DSGVO: Akten datenschutzkonform vernichten

von | Jul 17, 2018 | Unkategorisiert

 

DSGVO: Akten datenschutzkonform vernichten

So läuft eine datenschutzgerechte Aktenvernichtung ab

 

Laut DSGVO sind Unternehmen verpflichtet, personenbezogene Daten zu schützen und sie auf Wunsch der betroffenen Person zu löschen (Recht auf Vergessenwerden). Dabei muss durch geeignete technische Maßnahmen und einen nachvollziehbaren Ablauf sichergestellt werden, dass:

  • Daten restlos vernichtet werden
  • kein unberechtigter Zugriff stattfindet
  • die Datenvernichtung dokumentiert wird

 

Je nach Speichermedium (Papier, DVD, Festplatte, USB-Stick) wendet man ein mehrmaliges Überschreiben der Datenträger oder die physische Zerstörung (Shreddern) an.

 

Wenn ein externer Dienstleister die Aktenentsorgung übernimmt

 

In der Regel folgt die Aktenvernichtung diesem Ablauf:

  • Der Zuständige (meist der Datenschutzbeauftragte) nimmt Kontakt mit dem Aktenvernichter auf.
  • Auftraggeber und Dienstleister klären den Umfang und die Art der Datenvernichtung. Dabei sind gesetzliche Vorgaben wie zum Beispiel die Aufbewahrungsfristen zu beachten.
  • Der Dienstleister bereitet den Transport und die Aktenvernichtung passend zur geforderten Schutzklasse und Sicherheitsstufe vor. Bei geeigneter Ausstattung kann auch der Auftraggeber selbst den Transport zur Entsorgungsstelle übernehmen.
  • Dienstleister und Auftraggeber schließen einen Auftragsdatenverarbeitungsvertrag ab, der die Details der Vernichtung und die Verantwortlichkeiten regelt.
  • Die Akten werden mit einer minimalen Anzahl von Beteiligten abgeholt oder direkt vor Ort vernichtet. Auf Wunsch kann der Auftraggeber den Vorgang kontrollieren.
  • Die Aktenentsorgung wird dokumentiert.

Die Datenschutz-Grundverordnung der EU legt genau fest, wer einen Datenschutzbeauftragten berufen muss. Generell sind das alle Unternehmen, die schon bisher einen gebraucht haben, und solche, deren Geschäftsmodell auf den Daten basiert. Aber auch alle anderen sollten für die Aktenvernichtung und andere Fälle einen geschulten Ansprechpartner haben.

 

Kontakt zu einem Aktenentsorger aufnehmen

 

Nach Ablauf der gesetzlichen Aufbewahrungsfristen beauftragen viele Unternehmen wie Anwaltskanzleien oder Krankenhäuser routinemäßig Dienstleister für die Aktenvernichtung. Besonders bei einer unregelmäßigen Beauftragung ist es wichtig, eine verlässliche Zugangskontrolle einzurichten und den Kreis der beteiligten Personen möglichst klein zu halten. Ein Unternehmen, das sich mit Aktenvernichtung beschäftigt, sollte zunächst darüber informieren, wie die Daten bis zur Übergabe optimal geschützt werden können. In der Regel ist eine Abholung schon nach wenigen Tagen möglich. Damit kann dem Diebstahl personenbezogener Daten vorgebeugt werden, der mit einer Strafe bis zu 4 % des weltweiten Jahresumsatzes geahndet werden kann.

 

Aktenvernichtung DSGVO-konform vereinbaren

 

Bei der professionellen Aktenvernichtung unterscheidet man nach der DIN-Norm 66399 zwischen 3 Schutzklassen, 7 Sicherheitsstufen und neuerdings auch 6 Materialklassifizierungen. Im Datenverarbeitungsvertrag sollte neben der Art der Daten (Medizin, Kommunikation, Finanzen …) auch der Betroffenenkreis (Personal, Kunden, Partner …) dargestellt werden. Damit lässt sich genau bestimmen, wie sensibel die Daten sind, wie mit dem jeweiligen Datenträger umgegangen werden muss und wie die Aktenvernichtung ablaufen sollte. Ein Beispiel: Alte Mikrofilme (Mikrofiche) mit Patientendaten aus Krankenhäusern müssen sehr gründlich geschreddert werden, um sicherzustellen, dass keine personenbezogenen Informationen mehr ausgelesen werden.

 

Aktenvernichtung: Bereitstellung und Transport

 

Je nach Anforderungen und Kundenwünschen kann die Aktenvernichtung unterschiedlich geregelt werden:

  • Das beauftragte Unternehmen vernichtet die Akten mit einem Spezialfahrzeug vor Ort.
  • Das beauftragte Unternehmen übernimmt den Transport zur Aktenvernichtungsstelle.

Generell sollten dabei nur die Personen beteiligt sein, die unbedingt notwendig sind. Die Details der Aktenvernichtung können individuell geregelt werden. Es ist zum Beispiel möglich, dass die Transportboxen der Akten und deren Schlüssel separat befördert werden, um ungewollten Zugriff auszuschließen.

 

Spezialisierte Shredder-LKW für die Vernichtung vor Ort bieten dabei eine Reihe von Vorteilen:

  • Fassungsvermögen von über 3.000 kg
  • Verarbeitungsgeschwindigkeit ca. 1.000 bis 1.300 kg in der Stunde
  • Vernichtung von kompletten Aktenordnern inklusive Mechanik
  • das Transportrisiko und die Zugriffmöglichkeit wird gänzlich ausgeschlossen
  • lückenlose Kontrolle durch den Auftraggeber möglich
  • Kontrolle der technischen und organisatorischen Maßnahmen
  • 100 % EU-DSGVO konform
  • flexibler örtlicher und zeitlicher Einsatz

 

Auftragsdatenvereinbarung und Verantwortlichkeit

 

Aktenvernichtung ist ein Teil der Datenverarbeitung. Deshalb muss eine Auftragsdatenvereinbarung zwischen den Beteiligten geschlossen werden. Sie regelt den Ablauf, die Dokumentationspflicht und die Verantwortlichkeit der Beteiligten. Generell ist der Auftraggeber verpflichtet, die organisatorischen und technischen Maßnahmen zur Datenvernichtung zu kontrollieren. Um Zeit zu sparen, nutzen deshalb einige Unternehmen eine mobile Aktenvernichtung, bei der die Informationen direkt vor Ort durch Schreddern zerstört werden.

 

Aktenvernichtung dokumentieren und Kunden informieren

 

Auch ohne regelmäßige Überprüfung durch Kontrollbehörden ist es sinnvoll, eine Aktenvernichtung sorgfältig zu dokumentieren. Das stärkt das Kundenvertrauen und erhöht die Transparenz. Außerdem erleichtert die sorgfältige Dokumentation eine regelmäßige Datenvernichtung.

 

Datenschutzgerechte Aktenvernichtung gemäß EU-DSGVO bekommen Sie hier bei Papershred. Fordern Sie gleich ein Angebot an.