Rechtliche Anforderungen an die Datenträgervernichtung: So erfüllen Unternehmen die DSGVO und BDSG
Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) stehen Unternehmen vor der Aufgabe, personenbezogene Daten korrekt zu vernichten. Dies gilt für Papier- und digitale Datenträger. Die Gesetze fordern eine professionelle Datenverwaltung und Vernichtung als Teil des Risikomanagements. Verstöße können zu hohen Strafen führen, die bis zu 4% des Umsatzes oder 20 Millionen Euro betragen.
Um den Anforderungen gerecht zu werden, müssen Unternehmen den gesamten Lebenszyklus der Daten beachten. Dies beginnt bei der Datenerfassung und endet bei der sicheren Vernichtung. Auch Papierdaten, die oft ohne Schutz im Büro liegen, müssen den digitalen Daten gleichen Schutz genießen.
Die DIN-Norm 66399, veröffentlicht im Oktober 2012, stellt den aktuellen Stand in der Datenträgervernichtung dar. Sie besteht aus drei Teilen und definiert Grundlagen und Anforderungen. Die Norm klassifiziert Daten in drei Schutzklassen und beschreibt sieben Sicherheitsstufen. Unternehmen müssen sicherstellen, dass ihre Schredderanlagen die DIN-Normen erfüllen und die vorgegebenen Grenzwerte für Teilchengrößen einhalten.
Bedeutung des Datenschutzes bei der Entsorgung von Papierdokumenten
Die Vernichtung von Papierdokumenten ist ein zentraler Aspekt im Datenschutz von Firmen. Die EU-Datenschutzgrundverordnung (DSGVO) von 2018 hat die Anforderungen an den Schutz von Daten stark erhöht. Unternehmen müssen sicherstellen, dass bei der Entsorgung von Papierdokumenten keine sensiblen Daten verloren gehen.
DSGVO-konforme Vernichtung personenbezogener Daten auf Papier
Personenbezogene Daten, wie Kundendaten oder Mitarbeiterinformationen, werden oft auf Papier gespeichert. Laut DIN 66399 fallen diese Dokumente unter Schutzklasse 3. Sie erfordern eine besonders gründliche Vernichtung, um eine Rekonstruktion der Daten zu verhindern. Eine unachtsame Entsorgung im Büromüll kann zu empfindlichen Bußgeldern führen.
Passwörter und andere sensible Daten landen oft auf Zetteln im Müll, was das Risiko von Datenschutzverletzungen verdeutlicht.
Schutz sensibler Unternehmensdaten wie Reportings und Bilanzen
Es ist ebenso wichtig, vertrauliche Unternehmensdaten wie Reportings und Bilanzen zu schützen. Diese Daten fallen unter Schutzklasse 2 der DIN 66399 und benötigen eine sichere Vernichtung. Unternehmen müssen ein Konzept entwickeln, um den Löschungsprozess zu standardisieren und nachweisbar zu machen.
| Schutzklasse | Beispiele | Vernichtungsanforderungen |
|---|---|---|
| Stufe 1 | Unternehmensinterne Daten | Zerkleinerung nach DIN 66399-2 |
| Stufe 2 | Vertrauliche Daten (Reportings, Bilanzen) | Zerkleinerung nach DIN 66399-3 |
| Stufe 3 | Personenbezogene Daten | Zerkleinerung nach DIN 66399-4 |
Ein datenschutzkonformer Löschungsprozess umfasst die Identifizierung der Datenverarbeitungsprozesse und die Festlegung der involvierten Systeme. Ein Nachweis über die Löschung ist ebenfalls erforderlich. Unternehmen könnten einen professionellen Dienstleister für die Aktenvernichtung beauftragen, um die Datenschutzrichtlinien einzuhalten.
Sicherheitsstufen und Schutzklassen für die Aktenvernichtung
Die Aktenvernichtung muss den Anforderungen der DSGVO gerecht werden. Die DIN 66399 normiert die Vernichtung von Datenträgern und Akten. Sie reagiert auf gestiegene Datenschutzanforderungen und wachsende Datenmengen. Es gibt drei Schutzklassen, die eine präzise Anpassung der Sicherheitsmaßnahmen ermöglichen.
