29.05.2018 · Fachbeitrag · Datenschutz

Datenvernichtung in der Agentur: Darauf kommt es in der Praxis an

von RAin Heike Mareck, externe Datenschutzbeauftragte, Dortmund

| Bedeutet Datenvernichtung in Ihrer Agentur, dass Sie einen Aktenvernichter bereitgestellt oder einen externen Dienstleister beauftragt haben? Falls ja, sollten Sie sich spätestens jetzt ‒ seit Inkrafttreten der DSGVO ‒ mit dem Thema auseinandersetzen. Sie sollten z. B. ein Konzept zur datenschutzgerechten Vernichtung erstellen und Verträge mit Datenentsorgern prüfen. Damit können Sie Bußgelder und Ärger für Ihre Agentur vermeiden. |

Datenvernichtung in der Agentur

Vielen Agenturinhabern ist zwar bewusst, dass sie ihre nicht mehr benötigten vertraulichen Unterlagen datenschutzgerecht entsorgen oder vernichten müssen. Wie sie dabei genau vorgehen müssen, ist ihnen aber häufig unklar. Stellen Sie sich daher zunächst folgende Fragen:

Wie entsorgen Sie bisher Datenträger (Papier, CD, Festplatten, USB-Sticks, Chipkarten usw.) mit personenbezogenen Daten?

Welchen Schutzbedarf haben Ihre Daten?

Falls Sie mit einem Datenvernichtungs-Dienstleister zusammenarbeiten: Ist dieser nach der neuen Rechtslage datenschutzkonform?

Wichtig | Können Sie bei der Entsorgung von Datenträgern den Datenschutz oder die IT-Sicherheit nicht sicherstellen, droht Ihnen u. a. ein Bußgeld.

PRAXISTIPPS |

Erstellen Sie ein Konzept, das den Schutzbedarf festlegt:

- Ordnen Sie Ihren personenbezogenen Daten Schutzklassen, Sicherheitsstufen, Datenträger und Vernichtungsmaßnahmen zu.

- Legen Sie außerdem Verantwortliche fest und schulen Sie Ihre Mitarbeiter.

Prüfen Sie Bestandsverträge zur Datenträgerentsorgung mit Dienstleistern.

Konzept zur Datenvernichtung erstellen

Papierdokumente werden nach der im Oktober 2012 eingeführten DIN-Norm 66399 in 3 Schutzklassen und 7 Sicherheitsstufen eingeordnet. Die Schutzklassen sind dabei folgendermaßen definiert:

Klasse 1: Der Schutz von personenbezogenen Daten muss gewährleistet sein. Sonst wird der Betroffene womöglich in seiner Stellung und seinen wirtschaftlichen Verhältnissen beeinträchtigt.

Klasse 2: Es besteht die Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird.

Klasse 3: Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein. Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen.

Festlegung des Schutzbedarfs: Schutzklassen und Sicherheitsstufen

Halten Sie sich in Ihrer Agentur an die DIN-Norm, weil sie DSGVO konform ist. Dokumentieren Sie die Angaben in einer Tabelle:

Schutzklassen und Sicherheitsstufen für Daten in der Agentur
Schutz-bedarf	Schutzklasse	Sicherheitsstufe		Beispiel	Vernichtungsempfehlung	Datenträger*	Maßnahme
Normaler Schutz für interne Daten	Klasse 1	1	Allgemeine Daten	Prospekte Notizen ...	Reproduktion ist mit einfachem Aufwand möglich	P O H ...	...
Normaler Schutz für interne Daten	Klasse 1	2	Interne Daten	Interne Arbeitsanweisungen Reiserichtlinien ...	Reproduktion ist nur mit besonderem Aufwand möglich	P H ...	...
Hoher Schutz für vertrauliche Daten	Klasse 2	3	Sensible Daten	Angebote Anfragen Aushänge ...	Reproduktion ist nur mit erheblichem Aufwand möglich	P H ...	...
Hoher Schutz für vertrauliche Daten	Klasse 2	4	Besonders sensible Daten	Personaldaten Arbeitsverträge Steuerunterlagen ...	Reproduktion ist nur mit außergewöhnlichem Aufwand möglich	P O ...	...
Sehr hoher Schutz für besonders geheime Daten	Klasse 3	5	Geheim zu haltende Daten	Medizinische Berichte Strategiepapiere ...	Reproduktion ist nur mit zweifelhaften Methoden möglich	F O H ...	...
Sehr hoher Schutz für besonders geheime Daten	Klasse 3	6	Geheime Hochsicherheitsdaten	Entwicklungsunterlagen über neue Produkte ...	Reproduktion ist technisch nicht möglich	H ...	...
* P = Papier, Film Druckformen; F = Film, Mikrofilm, Folie; O = CD, DVD; T = Disketten, ID-Karten, Magnetbandkassetten; H = Festplatten; E = Speicherstick, Chipkarte, mobile Kommunikationsmittel Wichtig \| Die 7. Sicherheitsstufe umfasst streng geheim zu haltende Daten aus dem Militär- und Geheimdienstbereich und ist damit nicht relevant für Sie.

