Da­ten­schutz bei der Da­ten­trä­ger­ver­nich­tung

Auch das Löschen personenbezogener Daten beziehungsweise das Vernichten elektronisch oder mechanisch lesbarer Datenträger (z.B. optische Datenspeicher, Festplatten, Akten) ist eine Form der Verarbeitung im Sinne der Datenschutzgrundverordnung (DS-GVO) und muss nach bestimmten Vorschriften erfolgen. Dabei kann die DIN 66399 „Büro- und Datentechnik – Vernichtung von Datenträgern“ aus dem Jahr 2012 für die Auswahl einer Sicherheitsstufe passend zur jeweiligen Schutzklasse zur Anwendung kommen.

Datenvernichtung im eigenen Unternehmen

Wenn Sie selbst in Ihrem Unternehmen Daten löschen oder Datenträger vernichten, müssen Sie sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden.

Datenvernichtung durch Dritte im Auftrag

Die meisten Unternehmen beauftragen auf Datenvernichtung spezialisierte gewerbliche Unternehmen mit der Datenträgervernichtung. Auch für diese Fälle gibt es genaue Vorschriften:

  • Sie müs­sen den Auf­trag zur Auf­trags­ver­ar­bei­tung schrift­lich oder in einem elek­tro­ni­schen For­mat er­tei­len.
  • Der Auf­trag muss An­ga­ben dar­über ent­hal­ten,
    • wel­cher Art die Daten oder Da­ten­trä­ger sind und wie die Schutz­be­dürf­tig­keit der Daten (-> Schutz­klas­se) ein­ge­stuft wird,
    • auf wel­che Weise die Ver­nich­tung er­fol­gen muss,
    • wo die Da­ten­trä­ger ver­nich­tet wer­den,
    • von wem die Da­ten­trä­ger ab­ge­holt und wie sie trans­por­tiert wer­den,
    • wo die Da­ten­trä­ger bis zur Ver­nich­tung auf­be­wahrt wer­den,
    • bis wann die Da­ten­trä­ger ver­nich­tet sein müs­sen,
    • wie die Haf­tungs­re­ge­lung ver­ein­bart wird,
    • in wel­cher Art und Form Be­schei­ni­gun­gen bei Ab­ho­lung und Ver­nich­tung er­stellt wer­den,
    • dass das vom Auf­trags­ver­ar­bei­ter ein­ge­setz­te Per­so­nal auf das Da­ten­ge­heim­nis ver­pflich­tet wird,
    • ob der Auf­trag­neh­mer an­de­re Un­ter­neh­men bei der Ver­nich­tung ein­schal­ten darf und
    • dass Sie als Auf­trag­ge­ber be­rech­tigt sind, Trans­port und Ver­nich­tung zu über­wa­chen.
  • Sie als Auf­trag­ge­ber be­zie­hungs­wei­se die oder der Da­ten­schutz­be­auf­trag­te in Ihrem Un­ter­neh­men müs­sen sich davon über­zeu­gen, dass der Auf­trag­neh­mer die im Ver­trag fest­ge­hal­te­nen Maß­nah­men ein­hält. Auch wenn Sie re­gel­mä­ßig dem­sel­ben Da­ten­ver­nich­ter Ihre Da­ten­trä­ger zur Ver­nich­tung über­las­sen, soll­ten Sie daher stich­pro­ben­ar­tig die Ein­hal­tung der Maß­nah­men über­prü­fen.

Achtung: Bis zum Abschluss der Vernichtung der Datenträger sind Sie als Auftraggeber für die Einhaltung der Datenschutzanforderungen verantwortlich.

Pflichten der datenvernichtenden Unternehmen

Wenn Sie in Ihrem Unternehmen gewerbliche Datenträgervernichtung betreiben, müssen Sie technische und organisatorische Maßnahmen treffen, um eine sichere Verarbeitung der Daten zu gewährleisten. Zusätzlich sind vor allem die folgenden Punkte unerlässlich:

