Sichere Aktenvernichtung - DSGVO
Was ist die Datenschutzgrundverordnung?
Die Europäische Datenschutzgrundverordnung (DSGVO) ist seit 2018 verbindliches Recht in allen Staaten der EU. Sie regelt, wie Unternehmen, Institutionen und öffentliche Einrichtungen mit personenbezogenen Daten umzugehen haben. Sie setzt die Grenzen, ob und wie personenbezogene Daten erhoben, gespeichert und genutzt werden dürfen.
Ohne vorherige Einwilligung ist es gemäß DSGVO nicht gestattet, personenbezogene Daten überhaupt erst zu sammeln. Ist der Grund, aus dem Daten erhoben und aufbewahrt wurden, nicht mehr gegeben, müssen personenbezogene Daten sicher vernichtet werden.
Aus der DSGVO geht ebenfalls die Verpflichtung hervor, gelagerte oder gespeicherte Unterlagen/Dokumente, derart zu vernichten bzw. zu löschen, dass eine Rekonstruktion dem aktuellen Stand der Technik nur mit erheblichem Aufwand möglich oder vollkommen unmöglich ist.
Neben personenbezogenen Daten sind auch sensible unternehmensinterne Daten schützenswert. Deswegen müssen Unternehmen auch solche Daten vor einen Fremdzugriff schützen und angemessen vernichten – wobei sich dies aus Eigeninteresse eigentlich von selbst versteht.
Datensicherheit von Unternehmen und öffentlichen Einrichtungen
Zur Datensicherheit von Unternehmen und öffentlichen Einrichtungen gehört auch die sichere Aktenvernichtung. Diese ist aufgrund der Vorgaben der Datenschutzgrundverordnung (DSGVO) verpflichtend, sobald personenbezogene Daten betroffen sind.
Warum ist es so wichtig, dass zu erwähnen? Datensicherheit wird vieler Datschutzskandale noch immer nicht überall als relevantes Problem betrachtet - zumindest nicht, wenn es um das eigene Unternehmen geht. Es gibt natürlich zahlreiche öffentlich bekannte Beispiele, vor allem wenn namhafte Unternehmen und Institutionen betroffen sind und hohe Bußgelder verhängt werden.
Die Dunkelziffer der verschleierten Datendiebstähle und anderer Verstöße gegen Datensicherheit ist deutlich höher. Denn in Hinsicht auf Datensicherheit möchte sich niemand gern in die Karten schauen lassen. Jenseits krimineller Aktivitäten sind es vor allem Ignoranz, Unkenntnis, mangelhaftes Verständnis und Nachlässigkeit, die zu Problemen der Datensicherheit führen.
Gemäß einer regelmäßig durchgeführten Studie (Cost of Data Breach Report 2021) gehörten Datenschutzverletzungen, bei denen personenbezogene Daten betroffen waren, mit 44 % aller Fälle zu den häufigsten Problemen überhaupt. Dabei betrug der Schaden pro gestohlenem Datensatz 180 US $. Der Schutz personenbezogener Daten hat also eine herausragende Bedeutung.
Auch jenseits gesetzlicher Verpflichtungen sollten Unternehmen ein großes Interesse daran haben, Daten und Dokumente sicher zu entsorgen, sobald sie nicht mehr gelagert werden müssen. Sensible Daten eines Unternehmens gehören einfach nicht in die Abfalltonne oder in den öffentlichen Altpapiercontainer.
Für sichere Aktenvernichtung stehen zum Glück andere Möglichkeiten zur Verfügung. Dabei sind Aufwand und Kosten, alte Akten, Dokumente, Festplatten und digitale Datenträger sicher zu entsorgen, relativ gering. Mit einem externen Dienstleister ist Aktenvernichtung und Datenvernichtung leicht zu organisieren, schafft ein hohes Maß an Sicherheit und ist obendrein auch noch relativ günstig.
Sichere Aktenvernichtung und DSGVO
Die DSGVO regelt nicht nur Erhebung, Speicherung, Nutzung und Verarbeitung von Daten, sondern auch das und wie diese Daten zu löschen, entsorgen oder zu vernichten sind.
Ein Verstoß gegen die DSGVO kann empfindliche Strafen nach sich ziehen. Diese können bis zu 20 Millionen € oder 4 % des globalen Jahresumsatzes eines Unternehmens (je nachdem welcher Wert höher ist) betragen. Datensicherheit wird damit zu einer „strafbewährten Pflicht“ jedes Datenbesitzers.
Datenbesitzer müssen sich daher zwangsläufig mit dem Thema sichere Aktenvernichtung auseinandersetzen und sicherstellen, dass man sie DSGVO-konform durchführt.
