Die EU-DSGVO in der Aktenvernichtung und Datenvernichtung

Das EU-Parlament hat im April 2016 die „Verordnung EU 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“ verabschiedet. Das ist die im Sprachgebrauch bekannte Datenschutz-Grundverordnung, kurz DSGVO. Sinn, Zweck und Inhalt der DSGVO ist die EU-weite Vereinheitlichung der Datenschutzbestimmungen. Die DSGVO gilt nach der für EU-Verordnungen üblichen zweijährigen Übergangsfrist spätestens seit 25. Mai 2018 einheitlich in allen EU-Mitgliedsländern. Seitdem ist die DSGVO unmittelbar geltendes Recht. Sie ersetzt die aus dem Jahr 1995 stammende "EU-Richtlinie 95/46-EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr". Seitdem ist die DSGVO innerhalb der Europäischen Union der einheitlich geltende gemeinsame Datenschutzrahmen nach dem Grundsatz: EU-Recht geht vor nationalem Recht. Nationale Gesetze behalten nur noch dann ihre Gültig- und Wirksamkeit, wenn sie DSGVO-konform sind. 

Das hat Auswirkungen auf zigtausende Unternehmen. Seit Mai 2018 ist das Verarbeiten personenbezogener Daten vom Grundsatz her verboten. Im Umkehrschluss ist es nur mit dem ausdrücklichen Okay der DSGVO möglich, respektive gestattet. Die juristische Formulierung heißt „Verbot mit Erlaubnisvorbehalt“. 
Diese neue Situation betrifft auch die Aktenvernichtung und die Datenvernichtung
In der DSGVO ist die Datenverwaltung von der Erhebung über Speicherung, Nutzung und Verarbeitung bis hin zur Datenlöschung geregelt. Gegenüber dem deutschen BDSG (Bundesdatenschutzgesetz) wurden teilweise gänzlich neue Vorgaben definiert und in EU-Recht umgesetzt. Die Nichteinhaltung kann mit einer Geldbuße von bis zu 20 Mio. Euro belegt werden. Die DSGVO hat für Handel, Gewerbe und Industrie zur Folge, dass sich jeder einzelne Datenbesitzer mit der EU-DSGVO auseinandersetzen muss. 

Recht auf Löschung gemäß Artikel 17 DSGVO

Im Rahmen der EU-DSGVO hat der Betroffene das Recht darauf, dass seine Daten gelöscht werden. Artikel 17 DSGVO bezeichnet es als Recht auf Vergessenwerden. In Bezug auf die EU-DSGVO handelt es sich um eine strafbewehrte Pflicht des Dateninhabers. Verletzt er die Aktenvernichtungspflicht, droht ihm eine Strafe. 

„Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass der die sie betreffenden personenbezogenen Daten unverzüglich löscht. Der dafür Verantwortliche ist dazu verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der Gründe nach Absatz 1 Buchstaben a) bis f) vorliegt.“

Neue Vorgaben in der EU-DSGVO für Datenvernichtung seit dem 25. Mai 2018

Artikel 25 DSGVO

Datenschutz durch Technikgestaltung und durch datenfreundliche Voreinstellungen

Die Umsetzung von „Stand der Technik“ wie in der  EU-DSGVO gefordert, erfolgt durch die DIN 66399.

  • Ermitteln sämtlicher Dokumente, in denen personenbezogene Daten enthalten sind
  • Klassifizierung dieser Dokumente gemäß PFOTHE nach ihrer Materialart [Papier, Festplatte, CD,]
  • Entscheidung darüber, welche Materialarten als Gemisch gesammelt werden können
  • Klassifizierung der Dokumente nach individuellem Schutzbedarf und somit nach Schutzklassen
  • Definition der für die Materialart und das Materialgemisch notwendigen Zerkleinerungs- und in Verbindung damit der Sicherheitsstufe
  • Zusammenfassung unterschiedlicher Dokumententypen zu einheitlichen Schutzklassen sowie Sicherheitsstufen
  • Bestimmung von geeigneten Sammelbehältnissen für vertrauliche Unterlagen; zentral über Presscontainer für große Mengen, dezentral über Aluminium-Datenschutzbehälter
  • Bestimmung des Sammelortes für den/die Datenschutzbehälter [Kopierraum, Archiv, direkt am Arbeitsplatz, …..]

