Die neue Datenschutz-Grundverordnung (EU-DSGVO)

Im April 2016 verabschiedete das EU-Parlament die Verordnung 2016/679. Sie ist eine Vereinheitlichung der Datenschutzregularien innerhalb der EU-Mitgliedsstaaten. Nach einer zweijährigen Übergangsfrist gilt diese Verordnung ab dem 25. Mai 2018 in allen Mitgliedsstaaten unmittelbar und verpflichtend.

Die europäische Datenschutz-Grundverordnung (EU-DSGVO) ist direkt geltendes Recht und bedarf keiner Umsetzung in nationales Recht. Die Vorgaben sind zwingend einzuhalten und die darin definierten Rechte und Pflichten können nicht eingeschränkt oder ausgeschlossen werden.

 Nationale gesetzliche Regelungen gelten nur noch insoweit diese nicht der DSGVO widersprechen. Die DSGVO zwingt alle in der EU tätigen Unternehmen, ein komplexes Datenschutz-Managementsystem aufzubauen und mit Leben zu füllen. Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten und ausdrücklich nur zulässig, wenn die DSGVO dies gestattet (Verbot mit Erlaubnisvorbehalt).

Hierbei sind auch die Aktenvernichtung und Datenträgervernichtung neu zu beurteilen.

Änderungen bei der Aktenvernichtung

Die DSGVO regelt nicht nur die Datenerhebung, -speicherung, -nutzung und -verarbeitung, sondern auch das Löschen der Daten.

Hier wurden neue Vorgaben im Vergleich zum Bundesdatenschutzgesetz definiert und die Einhaltung der bereits vorher in Deutschland gültigen Regelungen mit drastischen Strafen (bis 20 Mio. Euro) versehen.

Jeder Datenbesitzer muss sich daher neu mit der Aktenvernichtung in seinem Betrieb auseinandersetzen und das aktuelle Vorgehen mit der DSGVO abgleichen.

Die DSGVO gibt den Betroffenen in Art. 17 sogar ein explizites Recht auf Löschung bzw. ein „Recht auf Vergessenwerden“. Die Aktenvernichtung wird zu einer strafbewährten Pflicht jedes Datenbesitzers.

Neue Vorgaben durch die DSGVO

Für den Datenbesitzer und den Aktenvernichtungsdienstleister gemeinsam gelten seit dem 25. Mai 2018 die nachfolgenden gesetzlichen Vorgaben:

Art. 32 DSGVO

Datenbesitzer und Aktenvernichtungsbetrieb müssen dem Risiko angemessene Schutzmaßnahmen treffen.

Art. 32 DSGVO

Geeignete technische und organisatorische Maßnahmen sind zu definieren, die den kompletten Prozess von der Übernahme der Daten bis hin zur Löschung eindeutig und mit ausreichendem Schutzniveau abbilden.

Art. 32 DSGVO

Der Auftraggeber trägt für den Prozess der Aktenvernichtung die Kontrollpflicht.

Art. 28 DSGVO

Alle Beteiligten im Prozess der Aktenvernichtung / Datenlöschung müssen auf die Verschwiegenheit verpflichtet sein.

Art. 82 DSGVO

Alle Beteiligten im Prozess sind verantwortlich im Sinne der DSGVO und bleiben dies bis zur abschließenden Löschung der Daten.

Art. 83 DSGVO

Handelnde Personen haften auch persönlich.

Art. 28 DSGVO

Auftraggeber dürfen nur mit Auftragsverarbeitern bzw. Aktenvernichtungsbetrieben zusammenarbeiten, die ausreichend Garantien dafür bieten, dass technische und organisatorische Maßnahmen gesetzeskonform umgesetzt werden.

Art. 82 DSGVO

Beweislastumkehr zu Lasten von Auftraggeber und Aktenvernichtungsbetrieb.

Art. 82 DSGVO

Schadenersatzpflicht des Auftragsverarbeiters nur bei Zuwiderhandlung gegen Auftragnehmerpflichten oder Weisung des Auftraggebers.

