Auch bei der Vernichtung von Akten aus Papier können Unternehmen mit dem Datenschutz in Konflikt kommen.
Bei Datenschutz denken viele Unternehmen nur bei der Verarbeitung von personenbezogenen Daten über EDV-Anlagen. Doch ein Verstoß gegen den Datenschutz bzw. die DSGVO kommt auch bei der nicht ordnungsgemäßen Versorgung von herkömmlichen Ordern aus Papier in Betracht.
Vernichtung personenbezogener Daten als Verarbeitung nach DSGVO?
Dies ergibt sich daraus, dass der Begriff der Verarbeitung in Art. 4 Ziffer 2 DSGVO ziemlich weitgefasst wird. Er umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Hieraus wird deutlich: Es geht nicht nur um das Erfassen beziehungsweise Speichern von personenbezogenen Daten, sondern auch um das Vernichten.
Was bei der Aktenvernichtung zu beachten ist
Was bei der Verarbeitung von personenbezogenen Daten zu beachten ist, wird in Art. 5 Abs. 1 f DSGVO deutlich. Hiernach müssen sie in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
Was unter geeigneten technischen und organisatorischen Maßnahmen genau zu verstehen ist, wird jedoch weder in der DSGVO, noch in den Erwägungsgründen zur DSGVO näher ausgeführt.
Maßgeblich für Entsorgung: DIN-Norm 66399
Jedoch enthält die DIN-Norm 66399 für die Aktenvernichtung bzw. Entsorgung genauere Vorgaben. Dabei handelt es sich sieben Sicherheitsstufen. Aus dieser ergibt sich, inwieweit nach der Entsorgung eine Reproduktion ausgeschlossen werden muss.
Beispielsweise darf bei allgemeinen Daten eine Reproduktion mit einfachem Aufwand möglich sein. Bei sensiblen Daten muss sie mit außergewöhnlichem Aufwand verbunden sein. Bei Top Secret Hochsicherheitsdaten muss schließlich eine Reproduktion ausgeschlossen sein. Welche Sicherheitsstufe einschlägig ist, richtet sich nach der Schutzbedürftigkeit der jeweiligen Daten, die in die Stufen 1 bis 3 unterteilt ist. Wichtig ist, dass bei personenbezogenen Daten auf jedenfalls nicht die Sicherheitsstufen 1 bis 2 ausreichen. Es muss zumindest die Sicherheitsstufe 3 gewahrt werden.
Es genügt daher auf keinen Fall, wenn die Reproduktion mit keinem oder mit besonderem Aufwand möglich ist. Unter Umständen reicht es, wenn die Reproduktion mit einem besonders schweren Aufwand verbunden ist. Gute Beispiele sind etwa Daten von Bewerbern. Das genügt nicht bei noch schützenswerten Daten wie Daten von Mandanten und Patienten. Hier muss der Aufwand zur Reproduktion von mindestens außergewöhnlich groß sein.
Das Problem besteht darin, dass die meisten Aktenvernichter bereits nicht den Anforderungen der Sicherheitsstufe 3 genügen. Es reicht also nicht, wenn sie zur Entsorgung von Akten mit personenbezogenen Daten verwendet werden.
Wie die Aufschlüsselung genau aussieht, können Sie der folgenden Auflistung vom TÜV-Süd entnehmen:
Fazit:
Am besten lassen Sie sich vor dem Kauf eines Aktenvernichters darüber beraten, welche Entsorgung ausreichend ist.
Ansonsten besteht die Gefahr, dass es Probleme mit Datenschutz-Aufsichtsbehörden gibt. Eventuell müssen Sie damit rechnen, dass gegen Sie eine Untersagungsverfügung ergeht sowie ein hohes Bußgeld wegen einer Ordnungswidrigkeit nach Art. 83 DSGVO verhängt wird. Dieses kann bis zu 10 000 000 EUR oder bis zu 2 % Ihres gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen, je nachdem, welcher der Beträge höher ist.
Autor: Harald Büring, Ass. jur. (Fachanwalt-Redaktion)
Foto: © DOC RABE Media - Fotolia.com