Personenbezogene Daten sind nicht für die Tonne

Personenbezogene Daten sind nicht für die Tonne

Jeder kennt das: Der Briefkasten quillt über und die Werbebriefe landen in der Tonne oder im Unternehmen wird es mal wieder Zeit, den Aktenschrank zu leeren. Doch dürfen Dokumente, die (fremde) personenbezogene Daten wie Name, Anschrift, Kundennummer oder Geburtstag enthalten, einfach in der Papiertonne entsorgt werden? Und falls nein: Wie werden solche Dokumente dann datenschutzkonform entsorgt?

Entsorgung im Betrieb

Seit Inkrafttreten der DSGVO bemühen sich Betriebe darum, sensible Dokumente verschlossen aufzubewahren, Speicherfristen einzuhalten und die Betroffenenrechte zu wahren. Viel zu oft landen die Dokumente nach der Aufbewahrungszeit dann aber allenfalls einmal durchgerissen in der Papiertonne, während externe Speichermedien mit Backups sogar oft in einsatzfähigem Zustand im Hausmüll zu finden sind.

Dies ist ein großer Schwachpunkt und gibt Aufsichtsbehörden regelmäßig Grund zur Beanstandung, zumal die Papiertonne, die an der öffentlichen Straße steht, ganz einfach eingesehen werden kann. Diese Peinlichkeiten sollte man natürlich vermeiden.

Rechtliche Grundlagen

Eines der Betroffenenrechte aus der DSGVO findet sich in Art. 17 I DSGVO, nämlich das Recht auf Löschung oder auch das „Recht auf Vergessenwerden“. Nach einer Löschung nach der DSGVO darf keine Möglichkeit mehr bestehen, die betroffenen personenbezogenen Daten ohne unverhältnismäßigen Aufwand wahrzunehmen. Die Art und Weise wie dies zu geschehen hat, legt die DSGVO nicht fest. Der Grundgedanke ist nur, dass die Kenntnisnahme der gespeicherten Daten für jedermann zu jeder Zeit tatsächlich unmöglich sein soll. Es kommt dabei nicht darauf an, ob die Daten theoretisch mittels eines speziellen Programmes wiederhergestellt werden könnten.

Aus dem Zweckbindungsgrundsatz (Art. 5 I DSGVO) wird zudem abgeleitet, dass alle Daten, die für den ursprünglichen Erhebungszweck nicht mehr erforderlich sind, ohne gesonderte Aufforderung durch den Betroffenen zu löschen sind. Dies ist in der Praxis besonders beim Ablauf von Aufbewahrungspflichten oder dem Ende eines Beschäftigungsverhältnisses oder der Kundenbeziehung der Fall.

Sonderregeln gibt es im nationalen Recht nur für Papierakten gem. § 35 I 1 BDSG, wenn die Löschung nur mit unverhältnismäßig großem Aufwand erfolgen kann.

Ein Verstoß gegen die Löschpflichten kann Geldbußen von bis zu € 20 Mio. bzw. 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs zur Folge haben.

Zudem haben Betroffene auch das Recht auf transparente Information über die Speicherdauer der Daten.

Praktische Umsetzung

Die Entsorgung hängt in der Praxis nicht nur vom Faktor der grundsätzlich bestehenden Möglichkeiten, sondern auch den Sicherheitsstufen, dem Aufwand und den zur Verfügung stehenden Geräten ab. 

Bei Codierungen oder virtuellen Verknüpfungen braucht man einen zuverlässig irreversiblen Löschvorgang. Bei wiederbeschreibbarem Trägermaterial ist auf spezielle Löschsoftware zurückzugreifen, um die Wiederherstellbarkeit zu verhindern, was aber besonders im Bezug auf den zu betreibenden Aufwand immer am Einzelfall beurteilt werden muss. Es reicht jedenfalls nicht aus, nur organisatorische Maßnahmen zu treffen oder Datenträger einfach im Original zu entsorgen. Bei Papierunterlagen, Festplatten, Magnetbändern, USB-Sticks, CD-ROMs, DVDs, optischen Speichern, Filmen und ähnlichen Datenträgern kommt vor allem die physische Zerstörung in Betracht.

