Datenschutz und IT

Die meisten Unternehmen und öffentlichen Stellen wissen, dass sie Akten und Datenträger, die nicht mehr gebraucht werden, datenschutzkonform vernichten müssen. Vielen ist jedoch nicht bewusst, wie sie das tun können. Wir geben einen Überblick.

Aktenvernichtung gehört zur Datenverarbeitung 

Die Löschung und Vernichtung von Akten und Datenträgern – egal ob in Papierform, auf USB-Sticks oder auf Festplatten – wird häufig nicht als Phase der Datenverarbeitung erkannt. Dann landen Unterlagen mit personenbezogenen Daten einfach ungeschreddert im Müllcontainer oder die Festplatte wird weitergegeben, ohne dass die gespeicherten Daten datenschutzgerecht gelöscht worden sind. Datenschutzgerechte Aktenvernichtung heißt aber, dass die Daten so vernichtet werden, dass sie nicht mehr wiederhergestellt werden können. 

Mit der Europäischen Datenschutzgrundverordnung (DSGVO) müssen sich Unternehmen und öffentliche Stellen auch mit dem Prozess der Akten- bzw. Datenträgervernichtung auseinandersetzen und ihr Vorgehen mit den Vorgaben der DSGVO abgleichen. Vielen ist z. B. nicht bewusst, dass nach Ablauf der Aufbewahrungsfrist Datenträger mit sensiblen Daten so vernichtet werden müssen, dass sie nicht in die Hände eines unberechtigten Dritten gelangen und dass dies dokumentiert werden muss

Wie Unternehmen bei der Datenträgervernichtung genau vorgehen, hängt dabei von der Art des Datenträgers ab. Grundsätzlich gilt: „Je sensibler die zu vernichtenden Daten sind, desto höhere Anforderungen sind an die technisch-organisatorischen Maßnahmen zur Datenträgervernichtung zu stellen“, führt der Bayerische Landesbeauftragte für Datenschutz aus. 

Rechtliche Grundlage für die Datenvernichtung  

Wie Datenträger richtig vernichtet werden, definiert die DIN 66399 „Büro- und Datentechnik – Vernichten von Datenträgern“. Die Norm ist in drei Teile gegliedert und schreibt vor, welche Anforderungen Maschinen zur Vernichtung von Datenträgern erfüllen müssen und wie der Prozess der Datenträgervernichtung ausgestaltet sein soll. 

Datenträgervernichtung in Eigenregie 

Es gibt die Möglichkeit, eine Spezialfirma mit der Vernichtung von Akten und Datenträgern in Form einer Auftragsverarbeitung zu beauftragen – v. a., wenn es sich um große Datenmengen handelt, empfiehlt sich ein solcher professioneller Dienstleister.  Unternehmen können die Vernichtung der personenbezogenen Daten aber auch selbst in die Hand nehmen. Eine ausführliche Checkliste zur Datenträgervernichtung aus der „Dokumentenmappe: Datenschutz im Unternehmen“ unterstützt sie dabei. Es müssen jedoch mindestens folgende Schritte unternommen werden: 

  • Ermitteln, ob die zu entsorgenden Akten oder Datenträger personenbezogene Daten enthalten und welchen nötigen Schutzbedarf sie aufweisen.
  • Entsorgungskonzept mit präzisen Regelungen erstellen, z. B. zu technisch-organisatorischen Maßnahmen, Entsorgungswegen und Zuständigkeiten. Das Konzept muss auf seine Wirksamkeit geprüft und ständig aktualisiert werden. 
  • Schriftlich festlegen, wie Mitarbeiter Datenträger entsorgen sollen, und die Einhaltung überwachen. 
  • Die mit der Datenträgervernichtung beauftragten Mitarbeiter datenschutzrechtlich unterweisen
  • Datenträger mit personenbezogenen Daten bis zu ihrer endgültigen Vernichtung in abschließbaren Räumen und/oder verschließbaren Containern aufbewahren
  • Datenschutz auch beim Transport der zu vernichtenden Daten einhalten. 
  • Akten und Datenträger gemäß den Anforderungen der DIN 66399 und der DSGVO vernichten. 
  • Protokollieren, dass die sensiblen Daten sicher vernichtet wurden. 
Bleiben Sie auf der sicheren Seite mit den Checklisten und Merkblättern zur Umsetzung der DSGVO in der

Dokumentenmappe: Datenschutz im Unternehmen

mehr erfahren

Speziell gefilterte Informationen für öffentliche Stellen finden Sie in der

Formularmappe Datenschutz in öffentlichen und kirchlichen Einrichtungen

mehr erfahren

Quellen: „Dokumentenmappe: Datenschutz im Unternehmen“, www.datenschutz-bayern.de

War der Artikel hilfreich?
finde ich gut 0