C.ebra
Festplatten in intakter und geschredderter Form: Sobald die Aufbewahrungsfrist von sensiblen Daten abgelaufen ist, müssen diese sicher vernichtet werden.
Festplatten in intakter und geschredderter Form: Sobald die Aufbewahrungsfrist von sensiblen Daten abgelaufen ist, müssen diese sicher vernichtet werden.

Die EU-DSGVO ist kein Papiertiger: Rhenus Data Office rät zu risikoorientierer Betrachtung

Ein Ziel der EU-Datenschutz-Grundverordnung (EU-DSGVO), die am 25. Mai 2018 in Kraft tritt, ist eine Vereinheitlichung des Umgangs mit personenbezogenen Daten.

Was die Dokumentations- und Sorgfaltspflichten angeht, werden bestehende Regelungen in Deutschland verschärft. Während die sichere Aufbewahrung der Daten primär in der Verantwortung der Unternehmen liege, sollte für die Vernichtung der Akten und Datenträger ein externer Dienstleister herangezogen werden, rät Rhenus Data Office.

In jedem Betrieb fallen durch das Tagesgeschäft und die Firmenhistorie Datenmengen an, die gleichzeitig zuverlässig verfügbar und sicher aufbewahrt werden müssen. Dies umfasst interne Daten aus der eigenen Forschung und Entwicklung, be- und vertriebliche Daten aus der Auftragsabwicklung und Faktura, und natürlich Daten aus der eigenen Personalabteilung, dem Kundenstamm oder, im Gesundheitssektor, Patientendaten aus der medizinischen Arbeit. Insbesondere personenbezogene Daten sind sensibel und unterliegen besonderen datenschutzrechtlichen Anforderungen.

In der Vergangenheit glich die Datenschutzrechtslandschaft Europas einem Flickenteppich unterschiedlichster Regelungen – allein in Deutschland gelten derzeit neben dem deutschlandweit gültigen Bundesdatenschutzgesetz 16 Landesdatenschutzgesetze sowie fast hundert bereichsspezifische Gesetze, die den Datenschutz betreffen. Dies resultierte auch aus der Natur der bisherigen EU-Richtlinie 95/46/EG aus dem Jahr 1995, die von den Mitgliedsstaaten individuell in Landesrecht umgesetzt wurde. Mehr als zwanzig Jahre später wurde im April 2016 die neue EU-Datenschutz-Grundverordnung 2016/679 verabschiedet, die unter anderem eine Vereinheitlichung der Bestimmungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum Ziel hat.

Die EU-DSGVO gilt ab dem 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union – also auch in Deutschland: Eine entsprechende Novellierung des Bundesdatenschutzgesetzes wurde durch das Datenschutz-Anpassungs- und –Umsetzungsgesetz EU im Juni 2017 vorgenommen. Durch die EU-DSGVO werden bestehende Regelungen in Deutschland, was die Dokumentations- und Sorgfaltspflichten angeht, verschärft. Sanktionsmöglichkeiten wurden ausgeweitet und neben Schadensersatzansprüchen besteht bei Verstößen das Risiko von Bußgeldern von bis zu zwanzig Millionen Euro oder vier Prozent des gesamten weltweiten Jahresumsatzes eines Unternehmens.

Auch wenn die genannten Summen Obergrenzen sind, bewegt sich das Bußgeldrisiko durchaus in für kleine und mittelständische Unternehmen existenzbedrohenden Bandbreiten. Zudem haften bei Verstößen Verantwortliche und Auftragsverarbeiter auf gleicher Ebene; aufgrund der durch die Verordnung vorgesehenen Beweislastumkehr sind diese in der Pflicht, die Einhaltung der Vorschriften nachzuweisen. Dies bedeutet umfangreiche und detaillierte Dokumentationspflichten.

Mit Hilfe des mobilen Vernichtungsfahrzeuges und spezieller Container der Rhenus Data Office können Akten und Datenträger direkt beim Kunden vor Ort fachgerecht vernichtet werden.
Mit Hilfe des mobilen Vernichtungsfahrzeuges und spezieller Container der Rhenus Data Office können Akten und Datenträger direkt beim Kunden vor Ort fachgerecht vernichtet werden.
Gemeinsame Haftung bei Aktenvernichtung

Während die sichere Aufbewahrung der Daten wie Unterlagen oder elektronische Datenspeicher primär in die Verantwortung des Unternehmens beziehungsweise, im Falle eines Einzelunternehmers, der Person fällt, sollte für die Vernichtung von Akten und Datenträgern nach Ablauf der Aufbewahrungsfristen normalerweise ein spezialisierter Dienstleister beauftragt werden, der über die entsprechenden technischen und organisatorischen Mittel verfügt, mit denen eine sichere Sammlung und Vernichtung der Unterlagen gewährleistet werden kann. Diese Maßnahmen müssen risikoorientiert und der Sensibilität der Daten angemessen ausgewählt werden.

