Personenbezogene Daten bitte nicht in die Tonne

Dokumente entsorgen

Jeder kennt das, der Briefkasten quillt fast über. Beim Sortieren der Post, finden wir immer wieder Briefe, die für ein Produkt, eine Leistung werben oder diverse Newsletter. Abgesehen davon, ob wir diese haben möchten, jemals unser Einverständnis dazu abgegeben haben oder einfach nur vergessen diese abzubestellen, kann es passieren, dass solche Schreiben ab und zu ungeöffnet in der Papiertgonne landen. Aber was passiert dort mit unseren Daten, also dem Namen und unserer Anschrift?

Gewerblich oder privat, in jedem Brief finden sich unsere persönlichen Daten wieder. Es sei denn, der Brief enthält keine Adresse und hat zum Beispiel eine Aufschrift „An alle Haushalte“.

Entsorgung in der Papiertonne

Es ist schnell passiert, der Brief landet zwischen weiterer Werbung und Kartons in der Tonne. Aus den Augen, aus dem Sinn, was soll damit schon passieren.

Möchte man gewerbliche Schreiben in Altpapier entsorgen, dürfen diese die Menge der haushaltsüblichen privaten Menge nicht überschreiten. Für größere Stapel ist je Gemeinde oder Bundesland ein separates Entsorgungsunternehmen zu bestellen. Neben dieser und weiterer Bestimmungen darf man ebenso nicht vergessen, dass die Tonnen im Außenbereich zur Abholung bereit gestellt werden. Da die meisten Papiertonnen auf oder neben öffentlich zugänglichen Bereichen stehen, ist jeglicher Zugriff auf die entsorgten Daten ein Kinderspiel.

Personenbezogene Daten bitte nicht in die Tonne

Was Sie in die Tonne werfen und was nicht, entscheiden Sie. Dennoch sollten Briefe, Schreiben, Dokumente, Belege und weitere Unterlagen besser anderweitig entsorgt werden. Jede Adresse zählt zu den personenbezogenen Daten. Ganz abgesehen von weiteren Informationen. Auch wenn es nur ein Werbebrief für Kugelschreiber ist, sollten Sie diesen separat entsorgen. Wer an diversen Angeboten aktuell kein Interesse hat, sollte den Brief durch den Aktenvernichter laufen lassen oder bis zur Unkenntlichkeit zerreißen. Selbst in Werbeschreiben befinden sich Daten wie Namen, Anschriften und Kundennummer. Diese Informationen reichen aus, um über die Person mehr zu erfahren oder in fremden Namen zu bestellen.

Tipp: Lieber Schreddern als einfach in den Papierkorb werfen.

Gesetzliche Anforderungen an die Aktenvernichtung

Die ordnungsgemäße Vernichtung von Dokumenten mit personenbezogenen Daten ist nicht nur eine Frage des gesunden Menschenverstands, sondern eine rechtliche Pflicht. Die DSGVO schreibt in Art. 5 Abs. 1 lit. f vor, dass personenbezogene Daten in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit gewährleistet. Dies umfasst auch die sichere Vernichtung, wenn die Daten nicht mehr benötigt werden.

Für Unternehmen gilt die DIN 66399, die verschiedene Sicherheitsstufen für die Vernichtung von Datenträgern definiert. Von Sicherheitsstufe 1 (allgemeine Daten) bis Sicherheitsstufe 7 (streng geheime Daten) gibt es klare Vorgaben, wie klein die Partikel nach der Vernichtung sein müssen. Für personenbezogene Daten wird mindestens Sicherheitsstufe 3 empfohlen, bei besonders sensiblen Daten wie Gesundheitsdaten oder Finanzdaten mindestens Sicherheitsstufe 4.