Stufe 1: Unternehmensinterne Daten wie Produktübersichten
Die Schutzklasse 1 umfasst Daten mit geringem Schutzbedarf. Dazu gehören interne Informationen, Postwurfsendungen und Kataloge. Für die Vernichtung dieser Daten reichen in der Regel die Sicherheitsstufen 1 oder 2 aus.
Stufe 2: Vertrauliche Daten, Personaldaten, Steuerdaten und Bilanzen
Schutzklasse 2 gilt für vertrauliche Daten. Dazu gehören Personendaten, Steuerdaten, Bilanzen und Angebote im Geschäftsverkehr. Bei der Vernichtung dieser sensiblen Unterlagen ist mindestens die Sicherheitsstufe 3 erforderlich.
Stufe 3: Besonders geheime Daten wie Forschungs- oder Gesundheitsdaten
Die höchste Schutzklasse 3 betrifft besonders schützenswerte Informationen. Dazu gehören Militärgeheimnisse, Forschungsdaten und Gesundheitsdaten. Datenschutzverstöße in dieser Kategorie umfassen Gefahren für Leben, Leib und Freiheitsrechte. Unterlagen in Schutzklasse 3 erfordern die Sicherheitsstufen 4, 5, 6 oder 7 bei der Aktenvernichtung.
| Schutzklasse | Schutzbedarf | Beispiele | Sicherheitsstufe |
|---|---|---|---|
| 1 | Gering | Unternehmensinterne Daten, Kataloge | 1-2 |
| 2 | Hoch | Personaldaten, Steuerdaten, Bilanzen | 3 |
| 3 | Sehr hoch | Forschungsdaten, Gesundheitsdaten | 4-7 |
Die DIN 66399 stellt strenge Anforderungen für den Betrieb von Aktenvernichtungsanlagen. Sicherheit und Datenschutz werden so gewährleistet. Unwissenheit bei der DSGVO schützt nicht vor Strafe. Bußgelder drohen bei falscher Auswahl der Sicherheitsstufe. Eine professionelle Beratung zur Einstufung der Daten und zur Wahl des geeigneten Aktenvernichters ist daher ratsam.
Auswahl des richtigen Aktenvernichters nach DIN 66399
Bei der Suche nach einem Aktenvernichter für das Büro ist die DIN 66399 ein zentraler Orientierungspunkt. Diese Norm legt fest, welche Sicherheits- und Zerkleinerungsstufen für die Vernichtung von Datenträgern notwendig sind. Sie hilft dabei, die Anforderungen der DSGVO zu erfüllen.
Orientierung an Zerkleinerungsstufen und Sicherheitsanforderungen
Die DIN 66399 klassifiziert Daten in drei Kategorien: interne Daten, vertrauliche Daten und geheime Daten. Jede Kategorie erfordert spezifische Sicherheitsstufen für den Aktenvernichter.
| Datenkategorie | Empfohlene Sicherheitsstufe |
|---|---|
| Interne Daten | Stufe 1 bis 3 |
| Vertrauliche Daten | Stufe 3 bis 5 |
| Geheime Daten | Stufe 4 oder 5 |
Die Sicherheitsstufen bestimmen die maximal zulässige Partikelgröße nach der Zerkleinerung. Stufe 1 erfordert Streifenbreiten von höchstens 12 mm bei Papier. Stufe 5 verlangt Partikel von maximal 2 mm Breite oder 30 mm² Fläche.
Vermeidung von Aktenvernichtern für den Hausgebrauch im Büro
Aktenvernichter für den Hausgebrauch sind oft nicht ausreichend für Büros. Sie erreichen niedrige Sicherheitsstufen und sind ungeeignet für vertrauliche oder geheime Unterlagen. Unternehmen sollten beim Kauf eines Aktenvernichters auf die Einhaltung der DIN 66399 achten.