Datenvernichtungsmaßnahmen festlegen

Bei der Wahl Ihrer Daten-Vernichtungsmaßnahmen je Schutzklasse und Sicherheitsstufe sollten Sie im Hinblick auf die Datenträger Folgendes beachten:

Viele Aktenvernichter sind auf die Sicherheitsstufen 1 und 2 ausgelegt (Streifen und große Partikel). Möchten Sie also z. B. Personaldaten vernichten, benötigen Sie einen Aktenvernichter mit Sicherheitsstufe 4.

Bei Festplatten kann die Datenvernichtung in den unteren Sicherheitsstufen mittels Softwaretools überschrieben werden. In den oberen Sicherheitsstufen müssen Sie den Datenträger auch physisch zerstören.

CD oder DVD können, auch wenn Sie z. B. zerstückelt wurden, für Spezialisten rekonstruierbar sein. Bei einem hohen Schutzniveau der darauf gespeicherten Daten müssen Sie diese z. B. schreddern oder einschmelzen.

Bei Verlust des Handys lassen Sie dieses sofort sperren (Tel. 116 116).

Verantwortlichen festlegen und Mitarbeiter sensibilisieren

Legen Sie in Ihrer Agentur klar fest, wer für das Management von Papierdokumenten und digitalen Daten verantwortlich ist (Datenschutzbeauftragter oder alternativ: mindestens 2 Mitarbeiter). Orten Sie die datenschutzrelevanten Gefahren.

Beispiele für datenschutzrelevante Gefahren
Geräte/Datenträger	Beschreibung
Kopierer und Faxgerät	Vergessene Papiere werden in den Mülleimer geworfen oder neben die Geräte gelegt.
Festplatten	Festplatten werden häufig nicht fachgemäß überschrieben.
Mobiltelefon	Datenspeicher werden nicht überschrieben und formatiert. Am letzten Arbeitstag des Mitarbeiters wird häufig vergessen, das Gerät auf Werkseinstellungen zurückzustellen.
Navigationsgerät im Dienstwagen	Bei Privatnutzung: Private Adressen, vorhandene Nachrichten etc. im Bordcomputer werden nicht gelöscht.

PRAXISTIPPS |

Bestimmen Sie feste Regeln zum Umgang mit der Datenvernichtung.

Schulen Sie Ihre Mitarbeiter (zumindest einmal) und sensibilisieren Sie sie für Gefahrenquellen.

Legen Sie fest, wann einmal im Jahr die Daten in Papierform in der Agentur durchgesehen und geordnet werden, d. h., welche im Büro bleiben, welche vernichtet und welche in ein sicheres, externes Archiv verlagert werden müssen.

Dienstleister übernimmt Vernichtung

Viele Agenturen arbeiten bereits mit Aktenvernichtern zusammen. Dabei handelt es sich um eine Auftragsverarbeitung (AV). Dies gilt unabhängig davon, ob der Dienstleister die Unterlagen vor Ort vernichtet oder sie abholt und entsorgt. Nach Art. 28 Abs. 3 DSGVO müssen Sie als Auftraggeber (Verantwortlicher) einen Vertrag mit dem Auftragnehmer (Auftragsverarbeiter) schließen.