Die häufigsten Fehler bei der Datenentsorgung

In der Praxis beobachten wir immer wieder dieselben Fehler, die zu Datenschutzverstößen führen:

• Offene Papiertonnen im Außenbereich: Altpapiertonnen stehen häufig an öffentlich zugänglichen Orten. Jeder kann den Inhalt durchsuchen, ohne dass dies auffällt. Besonders an Abholungstagen, wenn die Tonnen am Straßenrand stehen, sind die Dokumente für jedermann zugänglich.
• Unvollständiges Zerreißen: Viele Menschen zerreißen Dokumente lediglich in zwei oder vier Teile. Diese können problemlos wieder zusammengesetzt werden. Ein Aktenvernichter der Sicherheitsstufe 3 oder höher bietet hier deutlich mehr Schutz.
• Vergessene Briefumschläge: Auch der Briefumschlag enthält personenbezogene Daten, nämlich den Namen und die Adresse des Empfängers. Dieser wird häufig achtlos entsorgt, während der Brief selbst geschreddert wird.
• Digitale Datenträger in der Tonne: CDs, USB-Sticks oder alte Festplatten gehören keinesfalls in den Hausmüll. Sie enthalten möglicherweise vertrauliche Daten und müssen fachgerecht vernichtet werden.

Sichere Entsorgung im Unternehmen

Unternehmen sollten ein durchdachtes Entsorgungskonzept implementieren. Abschließbare Datenschutztonnen an jedem Arbeitsplatz oder in jedem Büro sind ein erster wichtiger Schritt. Diese Tonnen werden von zertifizierten Entsorgungsunternehmen regelmäßig geleert und der Inhalt nach den Vorgaben der DIN 66399 vernichtet. Der Entsorgungsdienstleister gilt als Auftragsverarbeiter gemäß Art. 28 DSGVO, weshalb ein entsprechender Vertrag abgeschlossen werden muss.

Schulen Sie Ihre Mitarbeiter regelmäßig im Umgang mit vertraulichen Dokumenten. Jeder Mitarbeiter sollte wissen, welche Dokumente geschreddert werden müssen und welche in die normale Papiertonne dürfen. Eine klare Datenschutz-Schulung schafft hier das nötige Bewusstsein.

Konsequenzen bei unsachgemäßer Entsorgung

Die unsachgemäße Entsorgung von Dokumenten mit personenbezogenen Daten kann empfindliche Konsequenzen nach sich ziehen. Die Datenschutzaufsichtsbehörden können Bußgelder verhängen, die je nach Schwere des Verstoßes erheblich ausfallen können. Darüber hinaus drohen Schadensersatzansprüche der Betroffenen und ein erheblicher Reputationsschaden. Immer wieder berichten Medien über Fälle, in denen vertrauliche Unterlagen in Altpapiercontainern gefunden wurden, was für die betroffenen Unternehmen zu einem Imageproblem führte.

Praktische Tipps für den Alltag

Für den privaten und geschäftlichen Alltag empfehlen wir die Anschaffung eines Kreuzschnitt-Aktenvernichters der Sicherheitsstufe P-4 oder höher. Diese Geräte sind bereits ab etwa 50 Euro erhältlich und bieten einen zuverlässigen Schutz. Sammeln Sie vertrauliche Dokumente niemals offen, sondern verwenden Sie verschließbare Behälter. Vernichten Sie Dokumente zeitnah und lassen Sie keine Stapel entstehen. Im Zweifelsfall gilt: Lieber einmal zu viel schreddern als einmal zu wenig.

Digitale Datenträger sicher entsorgen

Neben Papierdokumenten müssen auch digitale Datenträger fachgerecht entsorgt werden. Festplatten, USB-Sticks, Speicherkarten und CDs können sensible Informationen enthalten, die durch einfaches Löschen nicht vernichtet werden. Selbst nach einer Formatierung lassen sich Daten mit spezieller Software wiederherstellen. Für eine sichere Vernichtung gibt es verschiedene Methoden: Professionelle Datenvernichtungsunternehmen setzen auf mechanische Zerkleinerung nach DIN 66399. Alternativ können Festplatten durch mehrfaches Überschreiben mit spezieller Software unlesbar gemacht werden. Bei SSDs und Flash-Speichern ist besondere Vorsicht geboten, da herkömmliche Überschreibmethoden aufgrund der internen Speicherverwaltung nicht zuverlässig funktionieren.

