Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© Tim Gouw, Unsplash
Aufgeräumt ins neue Jahr: Was Sie bei der Ablage beachten sollten
Das neue Jahr hat begonnen und Ihre Ablage ist das reinste Chaos? Nutzen Sie die noch ruhige Zeit und räumen Sie auf. So starten Sie optimal ins neue Jahr und sind perfekt vorbereitet. Doch manchmal ist es komplizierter als gedacht, sich um die Ablage zu kümmern. Sie haben Fehldrucke mit Daten von Kund:innen? Oder einen Geschäftsbrief von vor fünf Jahren? Daten dürfen nicht ewig aufbewahrt werden. Doch wie lange eigentlich? Und wie werden personenbezogene Daten ordnungsgemäß entsorgt? Wir zeigen Ihnen, wie Sie sich organisieren können und was Sie bei der Ablage beachten müssen.
Löschkonzept: Alles eine Frage der Organisation
Insgesamt empfiehlt es sich, für solche Fälle ein Löschkonzept zu entwickeln. Das hilft Ihnen und allen anderen Mitarbeitenden bei Fragen rund um Aufbewahrungsfristen, Entsorgungsarten und Zuständigkeiten. Mit einem Löschkonzept müssen Mitarbeitende nicht jedes Mal ihre Vorgesetzen oder Datenschutzbeauftragten zu Rate ziehen, sondern können eigenständig handeln. Das erleichtert die Arbeit für alle.
Bei der Erstellung eines Löschkonzepts sollte auch ganz am Anfang begonnen werden. Machen Sie sich eine Liste mit sämtlichen Datenkategorien, also Gehaltsabrechnungen, Bestellscheine etc. Dabei hilft eine Übersicht über die in Ihrem Unternehmen genutzten Datenträger und die darauf gespeicherten Daten. Datenträger können von einem Blatt Papier zu einer CD, einem USB-Stick oder einem Mitarbeitendenausweis alles sein, auf dem personenbezogene Daten – egal, welcher Art – gespeichert werden können. Anschließend legen Sie anhand der Schutz- und Vertraulichkeitsbedürfnisse der Daten die Schutzstufe fest. Diese gibt die zu wählende Löschmethode vor.
Zusätzlich sollte das Löschkonzept beinhalten, ob Daten intern oder durch externe Dienstleister vernichtet werden, wer für die Daten verantwortlich ist und welche Geräte bzw. Verfahren verwendet werden. Bei einer Vernichtung durch einen externen Dienstleister sollten Sie darauf achten, dass es einen schriftlichen Vertrag mit Verschwiegenheitsklausel sowie einen Auftragsverarbeitungsvertrag gibt. Außerdem sollten Zutritts- und Zugangsmaßnahmen sowie potentiell der Transport der Daten geregelt und gesichert sein. Zusätzlich sollten Sie Mitarbeitende schriftlich zur Verschwiegenheit verpflichten. Auch Kontrollmaßnahmen und deren Dokumentation sind Teil eines Löschkonzepts.
Tipp:
Geben Sie bei den Verantwortlichkeiten im Löschkonzept eine Rolle und keinen tatsächlichen Namen an, damit Sie Ihr Konzept nicht am laufenden Band überarbeiten müssen.
Zusammengefasst sollte ein Löschkonzept also die folgenden Fragen beantworten: Welche Daten auf welchen Datenträgern werden wann wie wo und von wem gelöscht? Wie erfolgt eine Sicherung und wie wird dokumentiert? Ziel muss stehts ein gleichbleibend hohes Sicherheitsniveau in allen Phasen sein. Dafür sollten Sie Ihr Löschkonzept regelmäßig an das bestehende Recht sowie Ihre innere Organisation anpassen und aktuell halten. Zusätzlich ist es wichtig, das Konzept angemessen zu kommunizieren und die Mitarbeitenden zu dem Thema zu sensibilisieren und zu unterrichten. Hier bieten sich Schulungen beispielsweise an.
Aufbewahrungsfristen: Was darf wann weg?
Daten dürfen nicht ewig aufbewahrt werden. Denn: Personen haben ein Recht auf Vergessenwerden. Daher gilt, dass Daten nur so lange aufbewahrt werden dürfen, wie sie zur Erfüllung ihres Erhebungszwecks nötig sind. Das kann je nach Daten sehr unterschiedlich ausfallen. Allerdings gibt es für einige Daten gesetzliche Aufbewahrungsfristen oder Sie haben ein eigenes berechtigtes Interesse die Daten länger aufzubewahren – beispielsweise für den Fall eines Rechtsstreits – doch auch hier gibt es Grenzen.