Auswahl des geeigneten externen Dienstleisters

  • Ist er zur Ausstellung des Zertifikates nach DIN 66399 in der Lage und dazu berechtigt
  • Welche Schutzklassen und welche Sicherheitsstufen kann er anbieten
  • Präsentation weiterer Zertifikate wie Entsorgungsfachbetrieb, Qualitäts-/Umweltmanagement,
  • Abgleich der TOMs, technischen und organisatorischen Maßnahmen des potentiellen externen Dienstleisters mit den eigenen
  • Ortsbesuch beim ausgewählten Dienstleister, um sich ein Bild vor Ort von seiner Leistungsfähigkeit zu verschaffen
  • Kritische inhaltliche Prüfung des vorgelegten Vertragsentwurfes (insbesondere alle Anforderungen und Vorgaben der DIN 66399)
  • Update durch den externen Dienstleisters im Jahresrhythmus, dass die TOMs unverändert geblieben sind oder wenn nicht, welche neuen TOMs aktuell gelten
  • Jährliches Update der TOMs in Print- oder Dateiform, um sie mit der bisher geltenden Fassung abzugleichen
  • Aushändigung eines Protokolls in Print- oder Dateiform für jede einzelne Übergabe
  • Aushändigung einer Vernichtungsbestätigung nach jedem einzelnen Vernichtungsvorgang mit Aussagen über materialspezifische Sicherheitsstufe nebst Schutzklasse

Artikel 28 DSGVO

Auftragsverarbeiter

  • Für alle an der Akten-/Datenvernichtung Beteiligten gilt eine absolute Verschwiegenheitspflicht
  • Der Auftraggeber des Auftragverarbeiters darf nur mit solchen Akten-/Datenvernichtungsbetrieben zusammenarbeiten, die eine ausreichende Garantie dafür bieten, dass alle organisatorischen sowie technischen Maßnahmen nach Recht und Gesetz umgesetzt werden
  • Näher definiert ist die ganz allgemeine Vertragspflicht in der Akten- und Datenvernichtung mit genauer Definition der Voraussetzungen.

Artikel 32 DSGVO

Sicherheit der Verarbeitung

  • Aktenvernichtungsbetriebe sowie Datenbesitzer müssen dem Datenschutzrisiko angemessene Schutzmaßnahmen treffen
  • Die Kontrollpflicht für den Aktenvernichtungsprozess liegt beim Auftragnehmer des Kunden
  • Die geeigneten, organisatorischen und technischen Maßnahmen müssen so definiert werden, dass die gesamte Datenvernichtung von der Datenübernahme bis hin zur Datenlöschung mit einem ausreichenden Schutzniveau gewährleistet ist

Artikel 82 DSGVO

Haftung und Recht auf Schadenersatz

  • Alle am Akten-/Datenvernichtungsprozess Beteiligten sind und bleiben solange Verantwortliche im Sinne der DSGVO, bis der Löschungs- und Vernichtungsvorgang beendet ist
  • Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat
     

Artikel 83 DSGVO

Allgemeine Bedingungen für die Verhängung von Geldbußen

  • Geldbußen sind, abhängig von der Art des Verstoßes, bis zur Höhe von 20 Mio. Euro oder bis zu vier Prozent des gesamten, weltweiten Unternehmensumsatzes möglich
  • Handelnde Personen können auch persönlich haftbar gemacht werden
     

 

EU-DSGVO bei der MAMMUT Deutschland

Mit einer Beauftragung der MAMMUT Deutschland und den Partnerunternehmen in der Aktenvernichtung,

Festplattenvernichtung oder Datenträgervernichtung sind Sie in allen Aspekten der EU-DSGVO auf der sicheren Seite.