Zur Entsorgung kann man sich an bestimmten DIN- Normen (DIN EN 15713, DIN 66398 und DIN 66399) orientieren. Hier finden sich Einteilungen in Sicherheitsstufen und Anforderungen an Aktenvernichter. Diese Normen haben allerdings keinen Gesetzescharakter und die DSGVO nimmt auch keinen Bezug auf sie, sodass sie lediglich der Orientierung dienen.

Zudem hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technische Leitlinie BSI-TL 03420 herausgegeben, die das Löschen und Vernichten schutzbedürftiger Informationen auf Datenträgern betrifft. Diese kann ebenfalls bei der Orientierung helfen.

In der Praxis sollte immer Rücksprache mit dem Datenschutzbeauftragten oder anderem Fachpersonal gehalten werden, um das passendste Konzept für den eigenen Betrieb zu entwickeln.

Entsorgung im privaten Haushalt

Auch im privaten Rahmen werden oft viel zu leichtsinnig Werbeschreiben oder ähnliche Dokumente mit persönlichen Daten im Papiermüll entsorgt, ohne die personenbezogenen Daten unkenntlich zu machen. Denken Sie immer daran, dass es sehr einfach ist, auf eine Mülltonne, die offen an der Straße steht, zuzugreifen. Gehen Sie lieber auf Nummer sicher und schreddern Sie Dokumente, die Ihren Namen, Adresse, Kundennummer, Geburtstag oder andere Daten enthalten.

Sicherheitsstufen nach DIN 66399 im Detail

Die DIN 66399 definiert sieben Sicherheitsstufen für die Vernichtung von Datenträgern. Für den betrieblichen Alltag sind vor allem die Stufen 3 bis 5 relevant:

Sicherheitsstufe 3 eignet sich für personenbezogene Daten wie Kundenlisten, Angebote oder Bestellungen. Die Partikelgröße nach der Vernichtung darf maximal 320 mm² betragen. Die meisten handelsüblichen Aktenvernichter der Klasse „Cross-Cut“ erfüllen diese Anforderung.

Sicherheitsstufe 4 wird für besonders schützenswerte Daten wie Personalakten, Krankenakten oder Steuerunterlagen empfohlen. Hier ist eine Partikelgröße von maximal 160 mm² vorgeschrieben.

Sicherheitsstufe 5 ist für Daten mit existenzieller Bedeutung für Personen oder Unternehmen erforderlich, etwa Daten mit Berufsgeheimnissen oder besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Die maximale Partikelgröße beträgt hier nur noch 30 mm².

Vernichtung digitaler Datenträger

Die ordnungsgemäße Entsorgung beschränkt sich nicht auf Papierdokumente. Auch digitale Datenträger müssen datenschutzkonform vernichtet werden. Festplatten, USB-Sticks, SD-Karten und optische Medien enthalten häufig große Mengen personenbezogener Daten, die bei unsachgemäßer Entsorgung in falsche Hände geraten können.

Bei Festplatten reicht ein einfaches Formatieren nicht aus. Die Daten können mit spezieller Software wiederhergestellt werden. Stattdessen sollten Festplatten entweder mehrfach überschrieben werden (mindestens dreifach nach BSI-Empfehlung) oder physisch zerstört werden. Professionelle Dienstleister bieten hierfür zertifizierte Vernichtungsverfahren an und stellen Vernichtungszertifikate aus.

Bei SSDs (Solid State Drives) ist die Situation komplexer. Aufgrund der Funktionsweise dieser Speichermedien ist ein vollständiges Überschreiben nicht garantiert. Hier empfiehlt sich die Nutzung der herstellereigenen Secure-Erase-Funktion oder die physische Zerstörung.

Externe Dienstleister für die Aktenvernichtung

Viele Unternehmen greifen auf externe Dienstleister für die Aktenvernichtung zurück. Dabei ist zu beachten, dass es sich um eine Auftragsverarbeitung nach Art. 28 DSGVO handelt. Es muss daher ein Auftragsverarbeitungsvertrag (AVV) mit dem Entsorgungsunternehmen geschlossen werden.

Der Dienstleister sollte nach DIN 66399 zertifiziert sein und die gesamte Kette der Datenvernichtung dokumentieren. Dazu gehören verschlossene Sammelbehälter im Unternehmen, ein gesicherter Transport und die nachweisbare Vernichtung. Am Ende erhält das Unternehmen ein Vernichtungszertifikat, das als Nachweis für die ordnungsgemäße Entsorgung dient.