Art. 83 DSGVO

Geldbußen bis 20 Mio. Euro oder 4 Prozent des gesamten weltweiten Unternehmensgruppenumsatzes, abhängig von der Art des Verstoßes.

Art. 28 DSGVO

Vertragspflicht in der Aktenvernichtung mit expliziter Definition der technischen und organisatorischen Maßnahmen.

Art. 25 DSGVO

Umsetzung von „Stand der Technik“. Dies ist in der Akten- und Datenträgervernichtung die DIN 66399.

Vorgehensweise zur Überprüfung Ihres Status-Quo

  • Ermitteln Sie alle Dokumente, die personenbezogene Daten enthalten.

  • Klassifizieren Sie diese Dokumente nach deren Materialart (also Papier, Festplatten, CDs usw. gemäß PFOTHE nach DIN 66399).

  • Legen Sie fest, welche Materialarten Sie als Gemisch sammeln wollen.

  • Klassifizieren Sie alle Dokumente nach deren Schutzbedarf (normal, hoch, sehr hoch nach Schutzklassen gem. DIN 66399).

  • Definieren Sie die notwendige Zerkleinerungsstufe je Materialart und Materialgemisch (Sicherheitsstufen je Materialart gem. DIN 66399).

  • Fassen Sie – soweit sinnvoll – unterschiedliche Dokumenttypen zu einheitlichen Schutzklassen und Sicherheitsstufen zusammen.

  • Definieren Sie geeignete Sammelbehältnisse für die vertraulichen Unterlagen (dezentral über Alu-Datenschutzbehälter oder zentral über z.B. Presscontainer bei großem Anfall).

  • Definieren Sie Sammelorte für die Datenschutzbehälter zum Beispiel im Kopierraum oder direkt am Arbeitsplatz.

Wählen Sie einen geeigneten externen Dienstleister aus:

  • Liegt ein Zertifikat nach DIN 66399 vor und sind dort die notwendigen Schutzklassen und Sicherheitsstufen auch abgebildet?

  • Lassen Sie sich auch sonstige Zertifikate vorlegen (Entsorgungsfachbetrieb, Qualitäts- und Umweltmanagement, …).

  • Gleichen Sie die technischen und organisatorischen Maßnahmen (TOMs) des Dienstleisters mit Ihren ab.

  • Besuchen Sie den Dienstleister und machen Sie sich persönlich ein Bild.

  • Lassen Sie sich den zu unterzeichnenden Vertrag zeigen. Bildet der die Vorgaben der DSGVO ab? Verweist der Vertrag auf die DIN 66399 mit den entsprechenden Schutzklassen und materialspezifischen Sicherheitsstufen?

  • Lassen Sie sich jährlich von Ihrem Dienstleister bestätigen, dass sich an den vereinbarten TOMs nichts geändert hat bzw. lassen Sie sich die Änderungen schriftlich benennen.

  • Lassen Sie sich bei jeder Abholung ein Übernahmeprotokoll aushändigen.

  • Lassen Sie sich nach erbrachter Vernichtung eine Vernichtungsbestätigung geben, worin die Schutzklasse und die materialspezifische Sicherheitsstufe benannt sind.

DSGVO konforme Aktenvernichtung mit Pickard + Heffner

Pickard + Heffner erbringt die Dienstleistung der Aktenvernichtung bereits seit mehr als 40 Jahren und hat sich hierbei immer wieder den aktuellen gesetzlichen Regelungen und dem Stand der Technik angepasst. Unser Maschinenpark entspricht den Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) nach der Technischen Leitlinie BSI-TL 03420 und ist somit für höchste Sicherheitsansprüche optimal ausgestattet. Moderne Behälter mit elektronischer Schließung wurden beschafft, die Fahrzeuge mit GPS ausgestattet und die organisatorischen Abläufe und Verfahrensregeln wurden erneut überarbeitet. Pickard + Heffner bietet daher auf Basis der DSGVO in Verbindung mit der DIN 66399 Aktenvernichtung auf höchstem Niveau.