1. Einführung
Wenn es um Datenschutz geht, wird meistens bei der Verarbeitung von personenbezogenen Daten an digitale Daten oder Dokumente gedacht. Doch der Datenschutz betrifft auch den Umgang mit Papierdokumenten. Auch die Vernichtung oder das Löschen von Daten unterliegt der DSGVO.
2. Richtlinien für die Verarbeitung
Art. 5 Abs. 1 f DSGVO verdeutlicht, was bei der Verarbeitung von personenbezogenen Daten zu beachten ist. Demnach müssen solche Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (“Integrität und Vertraulichkeit”). Kurz: Daten dürfen nicht versehentlich gelöscht werden.
3. Zählt Aktenvernichtung als Verarbeitung personenbezogenen Daten?
Die Antwort ist ja! Das Vernichten von personenbezogenen Daten fällt definitiv unter die DSGVO.
Der Begriff der Verarbeitung in Art. 4 Abs. 2 DSGVO ist weitgefasst. Er umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
4. Richtlinien für die Entsorgung
Das Bundesdatenschutzgesetz (BDSG) hat genaue Vorgaben zur Vernichtung von Akten mit personenbezogenen Daten. In der “DIN 66399” sind die Vorgaben formuliert. Es sind sieben Sicherheitsstufen nach denen die Sensibilität der zu vernichtenden Akten oder Dokumenten eingestuft werden können. Jede Sicherheitsstufe regelt die Mindestgröße der Partikel nach der Vernichtung, die erreicht werden müssen.
- Sicherheitsstufe 1 gilt für allgemeines Schriftgut
- Sicherheitsstufe 2 gilt für internes, nicht besonders vertrauliches Schriftgut
- Sicherheitsstufe 3 gilt für vertrauliches Schriftgut
- Sicherheitsstufe 4 gilt für geheimzuhaltendes Schriftgut
- Sicherheitsstufe 5 gilt für maximale Sicherheitsanforderungen
- Sicherheitsstufe 6 und 7 gilt für geheimdienstliche Sicherheitsanforderungen
5. Datenschutzkonforme Aktenvernichtung durch Dritte
Sollten Sie die Aktenvernichtung von einem Dienstleister übernehmen lassen, dann müssen Sie einen Auftragsverarbeitungsvertrag vor Beginn der Verarbeitung schließen. Dabei müssen gemäß Art. 28 Abs. 3 DSGVO unter anderem der Gegenstand, die Art, der Zweck und die Dauer der Verarbeitung bzw. Vernichtung festgelegt werden.
Wenn Sie diesbezüglich weitere Informationen erfahren wollen, kontaktieren Sie uns einfach!