Aufbewahrungsfristen beachten

Vor der Vernichtung von Dokumenten müssen zwingend die gesetzlichen Aufbewahrungsfristen geprüft werden. Je nach Dokumententyp gelten unterschiedliche Fristen:

10 Jahre: Jahresabschlüsse, Buchungsbelege, Rechnungen, Inventare und Handelsbücher müssen nach dem Handelsgesetzbuch (§ 257 HGB) und der Abgabenordnung (§ 147 AO) mindestens zehn Jahre aufbewahrt werden.

6 Jahre: Geschäftsbriefe, Angebote und sonstige steuerlich relevante Unterlagen unterliegen einer sechsjährigen Aufbewahrungspflicht.

3 Jahre: Personalunterlagen wie Gehaltsabrechnungen oder Arbeitszeugnisse sollten mindestens drei Jahre nach Ende des Beschäftigungsverhältnisses aufbewahrt werden, um mögliche Ansprüche abwehren zu können.

Eine vorzeitige Vernichtung aufbewahrungspflichtiger Unterlagen kann steuerrechtliche und zivilrechtliche Konsequenzen haben. Ein gut strukturiertes Löschkonzept hilft dabei, den Überblick über die verschiedenen Fristen zu behalten und eine rechtzeitige sowie rechtskonforme Vernichtung sicherzustellen.

Empfehlungen für die Praxis

Erstellen Sie ein umfassendes Löschkonzept, das alle Arten von Datenträgern und Dokumenten in Ihrem Unternehmen berücksichtigt. Schulen Sie Ihre Mitarbeiter regelmäßig im Umgang mit personenbezogenen Daten und sensibilisieren Sie für die korrekte Entsorgung. Stellen Sie sicher, dass in jedem Büro ein Aktenvernichter mit mindestens Sicherheitsstufe 3 verfügbar ist. Nutzen Sie für die Entsorgung größerer Mengen einen zertifizierten Dienstleister und bewahren Sie die Vernichtungszertifikate sorgfältig auf.

Datenschutzkonformes Löschkonzept erstellen

Ein datenschutzkonformes Löschkonzept ist nach Art. 5 Abs. 1 lit. e DSGVO für jedes Unternehmen verpflichtend. Es legt fest, welche personenbezogenen Daten nach welchen Fristen und auf welche Weise gelöscht oder vernichtet werden. Das Löschkonzept sollte folgende Bestandteile enthalten:

Zunächst wird eine vollständige Bestandsaufnahme aller im Unternehmen vorhandenen Datenkategorien durchgeführt. Dabei werden sowohl analoge als auch digitale Datenträger erfasst. Anschließend werden die jeweiligen Rechtsgrundlagen und Aufbewahrungsfristen zugeordnet. Für jede Datenkategorie wird ein konkreter Löschtermin oder ein regelmäßiger Löschzyklus festgelegt.

Die Verantwortlichkeiten müssen klar definiert sein: Wer ist für die Durchführung der Löschung zuständig? Wer kontrolliert die Einhaltung der Fristen? Wer dokumentiert die durchgeführten Löschvorgänge? Diese Fragen sollten im Löschkonzept eindeutig beantwortet werden.

Ein professioneller externer Datenschutzbeauftragter unterstützt Sie bei der Erstellung eines individuellen Löschkonzepts und sorgt dafür, dass Ihr Unternehmen die Anforderungen der DSGVO vollständig erfüllt. Regelmäßige Überprüfungen stellen sicher, dass das Konzept laufend aktuell bleibt und neue Datenverarbeitungen korrekt berücksichtigt werden.

Besonders in Branchen mit hohem Datenaufkommen wie dem Gesundheitswesen, der Finanzbranche oder im Personalwesen ist ein strukturiertes Löschkonzept wichtig. Die Aufsichtsbehörden prüfen bei Kontrollen regelmäßig, ob ein dokumentiertes Löschkonzept vorhanden ist und ob dieses in der Praxis auch tatsächlich umgesetzt wird. Fehlende oder mangelhafte Löschkonzepte können zu empfindlichen Bußgeldern nach Art. 83 DSGVO führen.