„Die Kombination von sehr niedrigen Schutzklassen mit hohen Sicherheitsstufen wird vom DIN-Ausschuss als nicht sinnvoll erachtet.“
Die DIN 66399 besteht aus drei Teilen: Grundlagen und Schutzklassen (Teil 1), Anforderungen an Maschinen (Teil 2) und Prozesskriterien für die Datenträgervernichtung (Teil 3). Sie hat die frühere Norm DIN 32757 im Oktober 2012 abgelöst und wurde inzwischen als internationale Norm ISO 21964 übernommen.
Datenträgervernichtung durch professionelle Dienstleister
Um den strengen Anforderungen der DSGVO gerecht zu werden, ist es für Unternehmen oft sinnvoll, die Vernichtung von Datenträgern an spezialisierte Dienstleister auszulagern. Diese Experten verfügen über das nötige Know-how und die erforderliche technische Ausstattung, um eine sichere und normgerechte Entsorgung zu gewährleisten.
Auftragsverarbeitungsvertrag nach DSGVO
Bevor ein externer Dienstleister mit der Datenträgervernichtung beauftragt wird, muss ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach DSGVO geschlossen werden. Dieser Vertrag regelt die Verantwortlichkeiten und Pflichten beider Parteien hinsichtlich des Datenschutzes und der Informationssicherheit. Wichtige Punkte sind dabei:
- Umfang und Zweck der Datenverarbeitung
- Technische und organisatorische Maßnahmen zum Schutz der Daten
- Kontrollrechte des Auftraggebers
- Löschung oder Rückgabe der Daten nach Beendigung des Auftrags
Verantwortung des Auftraggebers
Trotz der Übergabe der Datenträger an einen externen Dienstleister bleibt der Auftraggeber nach DSGVO verantwortlich für die Einhaltung der Datenschutzbestimmungen. Er muss sicherstellen, dass der beauftragte Dienstleister die erforderlichen Maßnahmen zum Schutz der Daten ergreift und die Vernichtung gemäß den gesetzlichen Vorgaben durchführt.
Anforderungen nach DIN-Normen
Die Vernichtungsprozesse und -maschinen des Dienstleisters müssen den geltenden DIN-Normen entsprechen. Insbesondere die DIN 66399 definiert die Anforderungen an die Vernichtung von Datenträgern:
| Schutzklasse | Schutzbedarf | Beispiele |
|---|---|---|
| 1 | Normal | Interne Informationen |
| 2 | Hoch | Vertrauliche Daten |
| 3 | Sehr hoch | Geheime Daten |
Je nach Schutzklasse und Sicherheitsstufe kommen unterschiedliche Verfahren zum Einsatz, um eine sichere und irreversible Vernichtung zu gewährleisten.
Dokumentation und Bestätigung
Der beauftragte Dienstleister muss die durchgeführte Vernichtung der Datenträger lückenlos dokumentieren und dem Auftraggeber eine entsprechende Bestätigung aushändigen. Diese Dokumentation dient als Nachweis für die ordnungsgemäße Entsorgung und kann bei Bedarf gegenüber Aufsichtsbehörden vorgelegt werden.
Fazit
Die korrekte Vernichtung von Datenträgern ist für Firmen unverzichtbar. Sie sichert den Datenschutz und die Informationssicherheit. Um DSGVO und BDSG zu erfüllen, müssen sensible Daten auf Datenträgern fachgerecht gelöscht werden. Dies verhindert Datenschutzverletzungen und Bußgelder.
Bei der Aktenvernichtung sind Sicherheitsstufen und Schutzklassen wichtig. Unternehmen sollten auf Aktenvernichter setzen, die den DIN-Normen entsprechen. Alternativ können zertifizierte Dienstleister beauftragt werden, vorausgesetzt, sie halten die gesetzlichen Standards ein.
Eine detaillierte Dokumentation der vernichteten Datenträger ist unerlässlich. Sie ermöglicht es, bei Audits oder Untersuchungen die ordnungsgemäße Entsorgung nachzuweisen. Die professionelle Datenträgervernichtung ist ein Schlüsselelement in der IT-Sicherheitsstrategie. Sie schützt die Datenintegrität und stärkt das Vertrauen von Kunden und Partnern.