Daten- und Aktenvernichtung nach DSGVO

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) bereitet Akteuren im Online-Business nach wie vor Kopfzerbrechen. Aber nicht nur dort, denn Datenschutz spielt auch bei der Datenträger- und Aktenvernichtung eine große Rolle. Das sollten Unternehmen beachten.

Die EU-DSGVO betrifft auch Ihre Entsorgung

Zentrales Ziel der DSGVO ist es, Unternehmen dazu zu zwingen, persönliche Daten von Kunden und Mitarbeitern besser zu schützen. Was auf den ersten Blick kein Thema für Ihr Umweltmanagement zu sein scheint, betrifft Sie aber spätestens bei der Entsorgung von Abfällen, die vertrauliche Daten beinhalten können.

Denn Sie sind als Entsorger nicht nur für den gesamten Entsorgungsweg verantwortlich, sondern auch für die Einhaltung der Datenschutzregeln – auch wenn der Abfall Ihren Standort bereits verlassen hat. Deshalb sollten bei der Daten- und Aktenvernichtung nach DSGVO, 5 grundsätzliche Regeln einhalten.

Die Regeln werden kontrovers diskutiert

Das Problem: Die DSGVO ist wie andere jüngere EU-Verordnungen auch für die Betroffenen kaum zu durchschauen, selbst Juristen sind sich noch nicht einig, welche Empfehlungen sie den Unternehmen guten Gewissens geben können. Doch das Risiko, erst auf belastbare Urteile zu warten, sollten Sie trotzdem nicht eingehen. Prüfen Sie deshalb schnellstmöglich, ob die Entsorgung Ihrer Abfälle mit vertraulichen Daten rechtskonform und sicher organisiert ist.

Mit diesen 5 Sofortmaßnahmen sind Sie für die DSGVO gerüstet

Maßnahme 1: Kontaktieren Sie den Datenschutzbeauftragten Ihres Unternehmens

Ihr Datenschutzbeauftragter kennt die Anforderungen an einen sicheren Umgang mit vertraulichen Daten und ist die erste Ansprechperson im Unternehmen für alle Fragen des Datenschutzes. Doch in den meisten Unternehmen herrscht diesbezüglich momentan Chaos: Ihr Datenschutzbeauftragter muss sich intensiv um viele verschiedene unternehmerische Datenschutzanforderungen kümmern und übersieht dabei vielleicht die Abfallentsorgung von Datenträgern. Beziehen Sie ihn deshalb aktiv in diese Fragestellung ein. Gemeinsam mit Ihrem Datenschutzbeauftragten können Sie vertrauliche Abfälle identifizieren und festlegen, wie der innerbetriebliche Umgang mit dem vertraulichen Abfall geregelt wird.

Die Bestellung eines Datenschutzbeauftragten ist für die meisten Unternehmen Pflicht. Ausnahme: Sind in Ihrem Unternehmen nur maximal neun Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt und werden keine besonderen persönlichen Daten verarbeitet, brauchen Sie keinen Datenschutzbeauftragten. Dann aber muss sich Ihr Geschäftsführer selbst um die Datenschutzanforderungen kümmern.

Maßnahme 2: Erfassen Sie die datenschutzrelevanten Abfälle in einem eigenen Verzeichnis

Gemäß der DSGVO ist Ihr Unternehmen ohnehin verpflichtet, ein Verzeichnis zu führen, aus dem hervorgeht, welche Daten wann, wie und warum im Unternehmen erhoben werden. Ein Beispiel wären Ihre Kundendaten: Name, Adresse, Telefonnummer etc. Nutzen Sie dieses Verzeichnis als Vorlage, um festzustellen, wie die erhobenen Daten in Ihrem Abfall auftauchen können, z. B. Rechnungsduplikate, Datenträger, Bewerbungsschreiben oder auch Adressetiketten auf Retourensendungen.

Ergänzen Sie in Ihrem Verzeichnis für vertrauliche Daten den innerbetrieblichen und den weiteren Entsorgungsweg sowie sämtliche Gefahrenstellen: Wann, an welchen Stellen und in welcher Situation könnten Unbefugte Zugriff auf die persönlichen Daten erlangen?

Maßnahme 3: Legen Sie für vertraulichen Daten die geeigneten Entsorgungs- und Verfahrensprozesse fest

Dieser Schritt ist besonders wichtig, um einen fahrlässigen Umgang mit den vertraulichen Daten zu vermeiden. Jeder einzelne Schritt der Datenabfallsammlung, -lagerung und -entsorgung
muss eindeutig und sicher organisiert und benannt sein. Auch Verantwortlichkeiten und Kontrollmechanismen sollten definiert und festgelegt werden.

