Die Oberbadische Zeitung, 29.04.2019

Der Datenschutz endet nicht an der Mülltonne

Die europäische Datenschutz-Grundverordnung verbietet grundsätzlich die Verarbeitung personenbezogener Daten (Art. 6 DSGVO), sofern dies nicht ausdrücklich erlaubt ist. Das bedeutet gleichzeitig, dass diese Daten zu löschen sind, sobald sie nicht mehr benötigt werden und kein anderes Gesetz zur Aufbewahrung verpflichtet. 

Es ist allerdings gefährlich, wenn man Unterlagen mit personenbezogenen Daten einfach über den Müll entsorgt. Denn wer Daten verarbeitet, ist auch dafür verantwortlich, dass kein Dritter unbefugten Zugriff darauf erlangen kann. 

Daher sind Datenträger und Dokumente mit schützenswerten Informationen immer zu löschen bzw. zu vernichten, so dass ihr Inhalt nicht rekonstruiert werden kann. Viele Unternehmen haben unterschiedliche Datenträger im Einsatz, wie beispielsweise Festplatten, Laufwerke und mobile Datenträger wie CDs oder USB-Sticks. Diese werden oft auch für Backups genutzt. Neben eigenen Servern und Cloud-Diensten werden auch immer noch Datenbänder und CDs verwendet. Auch hier ist auf eine fachgerechte Entsorgung zu achten, damit die gespeicherten Daten nicht in falsche Hände gelangen. 

Denn die ungewollte und unkontrollierte Weitergabe von Daten mit Personenbezug stellt einen Datenschutzverstoß dar, der ein hohes Bußgeld, Schadensersatzforderungen und einen Image-Schaden nach sich ziehen kann. 

Bei der Entsorgung externer Datenträger ist sicherzustellen, dass diese nicht mehr lesbar sind. Die Daten auf Datenbändern, CDs, USB-Sticks, externen Festplatten usw. müssen vor der Entsorgung zwingend vernichtet werden. Am sichersten ist es, die Datenträger vor ihrer Entsorgung endgültig zu zerstören. 

Vorsicht geboten ist auch bei der Entsorgung oder Rückgabe elektronischer Geräte wie Handys, Drucker, Fax, Kopierer etc. Diese Geräte haben oft eine interne Festplatte, die später noch ausgelesen werden kann. 

Im digitalen Zeitalter verlieren viele Menschen auch die Bedeutung von Papierakten aus dem Blick. Der Datenschutz betrifft aber nicht nur digitalisierte Informationen. Auch die Aktenvernichtung unterliegt der DSGVO. 

So gelten dabei die Sicherheitsstufen nach DIN 66399. Diese regeln, wie klein die Datenträger und Akten zerkleinert werden müssen, bis man sie rechtlich sicher entsorgen darf. 

Wenn Akten personenbezogene Daten enthalten, müssen sie mindestens unter Sicherheitsstufe 3 vernichtet werden. Das betrifft beispielsweise Personaldaten oder Bewerbungsunterlagen. Teilweise trifft auch Sicherheitsstufe 4 zu, z.B. für Patientendaten oder Kanzleiakten. 

Nicht zu vergessen, dass die datenschutzkonforme Entsorgung der Akten und Speichermedien selbstverständlich auch zu dokumentieren ist.

<Bernd Andresen>