Welche Datenschutzbestimmungen sind bei Aktenvernichtung zu beachten?
DSGVO Art 28, 32
Vernichtung von Datenträgern und Akten fallen unter DSGVO Bestimmungen - es bestehen jedoch keine spezifischen Vorgaben - Richtlinie können die Sicherheitsstufen nach DIN 66399 sein - Empfehlungen der ARGE DATEN - Datenträger und Akten müssen angemessen entsorgt werden - Geldstrafe und Schadenersatzklage drohen
Anwendbarkeit der DSGVO Bestimmungen
Das DSGVO enthält neben persönlichkeitsrechtlichen Regelungen ("Schutz der Privatsphäre") auch sicherheitstechnische Hinweise. Diese konzentrieren sich auf Art 32 DSGVO.
Dies bedeutet, dass alle Datenverarbeitungsvorgänge, bei denen persönliche Daten verwendet werden, gewissen Datensicherheitsmindeststandards unterworfen sind. Dies gilt sowohl für die Erfassung von Daten, die Übertragung von Daten, die Speicherung und Archivierung, aber auch die Behandlung von Datenoutput (Papierbelege) sowie von veralteten und zu entsorgenden Datenträgern.
In allen Fällen müssen die Sicherheitsmaßnahmen dem Stand der Technik entsprechen, wirtschaftlich vertretbar sein und ein angemessenes Schutzniveau gewährleisten.
Datenträger und Akten müssen angemessen entsorgt werden
Gemäß DSGVO sind alle personenbezogenen Daten, die in einem Unternehmen oder einer Einrichtung verarbeitet werden, nach Ablauf der Behalte- und Löschfristen datenschutzkonform vernichtet werden. Das Gesetz trifft jedoch keine Aussage, wie die Vorgaben bei der Datenträger- und Aktenentsorgung zu interpretieren sind. Grundsätzlich ist jedes Verfahren, das die nachhaltige Zerstörung (Schredderung) der Datenträger vorsieht, zur Entsorgung geeignet. Unterschiede ergeben sich daraus, wer die Zerstörung tatsächlich vornimmt und wo sie stattfindet.
Im Zusammenhang mit dem Schreddern (Vernichten) von Papierakten sei auf die Sicherheitsstufen nach DIN 66399 verwiesen. Dabei gilt die Sicherheitsstufe 3 für "normal" vertrauliche Unterlagen als ausreichend (dies betrifft wohl die Mehrzahl personenbezogener Daten). Fallweise, etwa bei geheimen Unterlagen, bei Passwörtern oder ähnlichem ist die Sicherheitsstufe 4 angemessen (siehe auch http://de.wikipedia.org/wiki/Aktenvernichter).
Empfehlungen der ARGE DATEN
Theoretisch ist die Übergabe von zur Vernichtung vorgesehenen Datenträgern an einen zugelassenen Entsorgerbetrieb und dessen schriftliche Zusage, für eine gemäß DSGVO sichere Entsorgung zu sorgen, ausreichend.
Aus Sicht der ARGE DATEN ist das nicht ausreichend und unbefriedigend. Grundsätzlich sollte die Vernichtung möglichst quellennahe erfolgen. Das heißt, wenn möglich sollte eine Aktenvernichtung schon am Arbeitsplatz vorgenommen werden. Ist das, etwa auf Grund der hohen Zahl der Arbeitsplätze oder der anfallenden Datenmengen nicht möglich, ist auch eine Sammlung und Vernichtung an einer zentralen Stelle des Verantwortlichen sinnvoll.
Abzulehnen wäre jedoch das Aufstellen von Sammelcontainern, die sich in frei zugänglichen Bereichen befinden und damit auch für Besucher und Betriebsfremde erreichbar sind.
Wird die Aktenvernichtung nicht selbst durchgeführt, sondern durch einen Entsorger, sollte ein Entsorger bevorzugt werden, der die Vernichtung vor Ort durchführen kann und nur mehr das geschredderte Material abtransportiert. In diesem Fall kann der Verantwortliche die ordnungsgemäße Entsorgung leicht überwachen. Dies trifft in besonderem Ausmaß auf Datenträger, wie Festplatten oder Datenbänder zu. In der Vergangenheit ist es immer wieder vorgekommen, dass vermeintlich entsorgte und unbrauchbare Festplatten auf Müllhalden oder auf osteuropäischen Märkten mehr oder minder betriebsbereit aufgetaucht sind. Vielen Verantwortlichen ist nicht bewusst, dass "defekte" Festplatten durch Spezialisten wieder "reanimiert" werden können.
Aktenvernichtung ist eine Auftragsverarbeitung gemäß DSGVO
Völlig abzulehnen ist es, wenn Entsorger keine eigenen Entsorgungsanlagen haben, sondern nur Vermittler sind oder Subauftragnehmer heranziehen. In diesen Fällen können besonders geschützte Informationen, etwa Krankengeschichten oder Betriebsgeheimnisse, durch eine unüberschaubare Zahl von Händen gehen, die Geheimhaltung ist nicht mehr gesichert.
Hellhörig sollte ein Verantwortlicher auch werden, wenn er keine ausreichenden Einsichts- und Kontrollrechte in den Entsorgungsvorgang hat. Datenentsorgung stellt gemäß Art 28 DSGVO eine Auftragsverarbeitung dar, bei der der Verantwortliche ausreichende Kontrollrechte haben muss. Im Vertrag muss der Auftrag der Verarbeitung verständlich bezeichnet werden. Umfang, Art und Zweck sind ebenso zu regeln wie die technischen und organisatorischen Maßnahmen.
Geldstrafe und Schadenersatzklage drohen
Die Verletzung der Sicherheit der Verarbeitung und der Nicht-Abschluss einer Vereinbarung zur Auftragsverarbeitung wird von der Datenschutzbehörde mit bis zu 10 Mio. Euro Geldstrafe oder bei Unternehmen von bis zu 2 % des letzten weltweiten Jahresumsatzes bedroht (83 Abs 4 DSGVO). Ein Betroffener kann auch Schadenersatzklage für die materiellen und immateriellen Schäden geltend machen. Die Zivilgerichte sind zuständig für Schadenersatzklagen (82 DSGVO).
mehr --> Entsorgung alter Personalunterlagen
mehr --> Welche persönlichen Daten muss ich bei einer Bewerbung angeben?
mehr --> Besteht Löschungspflicht bei erfolglosen Bewerbungen?
mehr --> Wie dürfen Bewerbungsunterlagen verwendet werden?
mehr --> Wann müssen Daten berichtigt oder gelöscht werden, Empfänger v...
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
|
