In vielen Unternehmen steht Anfang des Jahres ein – mehr oder weniger beliebtes – Prozedere an: Die Vernichtung von Altakten.
Anbei einige Tipps, worauf Sie datenschutzgerecht achten sollten.
Schutzklassen und Sicherheitsstufen
Immer wieder verwirrend:
Nach der DIN-Norm 66399 erfolgt die Vernichtung von Papierdokumenten in drei Schutzklassen und sieben Sicherheitsstufen. Sie sollten sich an diese Norm halten.
Die DIN 66399 spezifiziert drei Schutzklassen, nach denen die Datenträger hinsichtlich ihrer Schutzbedürftigkeit einzuordnen sind:
Schutzklasse 1 – Normaler Bedarf für interne Daten
Beispiele: Nicht Knowhow-relevante Korrespondenz, personalisierte Werbung, Kataloge, Wurfsendungen, Notizen
Schutzklasse 2 – Hoher Bedarf für vertrauliche Daten
Beispiele: Knowhow-relevante Korrespondenz wie Angebote, Anfragen, Memos, Aushänge, Personaldaten
Schutzklasse 3 – Sehr hoher Bedarf für besonders geheime Daten
Beispiele: Verschlusssachen, Mandanteninformationen, Unterlagen der Geschäftsleitung
Zusätzlich gibt es sieben Sicherheitsstufen, die der TÜV Süd wie folgt aufführt:
Allgemeine Daten – Reproduktion mit einfachem Aufwand.
Für Datenträger mit allgemeinen Daten, die unlesbar gemacht werden sollen.
Beispiele: Kataloge oder Prospekte etc.
Interne Daten – Reproduktion mit besonderem Aufwand.
Für Datenträger mit internen Daten, die unlesbar gemacht werden sollen.
Beispiele: Allgemeine interne Arbeitsanweisungen, Reiserichtlinien, Formulare.
Sensible Daten – Reproduktion mit erheblichem Aufwand. Für Datenträger mit sensiblen und vertraulichen Daten.
Beispiele: Angebote, Bestellungen mit Adressdaten von Personen.
Besonders sensible Daten – Reproduktion mit außergewöhnlichem Aufwand.
Für Datenträger mit besonders sensiblen und vertraulichen Daten.
Beispiele: Personaldaten, Arbeitsverträge, Steuerunterlagen.
Geheimzuhaltende Daten – Reproduktion mit zweifelhaften Methoden.
Beispiele: für Datenträger mit geheim zu haltenden Daten, zum Beispiel medizinische Berichte, Konstruktionspläne, Strategiepapiere.
Geheime Hochsicherheitsdaten – Reproduktion technisch nicht möglich. Für Datenträger mit geheim zu haltenden Daten, wenn außergewöhnlich hohe Sicherheitsvorkehrungen einzuhalten sind.
Beispiel: Entwicklungsunterlagen.
Top Secret Hochsicherheitsdaten – Reproduktion ausgeschlossen. Für Datenträger mit streng geheim zu haltenden Daten, wenn höchste Sicherheitsvorkehrungen einzuhalten sind.
Beispiel: Daten aus geheimdienstlichen oder militärischen Bereichen
Aktenvernichtung innerhalb des Unternehmens
- Bestimmen Sie, wer für die eigentliche Vernichtung der Dokumente, deren Durchführung und für die Protokollierung der Dokumentenvernichtung zuständig ist.
- Überlegen Sie genau, wie, wo und ggfl. durch wen Sie zukünftig Unterlagen entsorgen lassen wollen.
- Schätzen Sie, wie viele Mengen Sie entsorgen müssen und wie viele Behälter Sie in etwa benötigen.
Aktenvernichtung durch einen externen Dienstleister
- Lassen Sie sich das Abholen der (Sicherheits-) Behälter durch einen Beauftragten des Auftragnehmers protokollieren. Häufig wird auch die gesetzeskonforme und ordnungsgemäß erfolgte Vernichtung und/oder Verwertung/Beseitigung bestätigt. Sie erhalten dann nach Leistungserbringung mit der Rechnung gegen Entgelt ein Vernichtungszertifikat oder eine Vernichtungsbescheinigung, das den Anforderungen der DIN 66399 entspricht. Diese Unterlage ist für Sie wichtig und gilt als Nachweis, den Sie bitte auch zu Ihren Datenschutzunterlagen abheften sollten.
- Achten Sie darauf, dass der Transport in geschlossenen Fahrzeugen zur Vernichtungs- und/oder Verwertungs- bzw. Beseitigungsstätte gefahren wird. Informieren Sie sich darüber vorher! Hinweise hierzu finden Sie meist in den AGBs Ihres jeweiligen Entsorgungsbetriebes.
- Sollten Ihre Behälter voll sein und Sie noch weitere Unterlagen haben, dürfen Sie diese auf keinen Fall lose den Fahrern mitgeben. Sollte hier etwas passieren, können Sie mithaftbar gemacht werden.
- Achten Sie darauf, dass die Vernichtung nach Art. 28 DS-GVO, den entsprechenden Schutzklassen (mindestens 2) und den entsprechenden Sicherheitsstufen (ab P-3 gemäß DIN 66399) erfolgt. Meist finden Sie die Angaben im Angebot, Rechnung oder den AGB.
- Auftragsverarbeitungsvertrag zur Aktenvernichtung notwendig: Vernichtet ein Dienstleister die Akten, muss bei zu vernichtenden Dokumenten mit personenbezogenen Daten stets beachtet werden, dass es sich hierbei um eine Auftragsverarbeitung (AV) handelt. Dies gilt unabhängig davon, ob der Dienstleister die Unterlagen vor Ort vernichtet oder sie zur Entsorgung abholt und an einem anderen Ort endgültig entsorgt
Aktenvernichtung durch Verbrennen
Unterlagen auf dem Hof oder „im Garten“ zu verbrennen, ist verboten. Der Betrieb/das Unternehmen kommt zudem in Erklärungsnöte, wenn doch mal nach den „Vernichtungsunterlagen“ gefragt wird und man nichts nachweisen kann
Aktenvernichtung dokumentieren
Bitte beachten Sie, dass Sie die Entsorgung von Akten/Löschen/Vernichten auch im Verzeichnis der Verarbeitungstätigkeiten aufnehmen.
Merkblatt zum Download
Laden Sie sich das Merkblatt herunter:
Dieses Dokument dient einer allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar. Zudem werden keine Gewähr und keine Haftung für Aktualität und Vollständigkeit übernommen.
Die Vervielfältigung ist kostenlos unter Verwendung der Urheberkennzeichnung gestattet.
Heike Mareck ist Anwältin. Ihre Tätigkeitsschwerpunkte liegen in der Beratung, Vertragsgestaltung und Vertretung auf dem Gebiet des IT-, Medien-, Datenschutz-, Arbeitsrechts und dem Hinweisgeberschutz. Als externe Datenschutzbeauftragte betreut sie zahlreiche Unternehmen. Daneben ist sie als Referentin sowie als Interviewpartnerin und (Gast-)Autorin sehr gefragt und steht für alle diese Tätigkeiten gern zur Verfügung.