In der Regel müssen Geschäftsunterlagen sechs oder zehn Jahre aufbewahrt werden. Beispielsweise bei Bestell- und Auftragsunterlagen oder Frachtbriefen sind es nur sechs Jahre.
Hier finden Sie eine Übersicht, welche Unterlagen, wie lange aufbewahrt werden müssen. Für die Richtigkeit der Angaben übernehmen wir keine Haftung.
Zusätzlich können personenbezogene Daten für wissenschaftliche und historische Forschungszwecke sowie für statistische Zwecke oder zur Archivzwecken im öffentlichen Interesse länger gespeichert werden.
Aufräumen: Wie sie richtig löschen und entsorgen
Werden personenbezogene Daten nicht ordnungsgemäß gelöscht bzw. entsorgt, können hohe Bußgelder drohen. So dürfen diese beispielsweise nicht einfach im Hausmüll landen. Wie sonst? In der DSGVO ist nicht geregelt, wie Daten zu löschen sind. Dafür gibt es die DIN-Norm 66399. Hier werden Schutzklassen und die entsprechende Entsorgung genauer spezifiziert.
Löschung wird meist so verstanden, dass gespeicherte personenbezogene Daten unkenntlich werden. Die Reproduktion dieser Daten muss dabei unmöglich bzw. weitgehend erschwert werden. Eine Datenlöschung kann auch durch die Vernichtung des Datenträgers erfolgen. Dabei müssen die Maßnahmen stets im Verhältnis zur Schutzbedürftigkeit der Daten stehen. Die europäische Norm EN15713 schreibt hier drei Schutzklassen von normal für etwa Notizen über hoch für Personaldaten bis zu sehr hoch für Daten, die bei Bekanntwerden eine Gefahr für Leib und Leben einer Person bzw. existenzbedrohende Auswirkungen bedeuten würden. Zusätzlich gibt es sieben verschiedene Sicherheitsstufen, die den jeweiligen Klassen zugeordnet sind und die jeweilige Löschweise näher spezifizieren.
Wir empfehlen, personenbezogene Daten immer mindestens der vierten Sicherheitsstufe zuzuordnen. Die zur Vernichtung verwendeten Geräte – meistens Aktenvernichter – müssen der Norm entsprechend gekennzeichnet sein.
Tipp:
Sollten Sie die Daten im Homeoffice nicht ordnungsgemäß vernichten können, bringen Sie die Datenträger zurück zur Arbeit. Sie können anschließend im Unternehmen vernichtet werden.
Spätestens ab der fünften Sicherheitsstufe müssen Cross Cutter eingesetzt werden. Allerdings schadet es nicht, hier auf Nummer sicher zu gehen und derartige Geräte bereits für geringere Sicherheitsstufen einzusetzen. Gerade bei geringen Durchsatzmengen zu löschender Daten kann eine höhere Sicherheitsstufe erforderlich sein, da die Daten leichter reproduziert werden können. Je nach Datenträger reicht ein simples Schreddern allerdings nicht. Bei Festplatten beispielsweise empfiehlt es sich, die Daten vorher mehrfach zu überschreiben und CDs können gut durch Schmelzen vernichtet werden. Vernichten Sie Daten mit unterschiedlichen Schutzstufen gemeinsam, sollten Sie immer die jeweils höchste Stufe wählen.
Beim Aufräumen gibt es also viel zu beachten. Ein Löschkonzept macht Ihr Leben hier deutlich einfacher. Auch im Homeoffice sollten Sie sich an die Vorgaben halten, um Bußgelder zu vermeiden. Achten Sie beim Aufräumen also darauf, welche Art von Daten mit welcher Sicherheitsklasse Sie vernichten wollen. Wir wünschen: Einen guten Start ins neue Jahr und viel Spaß beim Schreddern!
Quellen
Auer-Reisdorff, Astrid Dr. und Isabell Conrad (2019): „Handbuch IT- und Datenschutzrecht“, 3. Auflage, C.H. Beck, S. 419f.
Der Bayerische Landesbeauftragte für den Datenschutz (2014): „Der Bayerische Landesbeauftragte für den Datenschutz informiert zum Thema Datenträgerentsorgung – Orientierungshilfe“, 14. Februar 2014.
Reisswolf (2020): „Übersicht der relevanten Aufbewahrungsfristen 2020“, https://www.reisswolf.com/fileadmin/reisswolf-com/Dokumente/DE/Datenbl%C3%A4tter%20etc/Aufbewahrungsfristen_REISSWOLF_2020_MK_052-004-08-2019.pdf, letzter Zugriff am 23. Dezember 2020.
Externer Datenschutz – Datenschutz und Datensicherheit – Datenschutzschulungen
Impressum | Datenschutzerklärung