Norm erfüllen. Der definierte Schutzbedarf der Daten ist für die Auswahl des Aktenvernichters maßgeblich.

Eine Auftragsverarbeitung liegt auch dann vor, wenn der Dienstleister die Aktenvernichtung beim Kunden vor Ort durchführt.

AV-Vertrag ist zur Aktenvernichtung erforderlich

Wird die Aktenvernichtung nach DSGVO vom Verantwortlichen an einen Dienstleister abgegeben, muss ein Auftragsverarbeitungs-Vertrag (AV-Vertrag) zwischen beiden Parteien abgeschlossen werden. 

Dieser hat in jedem Fall die Anforderungen des Art. 28 Abs. 3 DSGVO zu erfüllen: Er muss von vornherein eine genaue Definition des Gegenstandes, Zwecks und der Art der Datenverarbeitung sowie die Dauer, für die sie geplant ist, beinhalten. 

Auch Weisungsbefugnisse und Berechtigungen zu Kontrollmaßnahmen durch den Verantwortlichen müssen im Vertrag festgehalten werden.

Die Verantwortung bleibt beim Datenbesitzer

Der Abschluss des AV-Vertrags entbindet den Auftraggeber nicht von seiner Sorgfaltspflicht. Er bleibt weiterhin für die Einhaltung der gesetzlichen Vorschriften verantwortlich; muss also dafür sorgen, dass die Aktenvernichtung DSGVO-gerecht erfolgt.

Es fällt daher auch in die Verantwortung des Auftraggebers, Kriterien wie Art, Umfang, Zweck und Umstände der Vernichtung zu berücksichtigen und Risiken abzuwägen. 

Dementsprechend muss der Datenbesitzer geeignete organisatorische und technische Maßnahmen zum Datenschutz festlegen und umsetzen oder anordnen.
 

Dennoch besteht die bereits erwähnte Verpflichtung des Auftraggebers, sich vorab über die Einhaltung der DSGVO durch den Dienstleister zu versichern. 

Das gilt sowohl für den Auswahlprozess als auch für die Zeitspanne, in welcher der Dienstleister die ihm anvertrauten Daten verarbeitet.

Als Orientierungshilfe für den Auftraggeber dienen Qualitätssiegel und Zertifizierungen. 

Dazu gehören das Qualitätssiegel des BVSE (Bundesverbands Sekundärrohstoffe und Entsorgung) für Fachbetriebe im Bereich Datenträger- und Aktenvernichtung sowie die Zertifizierung nach DIN 66399.

Wichtig für Sie:

Sollten derartige Garantien nachträglich wegfallen oder Vorgaben in der Praxis nicht mehr eingehalten werden, ist auch die Daten- und Aktenvernichtung nach DSGVO nicht mehr erfüllt! 

Die Daten gelten dann nicht mehr als gesetzeskonform vernichtet. In einem solchen Fall hat der Auftraggeber rechtlich gegen seine Auswahlverantwortung verstoßen.

In der Folge können einem Unternehmen Sanktionen drohen, die mit einer Geldbuße von bis zu 4 % des im vergangenen Geschäftsjahr weltweit erwirtschafteten Umsatzes einhergehen. 

Alternativ können in jedem Fall Geldbußen von bis zu 20 Millionen Euro verhängt werden.