Die Archive sind gefüllt und der Platz für neue Akten wird weniger. Während sich kleine Papiermengen noch mit einem Schredder bewältigen lassen, zu der Auswahl eines geeigneten Schredders haben wir bereits berichtet, bietet sich bei größeren Mengen ein externer Entsorgungsdienstleister für Aktenvernichtung an.
Was Sie datenschutzrechtlich bei der Aktenvernichtung und Auswahl eines Entsorgungsdienstleisters für Aktenvernichtung beachten sollten.
Datenschutzrechtliche Verarbeitung durch Löschung / Vernichtung
Bei Datenschutz denken viele zunächst an elektronische Daten, „Informationen“ wäre daher ein passenderer Begriff für die Beschreibung. Die DSGVO schützt Informationen, die den Bezug zu Personen ermöglichen und dies unabhängig ihrer Aufbewahrungsform. Da immer noch viele Dokumente in Papierform verschickt und abgelegt werden, hat die Aktenvernichtung auch dort datenschutzrechtliche Relevanz.
Auch bei einer Löschung / Vernichtung von Unterlagen werden die enthaltenen personenbezogenen Daten im datenschutzrechtlichen Sinne „verarbeitet“. Die Legaldefinition einer „Verarbeitung“ nach Art. 4 Nr. 2 DSGVO ist sehr weit gefasst. Ausdrücklich benannt wird in der Definition der Datenschutzgrundverordnung ebenfalls:
„das Löschen oder die Vernichtung„.
Der Begriff einer „Vernichtung“ ist bei der analogen Papierform passender. Auf Papier gedruckte personenbezogene Daten lassen sich nur mit Aufwand unwiderruflich unkenntlich machen. Eine Anonymisierung, beispielsweise durch schwärzen, was durchaus einem Löschen gleichkommen könnte, ist grundsätzlich auch anstatt einer Vernichtung des gesamten Dokumentes möglich. Relevant ist diese Form der Löschung primär bei einzelnen Informationen auf einem Dokument, das nach der Unkenntlichmachung weitergeleitet oder abgelegt wird.
Bei einer Archivierung von Unterlagen für die Dauer gesetzlicher Aufbewahrungsfristen hingegen, ist die Entsorgung und endgültige Vernichtung des gesamten Dokumentes die gängigere Lösung.
Primär geht es den Unternehmen darum Platz zu schaffen, außerdem möchten sie ihren gesetzlichen Aufbewahrungs- und Löschungspflichten nachkommen. Gut gemeint sind Maßnahmen wie das Spenden von Papier an Einrichtungen, zum Basteln von Papierfliegern oder bemalen, solche Spenden kommen tatsächlich vor und können schnell zu einem Datenschutzverstoß führen. Während allgemeine Informationsschreiben unproblematisch sein können, werden bei Kunden-, Personal- oder Gesundheitsdaten schnell sensible Informationen preisgegeben.
Einsatz professioneller Entsorgungsdienstleister für Aktenvernichtung
Datenschutzrechtliches Ziel ist der Schutz personenbezogener Daten, durch Maßnahmen die Sicherheit vor einem unberechtigten Zugriff und der Kenntnisnahme Dritter gewährleisten. Auch bei einer Löschung / Vernichtung personenbezogener Daten sind daher technische und organisatorische Maßnahmen zum Schutz dieser Informationen zu berücksichtigen. Dazu zählt auch die Kontrolle der datenschutzkonformen Entsorgung.
Zunächst dürfte vielen der Papierkorb in den Kopf kommen, auch hier wird der Papiermüll durch einen Entsorgungsdienstleister über die Papiertonne abtransportiert. Aus datenschutzrechtlicher Sicht ist diese Art der Entsorgung allerdings, bei Unterlagen mit personenbezogenen Daten, nicht konform. Der Papierkorb und die Papiertonne sind meist für einen größeren Personenkreis zugänglich, gleichzeitig ist nicht klar was mit den Unterlagen nach dem Abtransport passiert. Die Entsorgung von nicht geschredderten personenbezogenen Daten in dem normalen Papierkorb ist aus diesen Gründen problematisch.
Neben einer fachgerechten Entsorgung geschredderter Papierdokumente in der Papiertonne, kann auch auf einen professionellen Entsorgungsdienstleister für Aktenvernichtung zurückgegriffen werden.
