Zum Inhalt springen

Daten- und Aktenvernichtung im Zeichen der DSGVO – so machen Sie’s richtig!

Die Europäische Datenschutzgrundverordnung (EU-DSGVO) regelt den Umgang mit personenbezogenen Daten, beispielsweise von Mitarbeitern, Lieferanten oder Kunden, von der Erfassung über die Speicherung bis hin zur Auswertung. Aber was geschieht mit Unterlagen und Daten(-sätzen), wenn die Frist für die Aufbewahrung abläuft? Eigentlich ganz einfach: Papierdokumente und Datenträger müssen DSGVO-gerecht vernichtet werden.

Beides ist natürlich mit einem leistungsfähigen Aktenvernichter möglich. Wenn Sie das selbst tun möchten, müssen Sie wissen, wie klein die Akten oder Datenträger „gehäckselt“ werden sollen. Wenn Sie sich damit nicht beschäftigen wollen oder können, beauftragen Sie damit besser einen Dienstleister, der Ihre Papierunterlagen und Archiv-Datenträger zertifiziert entsorgt.

Und so bereiten Sie die externe Vernichtung vor:

  • Protokollieren Sie, wie Ihre Papierakten und Datenträger entsorgt werden.
  • Arbeiten Sie mit einem nach der für die DSGVO gültigen Norm zertifizierten Dienstleister zusammen.
  • Legen Sie, wenn nötig, gemeinsam mit dem Dienstleister Ihrer Wahl den Schutzbedarf und die Zuordnung der erforderlichen Schutzklassen und Sicherheitsstufen fest, um einerseits den Vorschriften der DSGVO zu entsprechen und andererseits den Aufwand für die Vernichtung in den nötigen Grenzen zu halten.

Wenn Sie lieber selbst zur Tat schreiten möchten, sollten Sie darauf achten, dass Ihr Schredder die Sicherheitsstufen nach DIN 66399 einhalten kann, die für die sichere Vernichtung Ihrer Akten oder Datenträger vorgeschrieben ist. In diesen Sicherheitsstufen ist definiert, wie klein diese geschnitten werden müssen, um sie dann vorschriftsmäßig entsorgen zu dürfen. Wenn Sie ein Gerät anschaffen, achten Sie darauf, dass in den dazugehörigen Papieren oder auf dem Gehäuse steht, ob es in dieser Hinsicht der DSGVO bzw. den bei Ihnen nötigen Sicherheitsstufen entspricht.

Gleich vorneweg: Ist ein Aktenzerkleinerer nur für die Sicherheitsstufen 1 und 2 ausgelegt und erzeugt beim Zerkleinern nur Papierstreifen, reicht er für die rechtlich sichere Vernichtung von personenbezogenen Daten – zum Beispiel Personalakten oder Bewerbungsunterlagen – nicht aus. Diese müssen Sie nämlich mindestens in der Sicherheitsstufe 3 zerstören.

Von „banal“ bis „topsecret“ – Sicherheitsstufen nach DIN 66399

  • Sicherheitsstufe 1: allgemeiner Schriftverkehr, höchstens 12 mm Streifenbreite oder Partikelschnitt mit höchstens 1.000 mm² Partikelfläche
  • Sicherheitsstufe 2: interne Schriftstücke, höchstens 6 mm Streifenbreite oder Partikelschnitt mit höchstens 400 mm² Partikelfläche
  • Sicherheitsstufe 3: vertrauliche Unterlagen, Streifenschnitt mit höchstens 2 mm Streifenbreite, Partikelschnitt mit höchstens 4 mm Breite und 60 mm Partikellänge, Kunststoffunterlagen wie Kreditkarten oder Mikrofilm mit höchstens 1 mm² Partikelfläche
  • Sicherheitsstufe 4: geheimzuhaltende Schriftstücke, Partikelschnitt mit höchstens 2 mm Breite und höchstens 15 mm Partikellänge, bei Kunststoffen mit höchstens 0,5 mm² Partikelfläche
  • Sicherheitsstufe 5: maximale Sicherheitsanforderung, Partikelschnitt mit höchstens 0,8 mm Breite und höchstens 15 mm Partikellänge, bei Kunststoffen höchstens 0,2 mm² Partikelfläche

Die Sicherheitsstufe 6 gilt für geheimdienstliche Sicherheitsanforderungen und dürfte im Handwerk nicht erforderlich sein. Hier ist beim Zerschneiden maximal 1 mm Breite und maximal 5 mm Partikellänge erlaubt.

Grundsätzlich können Sie natürlich auch digitale Datenträger (selbst) zerstören, um sich von alten Daten sicher zu trennen. Wenn Sie aufgrund der bei Ihnen anfallenden zu erfassenden und verarbeitenden Datenmengen bzw. der Anzahl der in Ihrem Unternehmen damit beschäftigten Personen einen Datenschutzbeauftragten haben müssen, sollten Sie ihn zurate ziehen. Im Übrigen empfiehlt es sich hier, einen professionellen Dienstleister mit der Datenträgervernichtung zu beauftragen.

Löschen oder schreddern?

Mit der Datenlöschung ist es nicht ganz so einfach: Die EU-DSGVO spezifiziert nicht genau, wie personenbezogene Daten auf digitalen Datenträgern zu löschen sind. Um auf der sicheren Seite zu sein, ergibt es deshalb grundsätzlich Sinn, nach den Anforderungen der DIN 66399 vorzugehen und Festplatten, Flashspeicher, CDs und DVDs sicher von einem zertifizierten Dienstleister vernichten zu lassen.

Auch hier ist es natürlich wichtig, Sicherheitsstufen und Schutzklassen in Abhängigkeit der Bedeutung der enthaltenen Daten festzulegen und die Zerkleinerung entsprechend vorzunehmen und genau zu protokollieren, entweder durch den eigenen Datenschutzbeauftragten oder in Zusammenarbeit mit dem professionellen Dienstleister.

Einen Anforderungskatalog zur Bewertung und Zertifizierung von Datenträgervernichtungsprozessen bei Vernichtungsdienstleistern für die Zertifizierung in Anlehnung an DIN 66399 finden Sie auf der Website des TÜV Süd

Einen ersten (bundesweiten) Überblick über professionelle Dienstleister im Bereich Daten- und Aktenvernichtung bekommen Sie hier » 

Foto: ©Gina Sanders / stock.adobe.com

Schlagwörter des Beitrags: , ,