Seit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) müssen personenbezogene Daten mit entsprechenden Sicherheitsmaßnahmen vernichtet werden. Das gilt sowohl für digitale Daten, wie für Daten auf analogen Datenträgern – wie Papier.
Seit Mai 2018 gilt die neue DSGVO in der EU mit dem Ziel, die personenbezogenen Daten von Mitarbeitern und Kunden zu schützen. Auch wenn die DSGVO vor allem im Online Bereich in aller Munde ist, gilt sie ebenso für Daten, die nicht digital verarbeitet werden. Auch papierne Unterlagen müssen mit Rücksicht auf personenbezogene Daten vertraulich behandelt und ggf. sicher vernichtet werden.
Besondere Vorsicht ist bei der Vernichtung von Unterlagen vorgeschrieben, die besonders sensible personenbezogene Daten beinhalten, wie zum Beispiel Patientenakten oder Unterlagen bei Rechtsanwälten. Solche Unterlagen kann ein DSGVO-konformer Büroschredder vernichten. Mittlerweile sind entsprechende Geräte oft mit einem Hinweis auf die DSGVO ausgewiesen.
Wie sind DSGVO-konforme Aktenvernichter klassifiziert?
Im Bundesdatenschutzgesetz (BDSG) ist festgelegt, welche Sicherheitsstufen ein Aktenvernichter zu erfüllen hat und welche Sicherheitsstufe für die ordnungsgemäße Vernichtung von personenbezogenen Daten ausreicht. Diese Sicherheitsstufen des BDSG entsprechen der DIN 66399, die festlegt, wie klein die Datenträger zerkleinert werden müssen, um entsorgt werden zu dürfen.
Insgesamt gibt es sechs verschiedene Sicherheitsstufen, die von allgemeinen Daten bis hin zu streng geheimen Daten, die beispielsweise bei Militär und Geheimdiensten anfallen, reichen. Für die Vernichtung von personenbezogenen Daten sind vor allem die Sicherheitsstufen 2 und 3 interessant.
Während die auf 11mm schmale Streifen geschnittenen Datenträger der Sicherheitsstufe 1 mit einfachem Aufwand wieder zusammengesetzt werden können, ist eine Rekonstruktion von Datenträgern, die nach Stufe 2 oder 3 vernichtet wurden, nur mit erheblichem Aufwand möglich.
- Sicherheitsstufe 1: Ist nötig für personalisierte Daten auf Wurfsendungen, personalisierte Werbung und normale Korrespondenz. Eine Vernichtung ist aufgrund der auf dem Datenträger hinterlegten Adressen nötig. Aktenvernichter schneiden die Datenträger auf Streifen, die nicht breiter als 12mm sein dürfen.
- Sicherheitsstufe 2: Bei Unterlagen, die personenbezogene Daten enthalten, aber nicht besonders schützenswert sind – wie beispielsweise Patientenakten – müssen so zerkleinert werden, dass übrigbleibenden Partikel nicht breiter als 6mm sind und die Oberfläche nicht größer als 400mm² ist.
- Sicherheitsstufe 3: Gilt für sensible Unterlagen, wie Patientenakten, Verträge oder Unterlagen von Rechtsanwaltskanzleien. Hier muss eine unbefugte Verbreitung der Unterlagen verhindert werden. Daher werden die Unterlagen auf maximal 2mm breite Streifen geschreddert und die Partikel dürfen nicht größer als 240mm² sein.
Einen Datenschutzbeauftragten zur Aktenvernichtung hinzuziehen
Jedes Unternehmen, bei dem mehr als neun Mitarbeiter mit personenbezogenen Daten in Kontakt kommen, ist laut BDSG dazu verpflichtet einen Datenschutzbeauftragten (DSB) zu bestellen. Dies kann ein interner DSB sein, oder ein externer Dienstleister. Dieser achtet vor allem auf die Einhaltung der Vorgaben aus dem BDSG, hat aber auch ein Auge auf weitere Bestimmungen, die durch besonders sensible Daten entstehen, wie sie beispielsweise in Arztpraxen, Krankenhäusern oder Kanzleien verarbeitet werden.
Für die Arbeit eines Datenschutzbeauftragten ist eingehende Kenntnis des BDSG und der DSGVO notwendig, daher lohnt es sich vor allem für kleinere Betriebe einen externen DSB zu bestellen.
Dieser ist auch dazu in der Lage sicherzustellen, dass Akten ordnungsgemäß vernichtet werden und muss auf die Einhaltung der Prozesse der Aktenvernichtung achten.
Je nach Unternehmen, bei denen mitunter heute noch viel Schriftverkehr anfällt, oder wenn beispielsweise viele Akten auf einmal digitalisiert werden sollen, fällt von einem Tag auf den anderen viel Müll an, der ordnungsgemäß entsorgt werden muss. Hier ist die Unterstützung eines externen Dienstleisters, der auf Aktenvernichtung spezialisiert ist, eine Überlegung. Der Datenschutzbeauftragte kann in einem solchen Fall sicherstellen, dass auch hier alle vorgeschriebenen Prozesse eingehalten werden.
Wann dürfen Dokumente vernichtet werden?
Verschiedene Gesetze regeln die Aufbewahrungsfristen für Dokumente. Unterlagen zur Buchhaltung müssen beispielsweise 10 Jahre aufbewahrt werden, Lohnunterlagen, geschäftliche Korrespondenz, steuerlich irrelevanten Unterlagen etc. dürfen bereits nach sechs Jahren vernichtet werden.
Die Frist beginnt dabei nicht mit dem Datum der Erstellung des Dokuments – sondern mit dessen Kalenderjahr. Die Buchhaltungsdokumente für den September 2010 dürfen also bereits am 1. Januar 2020 vernichtet werden. Bei Unterlagen für die Lohnzahlungen von Mitarbeitern muss wieder bedacht werden, dass es sich hierbei um personenbezogene Daten handelt, die nach Sicherheitsstufe 2 vernichtet werden müssen.
Unterlagen, die zu noch nicht abgeschlossenen Verfahren gehören, dürfen unabhängig von ihrem Alter nicht vernichtet werden.
