Trotz der immer weiter voranschreitenden Digitalisierung sind Dokumente in Papierform aus unserem Arbeitsalltag nicht wegzudenken. Was viele nicht beachten: Auch für diese gilt die DSGVO, denn auch und vor allem in Papierdokumenten finden sich allerhand personenbezogene Daten. Dass diese nicht einfach über den Papiermüll entsorgt werden sollten, scheint klar zu sein.
Wir sehen uns dennoch immer wieder mit der Frage konfrontiert, wie denn nun Druckerzeugnisse, Akten, Verträge, Rechnungen usw. DSGVO-konform zu vernichten sind. Heute wollen wir hier etwas mehr Klarheit schaffen.
Rechtliche Anforderung
Art. 32 DSGVO, § 64 BDSG schreiben vor, dass Verantwortliche zur Sicherstellung eines angemessenen Datenschutzniveaus bei der Verarbeitung personenbezogener Daten, geeignete technische und organisatorische Maßnahmen, die sog. TOMs, treffen müssen. Die Vernichtung von personenbezogenen Daten stellt auch eine Verarbeitung dar. Dementsprechend sind auch hier die Vorschriften der DSGVO zu beachten. Weitere Orientierungshilfe in puncto datenschutzkonforme Datenvernichtung bietet die DIN 66399.
Die DIN 66399
Durch die DIN 66399 wird genau definiert, welche Daten wie vernichtet werden müssen. Daten werden genau klassifiziert, indem sie in drei verschiedene Schutzklassen eingestuft werden. Außerdem sind sieben Sicherheitsstufen festgelegt, die bestimmen, in welcher Partikel- oder Streifengröße Papiere der einzelnen Schutzklassen vernichtet werden müssen. Die Einstufung in die Schutzklassen und Sicherheitsstufen sind vom Verantwortlichen selbst anhand einer Risikobewertung vorzunehmen.
Die Schutzklassen
Mit den Regelungen in der DIN 66399 lassen sich Daten in die Schutzklassen 1 bis 3, also in Daten mit normalem, hohem und sehr hohem Schutzbedarf, einstufen.
Unter Daten mit normalem Schutzbedarf werden interne Daten verstanden, die auch im Unternehmen für eine größere Gruppe von Mitarbeitern zugänglich sind. Die Rechtsverletzung beim Betroffenen ist bei unrechtmäßiger Veröffentlichung als gering einzuschätzen. Beispiele hierfür sind geschäftliche Korrespondenz im Tagesgeschäft, personalisierte Werbung oder handgeschriebene Notizen.
Ein hoher Schutzbedarf (Stufe 2) besteht für vertrauliche Daten, die auch innerhalb der Organisation nur für einen bestimmten Personenkreis bestimmt sind und in besonderem Maße datenschutzrechtlichen Anforderungen unterliegen. Hierunter fallen unter anderem Personal- und Bewerberdaten.
In die Höchste Schutzklasse (Stufe 3) werden besonders vertrauliche oder geheime Daten eingeordnet, die nur einem eng begrenzten Personenkreis zugänglich sind. Sollten diese Daten unberechtigten Dritten zugänglich gemacht werden, wären die Auswirkungen für das Unternehmen existenzbedrohend. Dies können beispielsweise personenbezogene Daten im Sinne des Art. 9 DSGVO sein, also Gesundheitsdaten in einer Patientenakte oder auch Kontodaten von Kunden.
Die Sicherheitsstufen
Nach der Einordnung der Daten in die drei Schutzklassen, ist eine weitere Einteilung in die sieben Sicherheitsstufen vorzunehmen. Da Dokumente nicht einfach in den Papiermüll zu entsorgen sind, bestimmen die Sicherheitsstufen die Streifen- bzw. Partikelgröße, die herauskommen soll, wenn Dokumente geschreddert wurden. Vereinfach kann man sagen, dass sich die Größe von Schutzklasse 1 bis Schutzklasse 5 immer weiter verringert. Quasi von Papierstreifen bis hin zu kleinsten Papierpartikeln. Je sensibler die Daten, desto kleiner sollte das Dokument geschreddert werden.
Bei der Vernichtung von Dokumenten, die personenbezogene Daten enthalten, ist unsere Empfehlung, diese nicht unter Sicherheitsstufe 3 zu vernichten.
Praxistipp
Egal, ob in einem Unternehmen Aktenschredder oder eine Datentonne genutzt wird: Mitarbeiter sollten per Arbeitsanweisung (siehe hierzu auch unseren Beitrag zur clean desk policy) oder durch etablierte Prozesse angehalten werden, Papiere nicht auf dem Schreibtisch zu sammeln, sondern immer direkt zu schreddern oder in die Datentonne zu werfen. Dokumente, die unachtsam offen herumliegen, können sonst mit Leichtigkeit von unberechtigten Dritten, welche auch Kollegen sein können, eingesehen werden. Mit diesem Punkt verknüpft ist auch unsere nächste Empfehlung: Es sollte dafür gesorgt werden, dass genügend Datentonnen oder Aktenschredder an zentraler, für alle Mitarbeiter leicht zugänglicher Stelle, zur Verfügung stehen. Auf jedem Stockwerk sollte sich mindestens ein Gerät/eine Tonne befinden. So können die Wege für Mitarbeiter verkürzt werden. Ist dies nicht gewährleistet, erhöht sich die Gefahr, dass doch wieder Dokumente am Arbeitsplatz gehortet oder über den normalen Papiermüll entsorgt werden. Wenn ein professionelles Aktenvernichtungsunternehmen mit der Vernichtung von Dokumenten beauftragt werden soll, ist unbedingt daran zu denken, mit diesem einen Auftragsverarbeitungsvertrag abzuschließen.
Kein Kommentar