Unternehmen sollten ein Inventar aller Datenträger führen und deren Entsorgung dokumentieren. Zertifizierte Entsorgungsunternehmen stellen Vernichtungszertifikate aus, die als Nachweis der ordnungsgemäßen Entsorgung dienen. Diese Dokumentation kann bei einer Prüfung durch die Datenschutzaufsichtsbehörde vorgelegt werden.

Besondere Entsorgungspflichten für Unternehmen

Für Unternehmen gelten strengere Anforderungen als für Privatpersonen. Die DSGVO verlangt in Art. 32 geeignete technische und organisatorische Maßnahmen, zu denen auch die sichere Entsorgung von Datenträgern gehört. Das Bundesdatenschutzgesetz ergänzt diese Anforderungen durch spezifische Regelungen zur Datenvernichtung. Unternehmen müssen nachweisen können, dass sie ein systematisches Entsorgungskonzept implementiert haben. Dies umfasst die Klassifizierung von Dokumenten nach Schutzbedarf, die Zuordnung zu Sicherheitsstufen der DIN 66399, die Auswahl geeigneter Vernichtungsmethoden und die lückenlose Dokumentation des Entsorgungsprozesses.

Datenschutzgerechte Entsorgung im Home-Office

Mit der zunehmenden Verbreitung von Home-Office stellt sich die Frage der datenschutzgerechten Entsorgung auch im privaten Umfeld. Mitarbeiter, die zu Hause mit vertraulichen Dokumenten arbeiten, müssen dieselben Sicherheitsstandards einhalten wie im Büro. Der Arbeitgeber ist verpflichtet, geeignete Aktenvernichter bereitzustellen oder die Kosten dafür zu übernehmen. Das einfache Wegwerfen von Ausdrucken mit Kundendaten oder Geschäftsgeheimnissen in den Hausmüll stellt einen Datenschutzverstoß dar, für den sowohl der Mitarbeiter als auch das Unternehmen haftbar gemacht werden können.

Unternehmen sollten in ihrer Home-Office-Vereinbarung klare Regelungen zur Dokumentenentsorgung treffen. Dazu gehört die Bereitstellung eines Aktenvernichters mit mindestens Sicherheitsstufe P-3, regelmäßige Abholung vertraulicher Dokumente durch einen zertifizierten Entsorgungsdienstleister oder die Rückgabe an das Büro zur fachgerechten Vernichtung. Die Einhaltung dieser Regelungen sollte regelmäßig überprüft und dokumentiert werden, um im Falle einer Kontrolle durch die Aufsichtsbehörde nachweisen zu können, dass angemessene Maßnahmen ergriffen wurden.

Regelmäßige Überprüfung des Entsorgungskonzepts

Ein wirksames Entsorgungskonzept ist kein einmaliges Projekt, sondern erfordert regelmäßige Überprüfung und Anpassung. Mindestens einmal jährlich sollte das gesamte Entsorgungskonzept auf Aktualität und Wirksamkeit überprüft werden. Ändern sich gesetzliche Anforderungen, kommen neue Datenträgertypen zum Einsatz oder verändert sich die Unternehmensstruktur, muss das Konzept entsprechend angepasst werden. Die Dokumentation aller Entsorgungsvorgänge ist dabei ebenso wichtig wie die Schulung neuer Mitarbeiter. Unternehmen, die diese Maßnahmen konsequent umsetzen, sind nicht nur rechtlich auf der sicheren Seite, sondern minimieren auch das Risiko eines Reputationsschadens durch unsachgemäße Datenentsorgung erheblich.

Abschließend gilt: Eine konsequente Entsorgungsstrategie beginnt beim einzelnen Mitarbeiter und muss von der Unternehmensleitung aktiv unterstützt und vorgelebt werden. Nur wenn Datenschutz als gemeinsame Verantwortung verstanden wird, können Verstöße bei der Dokumentenentsorgung wirksam verhindert werden.