Recht + Steuern -

EU-Datenschutzgrundverordnung seit Mai 2018 DSGVO: So vernichten Sie personenbezogene Unterlagen rechtlich sicher

Seit der neuen EU-Datenschutzgrundverordnung (DSGVO) müssen personenbezogene Unterlagen nach bestimmten Vorgaben vernichtet werden. So können Betriebe die Aktenvernichtung auch selbst erledigen.

Die neue europäische Datenschutzgrundverordnung (DSGVO) sorgt dafür, dass sich Betriebe jeder Branche und jeder Größe auf mögliche Änderungen in der Buchführung einstellen – sei es das Erfassen, Speichern und Nutzen von personenbezogenen Daten von Mitarbeitern oder Kunden. Aber nicht nur das: Wichtig ist auch der Umgang mit Daten, die gelöscht und entsorgt werden müssen. Auch dies muss dokumentiert werden. Unterlagen, die nicht in digitaler Form vorliegen, müssen ganz klassisch per Hand vernichtet werden. Auch die Aktenvernichtung – ob als Akten auf Papier oder gespeichert auf Datenträgern – unterliegt jedoch der DSGVO.

Aktenvernichtung unterliegt der DSGVO

So gelten dabei nach Angaben des TÜV Süd die Sicherheitsstufen nach DIN 66399. Diese regeln, wie klein die Datenträger – insbesondere Akten – zerkleinert werden müssen, bis man sie rechtlich sicher entsorgen darf. Die Sicherheitsstufe regelt also die Mindestgröße der Partikel nach der Vernichtung, die ein Büroschredder bzw. Aktenvernichter erreichen muss. Die DIN 66399 bzw. die Sicherheitsstufen sind auf den elektrischen Aktenvernichtern angeben. Sie unterscheiden sich je nachdem, um was für Daten es sich handelt – von allgemeinen Daten mit der Stufe 1 bis Hochsicherheitsdaten der Stufe 7. Einige Geräte, die man aktuell im Handel bekommt, besitzen bereits einen Hinweis, ob sie der DSGVO entsprechen.

Wenn Akten personenbezogene Daten enthalten, müssen sie mindestens unter Sicherheitsstufe 3 vernichtet werden. Das betrifft beispielsweise Personaldaten oder Bewerbungsunterlagen. Teilweise trifft dann auch Sicherheitsstufe 4 zu – zum Beispiel für Patientendaten oder Kanzleiakten. Viele kleine elektrische Schredder sind nur auf die geringeren Sicherheitsstufen 1 und 2 ausgelegt. Sie erzeugen beim Vernichten nur Streifen und große Partikel und genügen einer rechtlich sicheren Aktenvernichtung nicht aus, wenn personenbezogene Daten betroffen sind.

Sicherheitsstufen der Aktenvernichtung: So klein müssen die Akten geschreddert werden

  • Sicherheitsstufe 1 gilt für allgemeines Schriftgut: bei Streifenschnitt max. 12 mm Streifenbreite und bei Partikelschnitt max. 1000 mm² Partikelfläche
  • Sicherheitsstufe 2 gilt für internes, nicht besonders vertrauliches Schriftgut: bei Streifenschnitt max. 6 mm Streifenbreite und bei Partikelschnitt max. 400 mm² Partikelfläche
  • Sicherheitsstufe 3 gilt für vertrauliches Schriftgut empfohlen: bei Streifenschnitt max. 2 mm Streifenbreite und bei Partikelschnitt max. 4 mm Breite auf max. 60 mm Partikellänge (240 mm² Partikelfläche); bei Kunststoffen gilt jedoch (wie Kreditkarten oder Mikrofilm): max. 1 mm² Partikelfläche
  • Sicherheitsstufe 4 gilt für geheimzuhaltendes Schriftgut: bei Partikelschnitt max. 2 mm Breite auf max. 15 mm Partikellänge (30 mm² Partikelfläche); bei Kunststoffen gilt: max. 0,5 mm² Partikelfläche
  • Sicherheitsstufe 5 gilt für maximale Sicherheitsanforderungen: bei Partikelschnitt max. 0,8 mm Breite auf max. 15 mm Partikellänge (12 mm² Partikelfläche); bei Kunststoffen gilt: max. 0,2 mm² Partikelfläche; auch zerkleinerte feine Asche, Suspension, Lösung und Fasern sind erlaubt
  • Sicherheitsstufe 6 gilt für geheimdienstliche Sicherheitsanforderungen: Cross Cut: max. 1,0 mm Breite auf max. 5,0 mm Partikellänge (5 mm² Partikelfläche) und zerkleinerte feine Asche, Suspension, Lösung und Fasern sind erlaubt

Quelle: aktenvernichter-schredder.de

Grundsätzlich können Unternehmen Datenträger mit personenbezogenen Daten auch selbst vernichten. "Dabei kommt es natürlich auf die Menge der Datenträger an, die zu vernichten ist", sagt Wolf-Rüdiger Heidemann, Datenschutzexperte bei TÜV SÜD. In jedem Fall sollte der Datenschutzbeauftragte hinzugezogen werden, wenn der betreffende Betrieb so groß ist, dass er einen Datenschutzbeauftragten braucht. Sind die Datenmengen zu groß, empfiehlt es sich laut Heidemann, einen professionellen Dienstleister mit der Datenträgervernichtung zu beauftragen.

Da die DSGVO keine konkreten Anforderungen zum Vernichten bzw. Löschen von personenbezogenen Daten auf digitalen oder elektronischen Datenträgern nennt, empfiehlt der Experte auch hierbei, die Anforderungen der DIN66399 heranzuziehen, die neben der Datenträgerart Papier auch alle anderen gängigen Typen von Datenträgern wie Festplatten, Flashspeicher, CDs und DVDs etc. berücksichtigt: "Auch hier sind die Werte für Sicherheitsstufe und Schutzklasse von Bedeutung und durch den Datenschutzbeauftragten unter Berücksichtigung der Art der personenbezogenen Daten festzulegen."

Die lustigsten Tweets zur DSGVO

Prozess der Aktenvernichtung korrekt aufbauen

"Datenschutz ist nach wie vor Chefsache", sagt der Fachmann vom TÜV und rät kleinen Betrieben, die weniger als zehn Mitarbeiter haben und in der Regel keinen Datenschutzbeauftragten bestellen müssen, dass sie sich eine entsprechende Beratung für den Aufbau eines korrekten Aktenvernichtungsprozesses einholen. Zwar gibt es die DIN 66399 bereits seit einigen Jahren, doch wie alle betrieblichen Prozesse, die mit persönlichen Daten zusammenhängen, gelten seit Mai 2018 auch für das Vernichten der Datenträger im Falle eines Verstoßes höhere Bußgelder und voraussichtlich verschärfte Kontrollen. jtw

© deutsche-handwerks-zeitung.de 2018 - Alle Rechte vorbehalten