Patientenakten im Müllcontainer. Kontoauszüge im Altpapier. Bewerbungsunterlagen auf dem Sperrmüll. Das klingt nach Ausnahmefällen ist in Deutschland aber erschreckend alltäglich. Wer Dokumente absichtlich oder fahrlässig falsch entsorgt, riskiert nicht nur ein DSGVO-Bußgeld, sondern im schlimmsten Fall den guten Ruf des eigenen Unternehmens. Dabei sind die meisten Fehler vermeidbar, wenn man sie kennt.
Unverbindliches Angebot anfragenInhalt
Fehler 1: Dokumente einfach in den Papiermüll werfen
Der häufigste Fehler passiert sowohl im Büro als auch zu Hause. Viele Menschen denken: „Das ist doch nur Altpapier.” Aber der Altpapiercontainer ist kein sicherer Entsorgungsweg für vertrauliche Unterlagen. Er ist öffentlich zugänglich, und wer einmal hineinschaut, kann Adressen, Kontonummern, Diagnosen oder Vertragsdetails lesen.
Solche Vorfälle sind keine Seltenheit. Ein dokumentiertes Beispiel: Bei einer Wertstoffanlage in Ravensburg fand ein Bürger über 100 Ordner mit Patientenakten der Oberschwabenklinik – vollständig, unvernichtet, mit Namen, Adressen, Diagnosen und Medikationsplänen. Die Datenschutzbehörde leitete sofort Ermittlungen ein. (Quelle: Schwäbische Zeitung)
Das gilt auch für Privathaushalte: Kontoauszüge, Steuerunterlagen, Versicherungspolicen oder alte Bewerbungen enthalten genug persönliche Daten, um Identitätsdiebstahl zu ermöglichen. Wer diese Dokumente unzerkleinert in die Papiertonne wirft, gibt fremden Personen buchstäblich alles in die Hand, was sie für Betrug brauchen.
Was stattdessen tun: Vertrauliche Dokumente immer mechanisch vernichten, entweder mit einem geeigneten Aktenvernichter oder über einen zertifizierten Entsorgungsdienstleister.
Fehler 2: Einen Aktenvernichter mit zu geringer Sicherheitsstufe nutzen
Viele Büros und Haushalte haben einen Aktenvernichter. Das Problem: Günstige oder ältere Geräte arbeiten oft mit Streifenschnitt (Sicherheitsstufe P-2). Das bedeutet, die Dokumente werden in lange, schmale Streifen geteilt, die sich mit etwas Geduld wieder zusammensetzen lassen. Wer sein Gerät noch aus den frühen 2000ern kennt oder im Büro nie nachgeprüft hat, was das Gerät wirklich leistet, sollte das dringend nachholen.
Die DIN 66399 unterscheidet sieben Sicherheitsstufen. Für normale Bürodokumente mit personenbezogenen Daten gilt P-3 als Mindeststandard. Ab dieser Stufe sind die Partikel klein genug, um eine Rekonstruktion erheblich zu erschweren. Für Personalakten, Gehaltsabrechnungen oder Krankenakten wird P-4 empfohlen: Hier entstehen so kleine Schnipsel, dass eine Wiederherstellung nicht mehr praktikabel ist.
Der Fehler ist weit verbreitet: Man vernichtet die Dokumente zwar, aber eben nicht sicher genug. Wer in einem Unternehmen Papier mit personenbezogenen Daten verarbeitet und mit einem P-2-Gerät vernichtet, erfüllt die DSGVO-Anforderungen nicht und haftet im Zweifelsfall dafür.
Empfehlung: Sicherheitsstufe prüfen. Mindestens P-3 für normale Geschäftsunterlagen, P-4 für Personalakten und sensible Daten. Wer große Mengen an Unterlagen oder Akten hat oder keine Zeit, übergibt die Vernichtung besser einem professionellen Dienstleister.
Fehler 3: Digitale Datenträger einfach löschen oder formatieren
Festplatte formatiert, USB-Stick gelöscht, alte Laptops gespendet oder verkauft – das klingt vernünftig, aber es reicht nicht. Handelsübliche Löschvorgänge entfernen Daten nicht physisch. Sie markieren lediglich den Speicherplatz als „frei”. Mit frei verfügbaren Recovery-Tools lassen sich diese Daten oft vollständig wiederherstellen.