Maßnahme 4: Wählen Sie nur vertrauensvolle und verlässliche Entsorgungsunternehmen aus

Von entscheidender Bedeutung bei der Festlegung der Entsorgungsschritte ist auch die Vorauswahl und Beauftragung eines geeigneten Entsorgers. Es liegt in Ihrer Verantwortung als Entsorger, qualifizierte Dienstleister aus dem Bereich der Akten- und Datenträgervernichtung auszuwählen. Bei der Vielzahl der Anbieter durchaus keine leichte Aufgabe, denn die Vergangenheit zeigt, dass sich einige schwarze Schafe im Markt tummeln.

Als ersten guten Anhaltspunkt für die Kontrolle Ihrer Entsorger empfehlen wir deshalb das bvse-Qualitätssiegel für Fachbetriebe aus der Datenträger- und Aktenvernichtung. Führende Unternehmen der Branche, allen voran die Reisswolf Bonn AKTEX GmbH als eines der ältesten und seriösen Anbieter auf dem Markt, haben nach einer Lösung gesucht, die es Ihnen als Kunde ermöglicht, auf einen Blick ein vertrauenswürdiges Unternehmen zu erkennen.

Ergebnis der Bemühungen ist das bvse-Qualitätssiegel Akten- und Datenträgervernichtung des Bundesverbands Sekundärrohstoffe und Entsorgung (bvse). Als Branchensiegel des bvse-Fachverbands Akten- und Datenträgervernichtung, dem sich mehr als hundert Dienstleister deutschlandweit angeschlossen haben, bietet es eine unabhängige und verlässliche Zertifizierung.

Achtung: Trotz externer Beauftragung tragen Sie die Verantwortung für die Daten! Die abfallrechtlichen Bestimmungen zur Entsorgung gelten auch dann, wenn Sie einen zertifizierten Entsorger beauftragen. Sie bleiben bis zur endgültigen Entsorgung verantwortlich für die Einhaltung der gesetzlichen Bestimmungen. Überprüfen Sie deshalb Ihren Entsorger vor der Beauftragung, indem Sie seinen Entsorgungsbetrieb persönlich besuchen und die Entsorgungsprozesse in Augenschein nehmen.

Unsere Empfehlung: Lassen Sie sich vom Entsorger zeigen, wie er die Vertraulichkeit der Datenträger schützt. Das beinhaltet neben der gesicherten Abholung auch die Datenvernichtung. Die beste Wahl ist die Datenvernichtung auf Ihrem Betriebsgelände durch mobile Schredder oder andere Lösungen. So haben Sie den gesamten Prozess der Datenvernichtung vor Augen. Die meisten uns bekannten Entsorgungsunternehmen sind gerne bereit, Sie im Rahmen einer Betriebsführung von der Qualität Ihrer Entsorgungsabläufe zu überzeugen.

Maßnahme 5: Dokumentieren Sie Ihr Datenschutz-Abfallmanagement

Halten Sie die Abfolge und die Ergebnisse dieser Sofortmaßnahmen schriftlich fest. So haben Sie den ersten Schritt zum eigenen Datenschutz-Abfallmanagement getan. Wenn Sie nun künftig regelmäßig (z. B. jährlich) diese Maßnahmen in Bezug auf Aktualität, Funktionsfähigkeit und Verbesserungspotenzial überprüfen und anpassen, sind Sie auf der sicheren Seite.

Ergänzen Sie diese Dokumentation auch z. B. mit folgenden Aspekten: Welche Seminare haben Sie oder Ihr Datenschutzbeauftragter besucht? Welche Schutzmaßnahmen für die Datensicherheit wurden getroffen oder installiert? Welche Verträge wurden mit Dienstleistern geschlossen und wie wurde die Einhaltung überwacht (z. B. Besuche in der Entsorgungsanlage)? Wie wurden relevante Mitarbeiter geschult oder informiert?

Mit einer derart gepflegten Dokumentation sind Unternehmen in der Vergangenheit selbst bei Datenlecks oder Verstößen wie Fehlern eines Entsorgungsdienstleisters ohne Bußgeld davongekommen. Hierfür müssen aber eine lückenlose Dokumentation und die dazugehörigen Unterlagen auf Anfrage umgehend vorgelegt werden können.

Unsere Empfehlung: Warten Sie nicht, bis erste Strafen oder Bußgelder verhängt werden, und handeln Sie so schnell wie möglich. Verstöße gegen den Datenschutz sind nicht nur rechtlich problematisch, sondern können auch hohe Imageschäden verursachen. Dabei muss es nicht unbedingt das bvse-/FVAD-Siegel sein, falls kein zertifizierter Entsorger in Ihrer Nähe zu finden ist. Jeder Entsorger, der nachweisen kann, dass er gemäß DIN 66399 zertifiziert wurde, ist genauso gut für eine datenschutzrechtlich unbedenkliche Entsorgung Ihrer vertraulichen Daten geeignet.

Autoren: Redaktion Safety Xperts