Durch die gemeinsame Haftung von Verantwortlichen und Auftragsverarbeitern ist das Unternehmen in der Pflicht, die sichere Datenvernichtung zu prüfen und zu dokumentieren. Hierbei ist zu beachten, dass bestehende Zertifikate und Auditberichte kritisch betrachtet und gegebenenfalls erneuert oder ersetzt werden sollten. Eine Stelle, die für die Zertifizierung nach EU-DSGVO-Vorgaben verantwortlich ist, gibt es gegenwärtig noch nicht. Aus diesem Grund sollten Unternehmen – nicht nur für die Übergangszeit – auf höchste Sicherheit setzen und die besten derzeit verfügbaren Standards einfordern. Folgende Fragen können helfen, den eigenen Status Quo in Bezug auf Akten- und Datenträgervernichtung zu ermitteln sowie sich gut vorzubereiten:

  • Führen Sie selber eine regelmäßige Akten- oder Datenträgervernichtung nach Stand der Technik (DIN 66399) durch oder betrauen Sie einen Dienstleister mit dieser Aufgabe?
  • Bietet der Dienstleister sichere Transportmöglichkeiten und einen geeigneten Vernichtungsprozess?
  • Welche Schutzklasse (nach derzeitigem Stand der DIN 66399) kann durch diese Maßnahmen zuverlässig abgebildet werden? Ist sie für Ihr sensibles Datenschutz-Material ausreichend gewählt? 
  • Kann der Dienstleister die ordnungsgemäße Vernichtung nachweisen?
Gerhard Friederici, Datenschutzbeauftragter der Rhenus Data Office GmbH
Gerhard Friederici, Datenschutzbeauftragter der Rhenus Data Office GmbH
NACHGEFRAGT

bei Gerhard Friederici, Datenschutzbeauftragter der Rhenus Data Office GmbH


Wie schätzen Sie die neue Rechtslage durch die EU-DSGVO ein? 
Auf keinen Fall darf man die EU-DSGVO als „Papiertiger“ betrachten. Bei Missachtung drohen drastische Strafen und schwerwiegende Folgen; nicht nur existenzbedrohende Bußgelder, sondern Image- und Vertrauensverlust auf Kundenseite – dies kann sich kein Unternehmen leisten.

Was empfehlen Sie Unternehmen, die sich auf die EU-DSGVO vorbereiten wollen?
Die EU-DSGVO muss risikoorientiert betrachtet werden. Sie schreibt den Einsatz "entsprechender" und "geeigneter“ Maßnahmen vor, definiert dies aber nicht im Detail. Daher muss der Kunde umfänglich seine Situation betrachten und dann angemessene Maßnahmen auf dem Stand der Technik treffen. Hier kann man sich an der noch gültigen DIN 66399 orientieren:
1. Einstufung der vorhandenen Daten nach Schutzklasse und Sicherheitsstufe
2. Abschluss eines guten Datenschutzvertrags mit einem Dienstleister, der dem Art. 28 EU-DSGVO Rechnung trägt
3. Klare Definitionen der Rechte und Pflichten beider Parteien – so trägt der Dienstleister bei Missachtung der EU-DSGVO das Risiko

www.aktenvernichtung.de 
www.de.rhenus.com 

Verwandte Themen
OpenTalk legt besonderen Wert auf Datensicherheit und Datenschutz – ideal für die öffentliche Verwaltung. (Bild: OpenTalk)
Thüringer Landesverwaltung setzt auf OpenTalk weiter
Wie das Thema des Datenschutzes in der Zukunft aussieht, wird auf der Bitkom Privacy Conference behandelt. (Bild: www.fotogestoeber.de/iSTock/Getty Images Plus)
Bitkom-Studie zum Datenschutzgesetz in Unternehmen weiter
Die Ergebnisse der Umfrage zeigen, dass Arbeitgeber, sowie auch Arbeitnehmer die Überwachung durch KI-gestützte Tools ablehnen. (Bild: Chris Liverani/Unsplash)
ExpressVPN-Umfrage zur Überwachung von Arbeitnehmern weiter
Rainer Hehmann und Sebastian Evers: die Doppelspitze des Digitalisierers d.velop (Bild: d.velop)
d.velop und Deutsche Telekom bieten cloudbasierte Services weiter
Die europäische Datenschutz-Grundverordnung wird laut Bitkom in großen Teilen der deutschen Wirtschaft als Hindernis wahrgenommen und bremst damit Wettbewerbsfähigkeit und Innovationskraft. (Bild: Bitkom)
Unternehmen sind von DSGVO weiter verunsichert weiter
Mit der neuen Fünf-Jahres-Garantie auf 40 seiner Ideal-Aktenvernichter-Modelle untermauert der Balinger Hersteller Krug & Priester sein Qualitätsversprechen. (Bild: Krug & Priester)
Ideal stattet Aktenvernichter mit Fünf-Jahres-Garantie aus weiter
Erweiterte Suche