Bei der Vernichtung von elektronischen Datenträgern muss viel beachtet werden, wenn die DSGVO eingehalten werden soll. Wir haben die wichtigsten Vorgaben zusammengefasst. Achten Sie bei der Beauftragung eines Unternehmens auf eine entsprechende Zertifizierung. Lassen Sie sich ausführlich Beraten und gehen Sie bei der Entsorgung kein unnötiges Risiko ein.
Datenschutz bei der Datenträgervernichtung
Das Löschen von geheimen und personenbezogenen Daten und das Vernichten mechanisch und elektronisch lesbarer Datenträger ist eine Form der Bearbeitung im Sinne der geltenden Datenschutzgrundverordnung und muss nach definierten Vorschriften erfolgen. Hierbei kann die DIN 66399 mit der Beschreibung zur „Büro- und Datentechnik-Vernichtung von Datenträgern“ aus dem Jahre 2012 für die Wahl der Sicherheitsstufe zur jeweils geltenden Schutzklasse zum Einsatz kommen. Eine falsche Entsorgung der Datenträger gehört zu den größten Problemen beim geltenden Datenschutz. Hierbei gibt es allerdings ausführliche Vorgaben, wie es zu verhindern ist, dass der Papierkorb des Rechners oder im Büro zu einem Datenleck wird. Die gültige Norm DIN 66399 hat hierzu die vorherige DIN 32757 abgelöst.
Neben der Benutzung der richtigen Technik für die Entsorgung der Datenträger sollte auch die Organisation der Entsorgung nicht fehlen. Oft sind beispielsweise geeignete Papier-Schredder in den einzelnen Unternehmen verfügbar, werden jedoch nicht genutzt. Die betreffenden Unternehmen sollten sich daher den kompletten Prozess ihrer Entsorgung von Datenträgern ansehen.
Die Einteilung in Schutzklassen bei der Datenträgervernichtung
Sind die im Unternehmen genutzten Typen der Datenträger bekannt und kann zudem garantiert werden, dass die Bediensteten wissen, welche Datenträger zugelassen sind, dann kann als nächster Schritt die Klassifizierung der Datenträger und Daten erfolgen.
Ob ein definierter Datenträger einen hohen oder geringen Schutzbedarf besitzt, hängt stets von der Art der hierauf abgespeicherten Daten ab und nicht von der Art und Klasse des Datenträgers. Die DIN 66399 unterscheidet hierbei drei Schutzklassen.
- Die Klasse 1 sind weniger sensible Daten. Hierzu gehört zum Beispiel ein eingegangener Brief oder ein Werbebrief.
- Die Klasse 2 sind personenbezogene Daten, wozu auch Kundenadressdaten gehören.
- Die Schutzklasse 3 beinhaltet Daten mit einem besonders hohen Schutzbedarf. Hierzu gehören zum Beispiel Patientenakten in Krankenhäusern.
Neben diesen Schutzklassen erklärt die DIN 66399 sieben weitere Sicherheitsstufen. Hierbei reicht die Sicherheitsstufe 1 für das allgemeingültige Schriftgut ohne einen gesonderten Schutzbedarf bei der Datenträgervernichtung. Die höchste Sicherheitsstufe 7 gilt hingegen zum Beispiel für die Vernichtung von Datenträgern im militärischen Bereich.
Diese sieben Sicherheitsstufen sind mit der Qualität der Entsorgung der Datenträger verbunden und auch mit der Größe der jeweiligen Partikel, welche bei der Entsorgung des Datenträgers auftauchen. In der Sicherheitsstufe 1 sind die zulässigen Partikel bedeutend größer als in der Sicherheitsstufe 4, welche für Gesundheitsdaten ausgewählt wird. Zudem macht die Norm DIN 66399-2 Vorgaben, welche bei der Wahl der Methode zur Datenträgervernichtung und der Werkzeuge für die Entsorgung der Datenträger zu beachten sind. Die Partikelgröße, ab welcher die Daten nicht mehr lesbar sein dürfen, hängt vor allem von der Art des jeweiligen Datenträgers ab und unterscheidet sich daher zum Beispiel bei CDs und Papier.
Die Pflichten der datenvernichtenden Unternehmen
Es gilt generell, dass die Dokumentationspflicht über sämtliche Vernichtungen zu erfüllen ist. Gegebenenfalls ist auch eine Dokumentation für jeden einzelnen Kunden zu erstellen.
Die bei der Verarbeitung der Daten beschäftigten Mitarbeitenden sind auf das Geheimnis über die Daten zu verpflichten. Es sind lediglich Mitarbeiter mit der Verarbeitung zu betrauen, welche sich dazu verpflichtet haben, das Recht über den Datenschutz bei der Datenträgervernichtung einzuhalten. Zudem ist zu gewährleisten, dass andere Mitarbeiter keine Kenntnis über die zu vernichtenden Datenträger erhalten.
Außerdem dürfen keine weiteren Verarbeiter des Auftrags ohne Genehmigung des Verantwortlichen beansprucht werden. Bei einer schriftlichen Genehmigung muss der Leiter über jede Änderung, bei der der Datenträgervernichtung informiert werden. So erhält der Auftraggeber die Chance, dieser Veränderung zu widersprechen. Der Verarbeiter des Auftrags zur Datenträgervernichtung haftet für die Einhaltung sämtlicher Datenschutzpflichten der weiteren Auftragsverarbeiter. Dabei sind vor allem die zusätzlichen Ansprüche an die Sicherstellung des Datenschutzes beim Auftragnehmer nach dem Kapitel V der aktuellen DS-GVO zu beachten. Dies gilt auch bei der weiteren Übermittlung von personenbezogenen Daten durch die annehmende Stelle in einem Drittland. Jene Auftragsverarbeiter, die keine Niederlassungen in der EU haben, müssen einen Vertreter hierzu bestellen.