datenlöschung löschen schreddern vernichten 17 dsgvo

DIN 66399 gemäße Aktenvernichtung

Die Vernichtung von Daten(trägern) war schon häufiger Thema in meinen Artikeln. Erst im Oktober hatte ich zum Thema Datenträgervernichtung nach DIN 66399 berichtet. Hieraus resultierten zahlreiche Anfragen meiner Kunden, die häufig in einer Überprüfung der aktuell getroffenen Maßnahmen inklusive anschließender Justierung mündeten.

Es hat sich nämlich gezeigt, dass die erwähnte DIN ein wirklich guter Leitfaden für die Datenträgervernichtung ist und nun auch endlich eine gewisse Überprüfbarkeit der getroffenen Maßnahmen ermöglicht. Mittlerweile existieren auch schon erste Leitfäden für die praxisgerechte Umsetzung. Einer ist z. B. bei meinem Verband, der GDD erhältlich.

Vernichtung von Papier = Schreddern

In vielen Unternehmen werden Papierakten in verschlossenen Containern gesammelt und dann einem Spezialdienstleister zur Vernichtung übergeben. Abgesehen davon, dass hier ein Auftragsdatenverarbeitungs-Verhältnis zustande kommt, welches ein entsprechendes Vertragswerk benötigt, muss der Auftraggeber sich natürlich auch in diesem Fall damit beschäftigen, dass die Vernichtung durch den Dienstleister datenschutzkonform ist.

Mit Datenschutzkonform meine ich in diesem speziellen Fall neben den üblichen Regelungen und Sicherheitsvorkehrungen (technische und organisatorische Maßnahmen nach § 9 BDSG), dass sichergestellt sein muss, dass der „Vernichtungsgrad“ dem Schutzbedarf der zu vernichtenden Daten angemessen ist. Schließlich haben z. B. interne Telefonlisten einen deutlich geringeren Schutzbedarf als z. B. eine Patientenakte, in der Gesundheitsdaten enthalten sind.

Size matters

Dem entsprechend ist der Grad der Vernichtung (also letztlich die Partikelgröße, die beim Schreddern herauskommt) dem Schutzbedarf der zu vernichtenden Daten anzupassen. Die DIN 66399 definiert insgesamt drei Schutzklassen. Alle zu verarbeitenden (in diesem Fall zu löschenden) Daten sind in diese drei Schutzklassen einzuordnen. Für jede Schutzklasse sind die angemessenen Sicherheitsstufen definiert und nachschlagbar. Die Sicherheitsstufen sind abhängig vom Datenträger. Für papierhafte Patientenakten wird mind. die Sicherheitsstufe P-4 (maximale durchschnittliche Partikelgröße 160qmm) vorgeschrieben, P-5 (max. durchschn. Partikelgröße 30qmm) wird empfohlen. Eine höhere Sicherheitsstufe ist natürlich zulässig, allerdings gehen hier auch die Kosten für einen entsprechenden Schredder, bzw. für die Dienstleistung in die Höhe.

Schredder ist nicht gleich Schredder

Es zeigt sich, dass viele gerade kleinere Unternehmen, die gerne datenschutzaffin arbeiten möchte, sich hier einer trügerischen Sicherheit hingeben. Die Tatsache, dass geschreddert werden muss, ist dort bekannt. Was häufig nicht im Bewusstsein der Unternehmer ist, ist die Tatsache, dass ein beliebiger Schredder aus dem Baumarkt die datenschutzrechtlichen Anforderungen häufig nicht erfüllt. So wiegen sich viele Unternehmer in trügerischer Sicherheit. Für den Fall einer Überprüfung durch die Aufsichtsbehörden oder auch durch einen Auftraggeber im Rahmen einer Auftragsdatenverarbeitung lauern hier unangenehme Überraschungen.

Nutzen Sie die Schutzbedarfsanalyse!

Ich empfehle meinen Kunden immer, nach einer Schutzbedarfsanalyse, die vom Datenschutzbeauftragten ohnehin gemacht werden muss, einmalig alle Schredder im Unternehmen bezüglich der Angemessenheit für den jeweiligen Schutzbedarf zu überprüfen. Danach könnnen unzureichende Schredder ersetzt werden und es kann eine Richtlinie für den Einsatz von Schreddern in den einzlenen Abteilungen erlassen werden.

Wenn Sie Unterstützung oder Informationen zum Thema Datenvernichtung benötigen, sprechen Sie mich gerne an.


Diesen Beitrag teilen