  1. Do­ku­men­ta­ti­on des Ver­nich­tungs­pro­zes­ses
    Es gilt, die Do­ku­men­ta­ti­ons­pflicht über sämt­li­che Auf­trags­ver­hält­nis­se zu er­fül­len. Ge­ge­be­nen­falls ist eine auf­trags­be­zo­ge­ne Do­ku­men­ta­ti­on zu er­stel­len.
  2. Die bei der Da­ten­ver­ar­bei­tung be­schäf­tig­ten Mit­ar­bei­ten­den sind auf das Da­ten­ge­heim­nis zu ver­pflich­ten be­zie­hungs­wei­se hin­zu­wei­sen. Es sind nur Mit­ar­bei­ter mit der Da­ten­ver­ar­bei­tung zu be­trau­en, die sich ver­pflich­tet haben, das Da­ten­schutz­recht ein­zu­hal­ten. Es ist zu ge­währ­leis­ten, dass an­de­re Per­so­nen keine Kennt­nis über die zu lö­schen­den Daten er­hal­ten.
  3. Es dür­fen keine wei­te­ren Auf­trags­ver­ar­bei­ter ohne schrift­li­che Ge­neh­mi­gung des Ver­ant­wort­li­chen in An­spruch ge­nom­men wer­den. Bei einer all­ge­mei­nen schrift­li­chen Ge­neh­mi­gung muss der Ver­ant­wort­li­che über jede Än­de­rung dies­be­züg­lich in­for­miert wer­den. Da­durch er­hält der Auf­trag­ge­ber die Mög­lich­keit die­ser Än­de­rung zu wi­der­spre­chen. Der Auf­trags­ver­ar­bei­ter haf­tet für die Ein­hal­tung der Da­ten­schutz­pflich­ten des/der wei­te­ren Auf­trags­ver­ar­bei­ter/s. Auf­trags­ver­ar­bei­ter kön­nen nach den Vor­schrif­ten der Auf­trags­ver­ar­bei­tung grund­sätz­lich so­wohl im EU-Raum wie auch in Dritt­län­dern tätig wer­den. Dabei sind ins­be­son­de­re die zu­sätz­li­chen An­for­de­run­gen an die Si­cher­stel­lung des Da­ten­schutz­ni­veaus beim Auf­trag­neh­mer nach Ka­pi­tel V der DS-GVO zu be­ach­ten. Das gilt auch bei einer Wei­ter­über­mitt­lung der per­so­nen­be­zo­ge­nen Daten durch die emp­fan­gen­de Stel­le im Dritt­land. Auf­trags­ver­ar­bei­ter, die keine Nie­der­las­sung in der Eu­ro­päi­schen Union haben, müs­sen hier einen Ver­tre­ter be­stel­len.
  4. Dem Ver­ant­wort­li­chen sind alle er­for­der­li­chen In­for­ma­tio­nen zum Nach­weis der Ein­hal­tung der DS-GVO zur Ver­fü­gung zu stel­len. Über­prü­fun­gen und In­spek­tio­nen durch den Ver­ant­wort­li­chen, oder einem von die­sem be­auf­trag­ten Prü­fer, sind zu er­mög­li­chen und dazu bei­zu­tra­gen. Der Auf­trags­ver­ar­bei­ter in­for­miert den Ver­ant­wort­li­chen un­ver­züg­lich, falls er der Auf­fas­sung ist, dass eine Wei­sung gegen die DS-GVO ver­stößt.
  5. Wenn dem Auf­trags­ver­ar­bei­ter eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten be­kannt wird, mel­det er diese un­ver­züg­lich dem Ver­ant­wort­li­chen. Eine Do­ku­men­ta­ti­on des Pro­zes­ses im Falle einer Da­ten­schutz­ver­let­zung ist er­for­der­lich.

Der Auftragsverarbeiter unterstützt nach Möglichkeit den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DS-GVO genannten Pflichten. Die Einhaltung genehmigter Verhaltensregeln („Code of Conduct“) oder eine Zertifizierung nach Artikel 42 DS-GVO kann als Faktor herangezogen werden, um hinreichende Garantien für die Einhaltung der in der DS-GVO genannten Pflichten nachzuweisen. In der Regel müssen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten für Ihr Unternehmen bestellen.

Hinweise:

  • Ein Auf­trags­ver­ar­bei­ter, der unter Ver­stoß gegen die DS-GVO die Zwe­cke und Mit­tel der Ver­ar­bei­tung selbst be­stimmt, gilt als Ver­ant­wort­li­cher und nicht mehr als Auf­trags­ver­ar­bei­ter.
  • Auf­trags­ver­ar­bei­ter und Ver­ant­wort­li­cher haf­ten künf­tig als Ge­samt­schuld­ner für die ma­te­ri­el­len und im­ma­te­ri­el­len Schä­den, die durch die il­le­ga­le Da­ten­ver­ar­bei­tung her­vor­ge­ru­fen wor­den sind. Der Be­trof­fe­ne hat nach Ar­ti­kel 79 DS-GVO ein di­rek­tes Kla­ge­recht gegen den Auf­trags­ver­ar­bei­ter. Die Ver­stö­ße gegen eine Reihe von Pflich­ten des Auf­trags­ver­ar­bei­ters sind nach Ar­ti­kel 83 Ab­satz 4 bis 6 DS-GVO buß­geld­be­wehrt.
  • Als mit der Ver­nich­tung von Daten Be­schäf­tig­te gel­ten alle Per­so­nen, die in ir­gend­ei­ner Form mit den zu ver­nich­ten­den Daten in Be­rüh­rung kom­men, also bei­spiels­wei­se auch Fah­re­rin­nen und Fah­rer, die die Da­ten­trä­ger trans­por­tie­ren oder Be­schäf­tig­te, die die Da­ten­trä­ger bis zur Ver­nich­tung ein­la­gern.

Frei­ga­be­ver­merk

Dieser Text entstand in enger Zusammenarbeit mit den fachlich zuständigen Stellen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit hat ihn am 18.03.2019 freigegeben.