Worauf Sie achten müssen, damit das Löschen und Vernichten von Daten nicht zum Stolperstein wird
Artikel 4 Ziffer 2 – EU-Datenschutzgrundverordnung:
[…] 2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;[…]
Mehr als eindeutig zeigt dieser Auszug aus der DSGVO uns, dass im Grunde alles, auf und mit dem wir in irgendeiner Form Daten bearbeiten, dieser Verordnung unterliegt und damit zu einem datenschutzrelevanten Objekt wird. Was das für den Alltag in einem Unternehmen, aber auch in Praxen, Vereinen und sogar Schulen – also quasi in jeden Bereich des Lebens – bedeutet und vor allem wie Sie mit der Vernichtung der Daten umgehen müssen, soll das Thema dieses Datenschutz-Blogs sein.
In diesem Blogartikel von Datenschutzberater.NRW wollen wir Ihnen aufzeigen, dass es meist mit Schreddern von Papier und einem einfachen Löschen nicht getan ist. Welche Risiken sind vor allem dann gegeben, wenn Sie mit personenbezogenen Daten arbeiten und wo sind versteckte Tücken zu finden?
Grundlagen: Was vernichtet werden muss
Wie schon gesagt: alle sogenannten personenbezogenen Daten müssen nach den bestimmten Vorgaben der DSGVO gelöscht werden. Grundsätzlich sei gesagt: Alle personenbezogenen Daten, die vernichtet werden, müssen DSGVO-konform vernichtet werden.
In der heutigen Zeit und in Verbindung dem Thema Datenschutz kommt jedem in den Sinn, dass man vor allem gespeicherte Daten auf unseren Rechnern vernichten sollte.
Den Datenschutz betreffen aber nicht nur elektronisch gespeicherte Daten, sondern zum Beispiel eben auch immer noch Daten in Papierform. Auch diese müssen besonders behandelt werden. Ein Zerreißen reicht hier natürlich in keinem Fall. Was früher noch gang und gäbe war, ist heute teilweise aus der Mode gekommen – das Schreddern – und zwar von Papier und von Datenträgern.
Von Schutzklassen und Sicherheitsstufen – die DIN 66399
Egal, ob Sie Datenträger oder Papier vernichten wollen: der TÜV-Süd hat schon 2012 eine DIN-Norm zur Datenträgervernichtung herausgebracht. Sie soll vor allem den diversen neuen Speichermöglichkeiten Rechnung tragen.
Der TÜV-Süd kategorisiert die Daten zuerst in drei verschiedene Schutzklassen, aus denen sich dann wiederrum jeder Anwender die Sicherheitsstufe für den zu vernichtenden Datenträger heraussuchen kann. Anhand eines übersichtlichen Schaubildes kann man die Bezeichnung für die Sicherheitsstufe herausfinden. Durch einen Buchstaben wird definiert, um welche Art von Datenträger es sich handelt (P – Informationsdarstellung in Originalgröße: Papier, Film, Druckformen; E – Informationsdarstellung auf elektronischen Datenträgern: Speicherstick, Chipkarten, Halbleiterfestplatten, mobile Kommunikationsmittel; usw.).
Wenn man nun einen Aktenvernichter im Bürobedarf kaufen möchte, kann man mit dieser Sicherheitsstufe sehr einfach herausfinden, welches Gerät das richtige ist.
Was passiert mit Daten, die ich nicht einfach im Schredder vernichten kann?
Wir alle kennen das, die Hardware, welche wir nutzen, ist in die Jahre gekommen und neue muss her.
Natürlich beschäftigt sich jeder, ob privat, geschäftlich, im Verein oder Verband, erst einmal damit, welches neue Gerät die richtige Leistung mitbringt und welche Software besonders sicher ist. Auch beim Einrichten des Geräts achten wir auf Datensicherheit.
Doch wie sieht es da eigentlich bei der Vernichtung der Daten auf dem alten Gerät aus? Was schreibt die Datenschutzgrundverordnung (DSGVO) bei der Datenvernichtung vor?
Ist es bei Datenträgern jeglicher Art und eben auch bei Papier ziemlich einfach, die Daten zu vernichten, bei der Hardware wie PC, Notebook und Co. ist es da nicht immer so leicht.
Viele werden jetzt dem Impuls folgen und sagen: Daten löschen. Das ist natürlich im Grundsatz nicht falsch, ist aber leider nicht ausreichend.
Was viele Nutzer nicht wissen – auch in Druckern und Smartphones befinden sich häufig Festplatten, auf denen Daten gespeichert werden.
Diese Festplatte muss in allen Fällen gelöscht werden – inklusive Protokoll.
Wichtig hierbei ist ebenso, dass man nicht nur die Daten löscht, sondern die Festplatte mehrfach überschreibt, da bei einem Formatieren der Festplatte die Daten nicht vernichtet werden.
Datenschutzberater kann bei korrektem Vorgehen helfen
Wenn man bedenkt, welche Tücken sich bei der Vernichtung von Daten auftun können, macht es Sinn einen Fachmann zu Rate zu ziehen. Diese vermeintlich einfache Aufgabe kann dazu führen, dass man schnell an den falschen Abläufen spart und Probleme beim Datenschutz bekommt. Beachtet man die in der Datenschutzgrundverordnung festgeschrieben Dokumentationspflicht, die auch bei der Datenvernichtung gilt, wird es direkt noch unübersichtlicher.
Ein externer Datenschutzbeauftragter oder ein Datenschutzberater können Ihnen dabei helfen ein sicheres Vorgehen bei der Vernichtung personenbezogener Daten zu entwickeln.
Kontaktieren Sie Datenschutzberater.NRW, wir beraten Sie gerne und erstellen Ihnen ein individuelles und umsetzbares Angebot.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.