Viele Unternehmen haben sich seit der Geltung der Datenschutzgrundverordnung (DSGVO) mit der Datenverarbeitung im eigenen Unternehmen beschäftigt. Es wurden im Rahmen von Datenschutzmanagementkonzepten u.a. Einwilligungsprozesse neu geschaffen oder angepasst, neue Datenschutzerklärungen erstellt und das ganze Unternehmen an der DSGVO ausgerichtet.
Was bei den Unternehmen jedoch teilweise in Vergessenheit gerät, ist die datenschutzkonforme Entsorgung von Dokumenten mit personenbezogenen Daten.
Gemäß Art. 4 Nr. 2 DSGVO sind das Löschen und Vernichten von personenbezogenen Daten eigene Verarbeitungsvorgänge.
Löschungskonzept erstellen
Den datenschutzrechtlichen Hintergrund von Datenlöschungen bilden im Regelfall Löschpflichten, die sich insbesondere aus dem Betroffenenrecht auf Löschung personenbezogener Daten nach Art. 17 DSGVO, sowie aus dem Zweckbindungsgrundsatz, Art. 5 Abs. 1 lit. b DS-GVO, ergeben.
Die DSGVO regelt jedoch nicht, wie zu löschende/zu vernichtende personenbezogene Daten auf Papier, CD-ROMs, DVDs, USB-Sticks, externen Festplatten, Laptops, Clouds etc. zu löschen oder zu vernichten sind.
Im Rahmen der Entwicklung eines datenschutzkonformen Konzepts zur Entsorgung von betriebsinternen Dokumenten sind vielfältige Szenarien denkbar. Welche Möglichkeiten der Entsorgung vertraulicher Unterlagen bestehen, welche Sicherheitsstufe bei der Vernichtung der Datenträger angemessen und erforderlich ist, welche Kriterien bei der Auswahl von Geräten, Verfahren und – im Falle einer externen Entsorgung – Entsorgungsunternehmen zu beachten sind, müssen Sie individuell mit Ihrem datenschutzrechtlichen Berater abstimmen und umsetzen.
Wenn unsere Sozietät den Datenschutzbeauftragten für Ihr Unternehmen stellt, werden wir zeitnah die vorstehenden Punkte mit Ihnen im Gesamtzusammenhang erörtern. Ansonsten sprechen Sie uns an. Wir beraten Sie gern.
Was immer zu beachten ist
Folgende Aspekte sind in jedem Unternehmen mit Blick auf die Gewährleistung einer datenschutzkonformen Datenentsorgung zu klären und zu beachten:
- Ermittlung der Dokumente, die personenbezogene Daten enthalten
- Ermittlung der Datenträger, die die o.g. Dokumente enthalten
- Bestimmung der Zuständigkeiten und Prozesse für die Dokumentenaufbewahrung und interne Weitergabe
- Entwicklung eines umfassenden Entsorgungs- bzw. Löschkonzepts, bestenfalls in Kombination mit der Integration in die Unternehmenssoftware
- Festlegung des Schutzbedarfs der einzelnen Dokumente und deren Zuordnung zu den Schutzklassen 1-3 i.S.d. DIN 66399
- Verwaltung und Berücksichtigung der Angaben zur Speicherdauer personenbezogener Daten, darunter genaue Terminierung der Lösch- bzw. Vernichtungszeitpunkte sowie Information der Betroffenen hierüber
- Bestimmung der jeweiligen Lagerbedingungen
- Festlegung der zu ergreifenden Sicherheitsmaßnahmen vor und nach der eigentlichen Vernichtung
- Darstellung der umgesetzten Maßnahmen in den unternehmenseigenen Datenschutzrichtlinien
- Auswahl eines geeigneten Aktenvernichters: insbesondere Cross Cutter
- Regelmäßige Kontrolle sowie Protokollierung der Dokumentenvernichtung
- Umfassende und regelmäßige Sensibilisierung der Beschäftigten, etwa i.R.v. Schulungen und Informationsschreiben
Sollten Sie Rückfragen zur vorstehenden Thematik der Datenvernichtung und Datenlöschung haben, können Sie uns gerne kontaktieren. Gerne erläutern wir Ihnen die vorstehende Thematik persönlich.
GoldbergUllrich Rechtsanwälte 2020
durch
Michael Ullrich, LL.M. (Informationensrecht)
Rechtsanwalt und Fachanwalt für Informationstechnologierecht