Das gilt für HDDs, SSDs, USB-Sticks, Smartphones, Drucker-interne Speicher und sogar für einige Kopierer. Gerade ausrangierte Bürogeräte landen regelmäßig bei Second-Hand-Händlern oder im Elektroschrott, mit Daten, die dort niemand erwartet und noch weniger bemerkt.
Die DIN 66399 regelt auch die Vernichtung digitaler Datenträger. Für Unternehmen, die mit personenbezogenen Daten arbeiten, gilt grundsätzlich Sicherheitsstufe H-4 als Minimum für Festplatten.
Was stattdessen tun: Datenträger physisch vernichten lassen, nicht nur löschen. Aktenvernichtung und Datenträgervernichtung sind dabei zwei verschiedene Leistungen. Für Festplatten und andere Datenträger gibt es jeweils eigene zertifizierte Vernichtungsverfahren mit Nachweis.
Fehler 4: Dokumente zu früh vernichten – Aufbewahrungsfristen ignorieren
Wer Akten vernichtet, bevor die gesetzliche Aufbewahrungsfrist abgelaufen ist, begeht ebenfalls einen Fehler, allerdings in die andere Richtung. In Deutschland gelten je nach Dokument unterschiedliche Pflichtfristen.
- Buchungsbelege, Jahresabschlüsse, Bilanzen: 10 Jahre
- Rechnungen (Eingang und Ausgang): 10 Jahre
- Geschäftsbriefe (Ein- und Ausgang): 6 Jahre
- Lohnunterlagen: 6 Jahre (teils länger für die Rentenversicherung)
- Verträge: abhängig von Inhalt und Branche, oft 10 Jahre nach Vertragsende
Wer Belege vorzeitig vernichtet, riskiert Probleme bei Betriebsprüfungen, Steuerprüfungen oder rechtlichen Auseinandersetzungen. Das Finanzamt kann in Einzelfällen bis zu 10 Jahre zurückgehen. Fehlen die Unterlagen, drohen Schätzungen oder Nachzahlungen.
Eine vollständige Übersicht aller relevanten Fristen finden Sie in der Tabelle der Aufbewahrungsfristen 2026.
Fehler 5: Dokumente zu lange aufheben – was die DSGVO dazu sagt
Der umgekehrte Fall ist mindestens genauso problematisch. Nach der DSGVO gilt der Grundsatz der Datensparsamkeit: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den ursprünglichen Zweck erforderlich ist. Wer Kundendaten, Bewerbungsunterlagen oder Mitarbeiterakten jahrelang unnötig aufhebt, verstößt gegen die DSGVO, auch ohne konkrete Datenpanne.
Die Datenschutzbehörden mahnen das zunehmend ab. Besonders betroffen sind Unternehmen, die nie ein systematisches Aktenmanagement aufgebaut haben: Unterlagen stapeln sich, niemand weiß genau, was noch aufbewahrt werden muss, und Lösch- oder Vernichtungsprozesse fehlen ganz.
Was hilft: Ein Löschkonzept bzw. ein Vernichtungsplan einführen. Welche Dokumententypen müssen wie lange aufbewahrt werden? Wann ist die Frist abgelaufen? Ein einfacher Plan schützt vor DSGVO-Verstößen in beide Richtungen.
Fehler 6: Keinen Vernichtungsnachweis anfordern
Wer einen externen Dienstleister mit der Aktenvernichtung beauftragt, muss im Zweifelsfall nachweisen können, dass die Vernichtung tatsächlich und ordnungsgemäß stattgefunden hat. Fehlt ein Vernichtungsprotokoll oder Zertifikat, steht das Unternehmen bei einer Behördenprüfung im Regen.
Ein seriöser Aktenvernichtungsdienstleister stellt nach jeder Vernichtung automatisch ein Entsorgungszertifikat aus. Darin stehen: Datum, Menge, Art der vernichteten Unterlagen und die angewendete Sicherheitsstufe nach DIN 66399. Dieses Dokument gehört zu den Unterlagen, die im Rahmen der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO aufbewahrt werden sollten.
Wer kein Zertifikat bekommt oder keines anfordert, hat keine Grundlage, um nachzuweisen, dass die Pflichten aus der DSGVO erfüllt wurden. Das ist unnötiges Risiko.
Tipp: Immer ein schriftliches Vernichtungsprotokoll verlangen und mindestens 3 Jahre aufbewahren.