Vorgaben der DSGVO für Datenbesitzer und Aktenvernichtungsdienstleister:
Datenbesitzer und Entsorfungsfachbetriebe müssen den Risiken angemessene Datenschutzmaßnahmen treffen (Art. 32 DSGVO)
Geeignete technische und organisatorische Maßnahmen sind zu definieren. Diese müssen den gesamten Prozess von Übernahme bis zur Datenlöschung eindeutig und mit ausreichendem Schutzniveau abbilden. (Art. 32 DSGVO)
Eine Kontrollpflicht für den Auftraggeber bleibt bestehen (Art. 32 DSGVO)
Alle Prozessbeteiligten der Aktenvernichtung müssen auf das Datengeheimnis verpflichtet sein. (Art. 28 DSGVO)
Alle Prozessbeteiligten sind verantwortlich im Sinne der DSGVO und bleiben dies bis zur abschließenden Datenlöschung/-vernichtung (Art. 82 DSGVO)
Es besteht eine persönliche Haftung der handelnden Personen (Art. 83 DSGVO)
Gemäß Art. 28 müssen Auftraggeber mit Auftragsverarbeitern / Aktenvernichtungsbetrieben zusammenarbeiten, die in der Lage sind, ausreichende Garantien anzubieten sowie technische und organisatorische Maßnahmen gesetzeskonform umzusetzen. (Art. 28 DS-GVO)
Es besteht eine Beweislastumkehr zulasten von Auftraggeber und Aktenvernichtungsbetrieb. (Art. 82 DS-GVO)
Eine Schadensersatzpflicht des Auftragsverarbeiters besteht nur bei Zuwiderhandlung gegen Pflichten des Auftragnehmers oder auf Weisung des Auftraggebers. (Art. 82 DS-GVO)
Geldbußen bis 20 Mio. Euro oder 4% des gesamten weltweiten Gruppenumsatzes sind möglich. Das ist abhängig von Art und Schwere des Verstoßes (Art. 83 DS-GVO)
Es besteht eine Vertragspflicht in der Aktenvernichtung mit expliziter Definition der technischen und organisatorischen Maßnahmen. (Art. 28 DS-GVO)
Umsetzung von „Stand der Technik“ (Art. 25 DS-GVO). Dieser wird in der Akten- und Datenträgervernichtung in der DIN 66399 definiert
Wichtiger Hinweis:
Personenbezogene Daten müssen mindestens mit Sicherheitsstufe 3 vernichtet werden. Die Sicherheitsstufen 1 + 2 entsprechen nicht den Anforderungen der DSGVO!
Welche Konsequenzen hat ein Verstoß gegen die DSGVO?
Ein Verstoß gegen die DSGVO wird je nach Schwere desselben geahndet. Bei schweren Verstößen sind Bußgelder und u.U. Freiheitsstrafen bis zu 2 Jahren möglich. Die Bußgelder für Unternehmen können bis zu 20 Millionen Euro bzw. bis zu 4% des weltweit im vorangegangenen Geschäftsjahr erzielten Jahresumsatzes (der höhere Betrag ist relevant) betragen. Ein Verstoß gegen die Bestimmungen der DSGVO kann also gravierende Folgen für Ihr Unternehmen haben.
Abgeleitet aus der DSGVO ist die DIN 66399, welche die konkreten technischen Maßnahmen zur Lagerung/Speicherung und Vernichtung von Daten/Dokumenten regelt.
Welche Daten müssen gemäß DSGVO gelöscht oder vernichtet werden?
Die Vorgaben der DSGVO beziehen sich in erster Linie auf personenbezogene Daten. Dazu gehören alle Daten, die er ermöglichen, eine natürliche Person eindeutig zu identifizieren. Darunter fallen Daten und Informationen wie: Adresse, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontodaten, Kfz-Kennzeichen, Standortdaten, IP-Adressen und auch Cookies.
Wichtig für Unternehmen und Institutionen ist, dass davon auszugehen ist, dass der Begriff „personenbezogene Daten“ nicht immer eindeutig definiert ist und sehr weit ausgelegt ist. Im Zweifel sollten Sie eher davon ausgehen, dass Daten dem Bereich der personenbezogenen Daten zuzuordnen sind. Im Rahmen der Aktenvernichtung bedeutet das beispielsweise, dass Sie bei der Auswahl der Sicherheitsstufe eher dem höheren Grad der Vernichtung den Vorzug geben sollten. Damit sind Sie auf sicheren Seite.
Zunächst einmal ist wichtig: Personenbezogene Daten dürfen gemäß DSGVO ohne vorherige Einwilligung überhaupt nicht gespeichert werden. Liegt eine Einwilligung vor, besteht die Verpflichtung, die Daten umgehend wieder zu löschen,
sobald der Zweck der Speicherung nicht nicht länger gegeben ist und kein Gesetz eine weitere Aufbewahrung ausdrücklich vorschreibt. Personenbezogene Daten müssen also sofort gelöscht werden, wenn es keinen Grund mehr für deren Speicherung gibt.
