datenlöschung löschen schreddern vernichten 17 dsgvo

DIN 66399 gemäße Aktenvernichtung

/von

Die Vernichtung von Daten(trägern) war schon häufiger Thema in meinen Artikeln. Erst im Oktober hatte ich zum Thema Datenträgervernichtung nach DIN 66399 berichtet. Hieraus resultierten zahlreiche Anfragen meiner Kunden, die häufig in einer Überprüfung der aktuell getroffenen Maßnahmen inklusive anschließender Justierung mündeten.

Es hat sich nämlich gezeigt, dass die erwähnte DIN ein wirklich guter Leitfaden für die Datenträgervernichtung ist und nun auch endlich eine gewisse Überprüfbarkeit der getroffenen Maßnahmen ermöglicht. Mittlerweile existieren auch schon erste Leitfäden für die praxisgerechte Umsetzung. Einer ist z. B. bei meinem Verband, der GDD erhältlich.

Vernichtung von Papier = Schreddern

In vielen Unternehmen werden Papierakten in verschlossenen Containern gesammelt und dann einem Spezialdienstleister zur Vernichtung übergeben. Abgesehen davon, dass hier ein Auftragsdatenverarbeitungs-Verhältnis zustande kommt, welches ein entsprechendes Vertragswerk benötigt, muss der Auftraggeber sich natürlich auch in diesem Fall damit beschäftigen, dass die Vernichtung durch den Dienstleister datenschutzkonform ist.

Mit Datenschutzkonform meine ich in diesem speziellen Fall neben den üblichen Regelungen und Sicherheitsvorkehrungen (technische und organisatorische Maßnahmen nach § 9 BDSG), dass sichergestellt sein muss, dass der “Vernichtungsgrad” dem Schutzbedarf der zu vernichtenden Daten angemessen ist. Schließlich haben z. B. interne Telefonlisten einen deutlich geringeren Schutzbedarf als z. B. eine Patientenakte, in der Gesundheitsdaten enthalten sind.

Size matters

Dem entsprechend ist der Grad der Vernichtung (also letztlich die Partikelgröße, die beim Schreddern herauskommt) dem Schutzbedarf der zu vernichtenden Daten anzupassen. Die DIN 66399 definiert insgesamt drei Schutzklassen. Alle zu verarbeitenden (in diesem Fall zu löschenden) Daten sind in diese drei Schutzklassen einzuordnen. Für jede Schutzklasse sind die angemessenen Sicherheitsstufen definiert und nachschlagbar. Die Sicherheitsstufen sind abhängig vom Datenträger. Für papierhafte Patientenakten wird mind. die Sicherheitsstufe P-4 (maximale durchschnittliche Partikelgröße 160qmm) vorgeschrieben, P-5 (max. durchschn. Partikelgröße 30qmm) wird empfohlen. Eine höhere Sicherheitsstufe ist natürlich zulässig, allerdings gehen hier auch die Kosten für einen entsprechenden Schredder, bzw. für die Dienstleistung in die Höhe.

Schredder ist nicht gleich Schredder

Es zeigt sich, dass viele gerade kleinere Unternehmen, die gerne datenschutzaffin arbeiten möchte, sich hier einer trügerischen Sicherheit hingeben. Die Tatsache, dass geschreddert werden muss, ist dort bekannt. Was häufig nicht im Bewusstsein der Unternehmer ist, ist die Tatsache, dass ein beliebiger Schredder aus dem Baumarkt die datenschutzrechtlichen Anforderungen häufig nicht erfüllt. So wiegen sich viele Unternehmer in trügerischer Sicherheit. Für den Fall einer Überprüfung durch die Aufsichtsbehörden oder auch durch einen Auftraggeber im Rahmen einer Auftragsdatenverarbeitung lauern hier unangenehme Überraschungen.

Nutzen Sie die Schutzbedarfsanalyse!

Ich empfehle meinen Kunden immer, nach einer Schutzbedarfsanalyse, die vom Datenschutzbeauftragten ohnehin gemacht werden muss, einmalig alle Schredder im Unternehmen bezüglich der Angemessenheit für den jeweiligen Schutzbedarf zu überprüfen. Danach könnnen unzureichende Schredder ersetzt werden und es kann eine Richtlinie für den Einsatz von Schreddern in den einzlenen Abteilungen erlassen werden.

Wenn Sie Unterstützung oder Informationen zum Thema Datenvernichtung benötigen, sprechen Sie mich gerne an.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungSchulungen zum Datenschutz – eine Unternehmerpflicht
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukJetzt wird’s ernst – oder doch erst später?
gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersEinwilligung zur Drittlandübermittlung nur ausnahmsweise?
überprüfung tom ransomware trojanerÜberprüfung, Bewertung und Evaluierung der TOM – es wird ernst
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigertDie Zwei-Faktor-Authentifizierung sorgt für mehr sicherheit
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungAuftragsdatenverarbeitung im Gesundheitswesen