Fehler 7: Auf nicht zertifizierte Dienstleister vertrauen
Nicht jeder, der „Aktenvernichtung” anbietet, hält auch das, was der Begriff verspricht. Ohne die richtige Zertifizierung und die passende Technik ist die Vernichtung möglicherweise nicht DSGVO-konform, egal was auf der Website steht.
Worauf sollte man achten?
- Zertifizierung als Entsorgungsfachbetrieb nach DIN 66399: Das ist der maßgebliche Standard für die Vernichtung von Datenträgern und Akten in Deutschland.
- Auftragsverarbeitungsvertrag (AVV): Wer externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, muss einen AVV nach Art. 28 DSGVO abschließen. Ohne AVV haftet das beauftragende Unternehmen vollumfänglich.
- Sicherheitsbehälter: Professionelle Dienstleister liefern verschlossene Behälter, in die Akten eingeworfen werden, ohne dass Mitarbeiter die Dokumente einzeln sortieren müssen.
- Transportkette: Wie werden die Unterlagen vom Abholort zur Vernichtungsanlage transportiert? Auch dieser Weg muss gesichert sein.
Mehrere reale Fälle zeigen, was passiert, wenn die Kontrolle über den Entsorgungsweg verloren geht: Beim Hamburger Klinikkonzern Asklepios landeten hochsensible Patientendaten in offenen Müllcontainern, entsorgt durch beauftragte Dienstleister, die die Unterlagen schlicht nicht vernichtet hatten. (Quelle: taz)
Jetzt unverbindliches Angebot anfragenWas bei falscher Aktenvernichtung wirklich auf dem Spiel steht
Wer diese Fehler begeht, riskiert mehr als ein Bußgeld. Die DSGVO sieht bei schwerwiegenden Datenschutzverstößen Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor, je nachdem welcher Betrag höher ist. Dazu kommen Schadensersatzansprüche betroffener Personen und, oft noch schmerzhafter, Reputationsschäden, die sich kaum in Zahlen ausdrücken lassen.
Wer in Deutschland mit personenbezogenen Daten arbeitet, trägt Verantwortung für deren Vernichtung bis zum letzten Schritt. Der ist nämlich genauso wichtig wie alle anderen Schritte davor.
Wer dabei auf der sicheren Seite sein will, vertraut auf einen zertifizierten, DSGVO-konformen Aktenvernichtungsdienstleister mit AVV, Vernichtungsprotokoll und der richtigen Sicherheitsstufe für die jeweiligen Unterlagen.
Häufige Fragen zur Aktenvernichtung
Darf ich Dokumente mit Personendaten einfach in die Papiertonne werfen?
Nein. Dokumente mit personenbezogenen Daten, auch die eigenen zu Hause, dürfen nicht unvernichtet im Altpapier entsorgt werden. Sie müssen so vernichtet werden, dass der Inhalt nicht rekonstruiert werden kann.
Welche Sicherheitsstufe brauche ich für normale Bürodokumente?
Für normale Geschäftsunterlagen mit personenbezogenen Daten gilt P-3 nach DIN 66399 als Mindeststandard. Für Personalakten und sensible HR-Unterlagen wird P-4 empfohlen. Günstige Heimgeräte erreichen oft nur P-2 (Streifenschnitt), was in beiden Fällen nicht ausreicht.
Muss ich als Privatperson auf die DSGVO achten?
Die DSGVO gilt für Privatpersonen beim Umgang mit rein privaten Unterlagen nicht direkt. Das Risiko des Identitätsdiebstahls besteht aber unabhängig davon. Kontoauszüge, Lohnabrechnungen oder alte Verträge sollten immer sicher vernichtet werden.
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Ein AVV ist ein Vertrag zwischen einem Unternehmen und einem Dienstleister, der personenbezogene Daten in dessen Auftrag verarbeitet oder vernichtet. Er ist nach Art. 28 DSGVO verpflichtend und regelt, wie der Dienstleister mit den Daten umgeht. Ohne AVV haftet das beauftragende Unternehmen im Schadensfall vollständig.
Wie lange muss ich ein Vernichtungsprotokoll aufbewahren?
Es gibt keine gesetzlich festgelegte Frist für Vernichtungsprotokolle. Empfehlenswert sind mindestens 3 Jahre, damit sie bei einer Behördenprüfung vorgelegt werden können.