Jesenits der DSGVO und den speziell geschützen personenbezogegen Daten sind für je nach art der Daten andere Regeln für Lagerung und Vernichtung beachten. Bei Geschäftsunterlagen oder anderen Dokumenten (in Papierform und digital) gelten in der Regel bestimmte Aufbewahrungspflichten, die 6 oder 10 Jahre betragen. Sind diese Fristen abgelaufen und bestehen keine weiteren gesetzlichen Regelungen zur Aufbewahrung, können diese Unterlagen datenschutzkonform vernichtet werden.
Da es trotz eindeutiger Rechtslage noch immer zu Verstößen kommt, erwähnen wir es hier nochmal: enthalten diese Unterlagen personenbezogene Daten, sind diese zwingend nach den Vorgaben der DSGVO zu vernichten.
Was sind personenbezogene Daten?
Die DSGVO regelt den Umgang mit „personenbezogenen Daten“. Diesen kommt also eine zentrale Bedeutung zu, wenn es um Datenschutz und um die Entsorgung Ihrer Akten geht. Personenbezogene Daten sind Informationen, „die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Quelle: DSGVO Kapitel I / Artikel 4 Ziffer 1)
Das klingt ein wenig abstrakt, daher nennen wir zum besseren Verständnis einige konkrete Beispiele.
Zu personenbezogenen Daten gehören:
Allgemeine Personendaten
Persönliche Daten
Name, Geburtsdatum und Geburtsort, Alter, Postanschrift, Telefonnr. E-Mail-Adresse usw.
Persönliche Kennziffern
Sozialversicherungsnummer, Steueridentifikationsnummer, Krankenversicherungsnummer, Personalausweisnummer, Matrikelnummer
Finanzdaten
Kontonummern, Kontostände, Kreditinformationen
Digitale Daten
IP-Adresse, Standortdaten
Physische Merkmale
Geschlecht, Haut-, Haar- & Augenfarbe
Informationen zu persönlichem Besitz
Zulassungsdaten und Kennzeichen eines Fahrzeuges, Immobilien, Grundbucheinträge
Zeugnisse
Schul- und Arbeitszeugnisse
Daneben gibt es weitere Daten, die besonders schützenswert sind. Hierzu gehören Informationen, welche Rückschlüsse auf die ethnische Herkunft, politische Meinungen, religiöse oder andere weltanschauliche Überzeugungen oder Mitgliedschaft in bestimmten Vereinigungen (Parteien, Gewerkschaften, Vereine) erlauben.
Auch Gesundheitsdaten, medizinische, genetische, und biometrische Daten, und Informationen zur sexuellen Orientierung und zum Sexualleben gehören zu den besonders schützenswerten personenbezogenen Daten.
Teilweise ist der Begriff etwas weit gefasst. Im Zweifel sollte man zur Sicherheit davon ausgehen, dass vorliegende Daten den personenbezogenen Daten zuzuordnen sind und sie entsprechend behandeln.
Warum ist der Schutz persönlicher Daten so wichtig?
Ist man nicht vertraut mit der Materie, mag man sich fragen, warum es überhaupt so wichtig ist, personenbezogene Daten zu schützen. Ist es wirklich notwendig, so viel Aufwand zu betreiben?
Wir denken, ja, es ist absolut notwendig. Denn auch heute gehen viel zu viele Menschen viel zu leichtfertig mit Daten im Allgemeinen und personenbezogenen Daten im Speziellen um. Sie geben Daten häufig aus Unkenntnis an, ohne zu wissen, wie wertvoll sie sind oder welcher Schaden entstehen kann, wenn persönliche Daten in die falschen Hände gelangen.
Was soll denn jemand mit meinen Daten anfangen?
Eine ganze Menge. Ist Ihnen schon mal aufgefallem, welchen Aufwand z. B. Unternehmen betreiben, um persönliche Daten zu erheben? Aus dem Alltag kennt man zum Beispiel Punkte-/Rabattkarten oder Gewinnspiele – hier willigt man ein, dass persönliche Daten gespeichert und genutzt werden dürfen. In den entsprechenden AGB sind Klauseln - denen wir in der Regel ungelesen zustimmen -, die besagen, dass erhobene persönliche Daten genutzt und ggf. auch weitergegeben (verkauft!) werden dürfen.
Unternehmen sammeln Daten im großen Stil, weil es sich lohnt. Ihre Daten sind also bares Geld wert. Und wo es um Geld geht, ist Missbrauch nicht weit. Vernachlässigt ein Unternehmen den Datenschutz, können leicht Daten von Millionen Personen betroffen sein. Der Schaden ist enorm.