Anpassung bestehender Verträge

Einige AV werden, sofern nicht schon geschehen, die Bestandsverträge an die DSGVO anpassen und ihren Kunden neue Verträge oder eine Vertragsergänzung zur Unterschrift vorlegen. Wenn Sie von Ihren betreffenden Dienstleistern noch nichts gehört haben, fragen Sie im Zweifel nach.

PRAXISTIPPS | Folgende Änderungen durch die DSGVO sind notwendig:

Ausdrücklicher Hinweis auf bestehende Subunternehmer, einschließlich Einräumung eines Widerspruchsrechts für den Verantwortlichen.

Unterstützung des Verantwortlichen bei der Erfüllung von Ansprüchen der betroffenen Person ‒ insbesondere hinsichtlich des neuen Rechts auf Datenportabilität.

Meldung von Datenschutzverstößen und Mitwirkung bei der Erfüllung der neu geregelten Meldepflichten.

Mitwirkung an Datenschutz-Folgenabschätzungen und vorherige Konsultationen mit Aufsichtsbehörden.

Mindestanforderungen an neue Verträge

Haben Sie vor Mai 2018 einen Erstvertrag mit einem Auftragsverarbeiter abgeschlossen, prüfen Sie, ob dieser sich an den Anforderungen der DSGVO orientiert. Der Vertrag muss zumindest die folgenden Mindestanforderungen regeln und sollte sich auf Ihren speziellen Fall in der Agentur beziehen:

Mindestanforderung an Vertrag mit Auftragsverarbeiter

1. Gegenstand und Dauer der Verarbeitung

2. Art und Zweck der Verarbeitung

3. Art der personenbezogenen Daten, Kreis betroffener Personen

4. Umfang der Weisungsbefugnisse

5. Pflichten und Rechte des Verantwortlichen (Agenturinhaber)

6. Pflichten des Auftragsverarbeiters:

- Verarbeitung nach dokumentierter Weisung

- Wahrung der Vertraulichkeit bzw. Verschwiegenheit

- Ergreifung geeigneter Maßnahmen für die eigene Sicherheit der Verarbeitung

- Rechtmäßige Hinzuziehung von Subunternehmen

- Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen

- Unterstützung des Verantwortlichen bei der Einhaltung von dessen Pflichten aus Art. 32 bis 36 DSGVO Löschung oder Rückgabe nach Beendigung des Auftrags

- Zurverfügungstellung von Informationen und Ermöglichung von Überprüfungen

Wichtig | Für die Vereinbarung zur Auftragsverarbeitung personenbezogener Daten finden Sie das Vertragsmuster „Datenschutz: Auftrag zur Datenverarbeitung“ auf wvv.iww.de → Abruf-Nr. 45313199.

Auch nach Abschluss des Vertrags über die Auftragsverarbeitung behalten Sie die Verantwortung bei der Aktenvernichtung. Nach Art. 24 DSGVO haben Sie dafür Sorge zu tragen, dass die Verarbeitung und damit auch die Vernichtung rechtmäßig erfolgt. Entsprechend müssen Sie geeignete technische und organisatorische Maßnahmen (TOM) in Ihrer Agentur umsetzen.

Auswahl und Kontrolle des Dienstleisters

Sie tragen auch die Verantwortung für die Auswahl des Dienstleisters bzw. Verarbeiters. Sie müssen sich davon überzeugen, dass dieser ausreichende TOM getroffen hat, um den Schutz der ihm zugänglich gemachten Daten zu gewährleisten. Damit sichergestellt ist, dass die datenschutzrechtlichen Vorgaben auch tatsächlich vom Dienstleister erfüllt werden, muss der AV hinreichende Garantien bieten (Art. 28 DSGVO).

PRAXISTIPP | Lassen Sie sich von Ihrem Aktenvernichtungs-Dienstleister die TOM zeigen, mit denen er Datenschutz und Datensicherheit der ihm überlassenen Daten gewährleistet.

Quelle: Ausgabe 07 / 2018 | Seite 5 | ID 45302728