Professionelle Entsorgungsdienstleister stellen Unternehmen hierzu Tonnen in verschiedenen Größen bereit und holen diese nach Vereinbarung wieder ab. Die Behälter sollten abschließbar sein, um beispielsweise auch einen unberechtigten Zugriff anderer Abteilungen des Unternehmens zu vermeiden, weshalb bei längerer Standzeit ein Einwurfschlitz hilfreich ist.
Entscheidend ist entsprechend die Auswahl eines geeigneten Entsorgungsdienstleisters für Aktenvernichtung, damit eine konforme Entsorgung unter Berücksichtigung datenschutzrechtlicher Vorgaben abgesichert wird. Auch der Aktenvernichter muss dabei technische und organisatorische Maßnahmen berücksichtigen und die zu vernichtenden Unterlagen ordnungsgemäß löschen / entsorgen. Es ist zu gewährleisten, dass die Unterlagen auch tatsächlich vernichtet und nicht unverändert unberechtigt zur Kenntnis genommen werden können. Teilweise geben die Dienstleister für die Aktenvernichtung unterschiedliche Sicherheitsstufen an, entsprechend der die Löschung / Vernichtung erfolgt. Bei personenbezogenen Daten ist mindestens die Sicherheitsstufe P3 zu wählen, wobei für sensible Daten eine höhere Sicherheitsstufe erforderlich ist. Zu der Auswahl der Sicherheitsstufen entsprechend des Geheimhaltungsgrades haben wir bereits berichtet. Um die fachgerechte Entsorgung kümmert sich nach dem Abtransport der Dienstleister, durch thermische Vernichtung, Zerkleinerung oder Recycling.
Vertrag über die Auftragsverarbeitung mit Entsorgungsdienstleister
Die ordnungsgemäße Entsorgung sollte vertraglich vereinbart werden. Bei dem Einsatz von Dienstleistern kommen häufig Fragen zu der Notwendigkeit eines Vertrages über die Auftragsverarbeitung nach Art. 28 DSGVO auf. Bei manchen Dienstleistungen kann ein solcher Vertrag über die Auftragsverarbeitung erforderlich sein, wenn Dienstleister im Auftrag Daten für einen „Verantwortlichen“ verarbeiten, z.B. ein Unternehmen. Typische Fälle der Auftragsverarbeitung sind Software-/Serverhosting, externe Lohnbuchhaltung oder Webkonferenzanbieter. Über die Vereinbarung behalten Unternehmen weiterhin die rechtliche Kontrolle über die Daten und der Auftragsverarbeiter darf diese nicht für andere Zwecke nutzen.
Nicht bei jeder Dienstleistung ist die datenschutzrechtliche Relevanz direkt erkennbar. Werden Dokumente mit personenbezogenen Daten in einer geschlossenen Papiertonne bis zu ihrem Abtransport gelagert und zu der Löschung / Entsorgung entsprechend abtransportiert, liegt einer Verarbeitung von Daten nicht unbedingt auf der Hand. Möglicherweise hängt dies auch mit dem Gedanken zusammen, sobald Dokumente in einem Papierkorb entsorgt wurden, werden sie nicht mehr benötigt und man könne sich bereits auf neue Themen konzentrieren.
Wie erläutert gilt allerdings auch die Vernichtung als Verarbeitung der Daten. Dem Dienstleister steht bei der Entsorgung auch kein Ermessensspielraum zu und er darf nicht über die Zwecke der Verarbeitung entscheiden. Auch bei der Aktenvernichtung ist daher datenschutzrechtlich ein solcher Vertrag erforderlich.
Bei der Vernichtung der Unterlagen über einen professionellen Aktenvernichter, kann der Entsorgungsnachweis in die datenschutzrechtliche Dokumentation aufgenommen und zusammen mit dem Löschprotokoll als Nachweis der regelmäßigen Einhaltung des Löschkonzeptes dienen.
Sie möchten mehr über dieses Thema erfahren?
Gerne beraten wir Sie zu diesem Thema. Wir erstellen für Sie auch ein Löschkonzept und erklären Ihnen wie Sie rechtssicher wieder mehr Platz in Ihren Archiven schaffen können.
Rufen Sie uns gerne hierzu an oder kontaktieren Sie uns über diese Webseite.
Verfasser: Frederik Sonnenburg, LL.M. (Wirtschaftsrecht)