Um Missbrauch so weit wie möglich vorzubeugen und zu erschweren, sind Unternehmen, Behörden und anderen Institutionen durch die DSGVO verpflichtet, personenbezogene Daten zu schützen. Deswegen müssen eben nicht nur digitale sondern auch sämtliche analaogen Daten (Unterlagen, Bilder, Röntgenaufnahmen usw.) sicher entsorgt werden.
Um Missbrauch so weit wie möglich vorzubeugen und zu erschweren, sind Unternehmen, Behörden und anderen Institutionen durch die DSGVO verpflichtet, personenbezogene Daten zu schützen. Deswegen müssen eben nicht nur digitale sondern auch sämtliche analaogen Daten (Unterlagen, Bilder, Röntgenaufnahmen usw.) sicher entsorgt werden. Am Ende dienen Regelwerke wie die DSGVO eben dazu, Daten von Privatleuten und Unternehmen vor unlauterer Nutzung zu schützen. Sichere Aktenvernichtung ist also aktiver Datenschutz.
Welche Kosten entstehen, wenn Unternehmensdaten an die Öffentlichkeit gelangen?
Gelangen Kunden-, Klienten- oder interne Unternehmensdaten an die Öffentlichkeit, ist das zunächst einmal ein juristisches Problem mit entsprechenden Schadensersatzforderungen und Strafzaghlungen. Darüber hinaus sind Image- und Vertrauensverlust für das Unternehmen langfristige Schäden, von denen sie sich nicht immer wieder erholen. Ansehensverlust bedeutet letztendlich Kunden und Aufträge zu verlieren.
Die Zahlen belegen, dass Unternehmen gut beraten sind, digitale und analoge Daten zu schützten. Dazu zählt am Ende auch, deren sichere Entsorgung. Die sichere Aktenvernichtung muss integraler Bestandteil der Sicherheitskonzepte aller Unternehmen sein. Das gilt für die ganz großen, aber auch und vor allem für mittlere und kleinere Unternehmen.
Vor allem Gesundheitsdaten sind hochsensibel und das häufigste Ziel von Datendiebstahl – der durchschnittliche Wert einer Datenschutzverletzung in im Gesundheitswesen liegt bei 9.23 Mio $.
Das verdeutlicht, wie wichtig Datensicherheit auch für Krankenkasse, Ärzte und Krankenhäuser und andere Betriebe im Gesundheitswesen ist. Hier ist unbedingt darauf zu achten, dass z. B. Patientendaten sicher gelagert und ebenso sicher vernichtet werden, sobald dies möglich ist.
Versagen oder Fehlen von Compliance Regelungen führt zu Verstößen gegen die DSGVO
Menschliches Versagen, Fehlverhalten oder kriminelle Absichten – das sind häufige Erklärungen für Datenschutzverletzungen. Aber das Problem liegt gerade in mittleren und kleinen Unternehmen oft woanders – das Risikobewusstsein ist unangemessen und es gibt nicht immer klare interne Regelungen zum Datenschutz.
Gibt es Regelungen, werden diese Regeln nicht durchgesetzt und Mitarbeiter/innen nicht geschult. Dabei erwies sich das Fehlen oder Versagen von Compliance Regelungen zum Datenschutz im Jahr 2021 als der wichtigste verstärkende Faktor für Kosten durch Datenschutzverletzungen (Quelle: Cost of Data Breach Report 2021).
Zusammengerechnet beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung in Unternehmen, in denen es aufgrund von Versagen oder fehlender Compliance Regelungen zu Problemen kam, auf ca. 8.9 Miilionen US $.
Soweit muss es zum Glück nicht kommen, Verabtwortungsbewußte Unternehmen wissen um die möglichen negativen Auswirkungen und verhalten sich entsprechend. Zu den Maßnahmen, die mit relativ geringem Aufwand ein hohes Maß an Sicherheit schaffen gehört eben auch eine sichere Aktenvernichtung.
Noch schneller ans Ziel
Mit Aktenvernichtung24 finden Sie schnell den richtigen Entsorgungsdienstleister in der Nähe, der zuverlässig und günstig Ihre Akten und Daten vernichten wird. Um es Ihnen möglichst einfach zu machen, haben wir für (fast) jeden Ort oder Gemeinde eine eigene Seite eingerichtet.
Nachfolgend listen wir die Städte mit dem größten Bedarf auf. Nutzen Sie den Link zu Ihrer Stadt, um Ihre Aktenvernichtung in Berlin, Bremen, Dortmund, Dresden, Düsseldorf, Essen, Frankfurt am Main, Hamburg, Hannover, Köln, Leipzig, München, oder Stuttgart zu bestellen.
