Datenschutzverletzungen können nicht nur durch digitale Unachtsamkeit passieren, sondern auch durch falsch entsorgte Papiere. Bei Datensicherheit sollte man daher nicht nur an ein sicheres Passwort denken, sondern auch an einen Schredder. Bevor Dokumente im Papiermüll landen, müssen sie erst zerkleinert sein. Datenschutz beginnt am Papierkorb, nicht in der Cloud. Wer Unterlagen nicht richtig vernichtet, riskiert mehr als nur Geldstrafen. Dieser Artikel geht auf die Risiken ein und gibt Tipps, zur einfachen Risikoreduzierung.
Autor: Thomas W. Frick (LinkedIn-Profil / Xing-Profil)
In Deutschland und der EU gelten weitaus strengere Datenschutzvorgaben als in vielen anderen Ländern. Was Verbraucher freut und in der Sache sicherlich richtig ist, führt auf Seiten der Unternehmen dennoch zu einem gewissen Mehraufwand. Während dieser Aufwand zwar relativ leicht zu meistern ist, sind es allen voran die gesetzlichen Anforderungen, die eine eigene Herausforderung bilden.
Warum gilt der Datenschutz nicht nur im digitalen Raum?
Während die DSGVO noch relativ jung ist, gibt es das Bundesdatenschutzgesetz schon lange bevor es einen digitalen Raum gab. Seit dem Jahr 1977 gelten konkrete Anforderungen, die sich über die Jahrzehnte natürlich kontinuierlich weiterentwickelten, welche strikt einzuhalten sind. Die Datensicherheit beginnt daher schon beim Schreddern. Das Schreddern ist zwar in der Summe, seit viele Dokumente nur noch digital existieren, etwas weniger geworden, die Anforderungen sind aber nach wie vor strikt.
Personenbezogene Daten dürfen selbstverständlich nicht einfach in den normalen Müll. So viel dürfte den allermeisten Unternehmen bereits klar sein, denn sowohl das BDSG als auch die DSGVO verpflichten zunächst zu einer sicheren Aufbewahrung, anschließend zu einer ebenso sicheren Vernichtung. Wer dem nicht nachkommt, muss mit empfindlichen Bußgeldern ebenso wie Reputationsverlusten rechnen.
Wie werden Akten korrekt vernichtet?
Ein kleines Schreddergerät mag für die Dokumente, die sich in einem Privathaushalt befinden, durchaus genügen. Unternehmen haben aber nicht nur weitaus mehr Akten zu vernichten, sondern müssen auch die jeweiligen Sicherheitsstufen einhalten. Davon gibt es nach der DIN 66399 sieben an der Zahl, die von P-1 bis hin zu P-7 reichen.
Hinweis: Je nach Sicherheitsstufe ist es also nicht einmal datenschutzkonform, wenn die Unterlagen einfach in Eigenregie geschreddert werden.
An dieser Stelle kommen dann pprofessionelle, externe Dienstleister zur Aktenvernichtung ins Spiel. Diese folgen strikt den Auflagen nach der DSGVO sowie der schon erwähnten DIN 66399 und stellen nach der Vernichtung auch einen entsprechenden Vernichtungsnachweis aus. Dieser wiederum dient den Unternehmen als Nachweis dafür, dass sie sensible Dokumente gemäß den gesetzlichen Auflagen entsorgten.
Derartige externe Dienstleister haben hinsichtlich des zu schreddernden Volumens normalerweise keine Grenzen. Selbst ganze Archivräume lassen sich so datenschutzkonform bereinigen. Das ist auch deshalb wichtig, weil die EU aktuell an einer weiteren Verschärfung der DSGVO arbeitet.
Tipp zur Kostenkontrolle: Im Rahmen unserer Recherchen konnten wir Informationen zur Transparenz und Kostenkontrolle bei der Aktenvernichtung, z.B. den Kostenfaktor Containerstandzeit, bei diesem externen Dienstleister zur Aktenvernichtung finden.
Wie sieht die praktische Umsetzung im Alltag aus?
Zunächst einmal gilt es, die eigenen Mitarbeitenden für die korrekte Umsetzung zu sensibilisieren. Natürlich ist vielen Mitarbeitenden längst bewusst, dass solche Unterlagen nicht irgendwie entsorgt werden dürfen. Aber die Lücken, die die jeweiligen Sicherheitsstufen betreffen, sind oftmals groß. Anschließend müssen Unternehmen klare interne Regeln und Prozesse schaffen, mitunter auch nach dem 4-Augen-Prinzip. Verantwortlichkeiten sollten von Beginn an klar zugewiesen werden, fest im Unternehmen eingerichtete Sammelstellen schaffen Übersicht.
Bis zur eigentlichen Vernichtung sind die Unterlagen in abschließbaren Behältern mit einem eingeschränkten Zugang aufzubewahren. Dadurch kommen andere Mitarbeitende nicht versehentlich in Kontakt mit sensiblen Unterlagen. Transparenz und Nachweisbarkeit sind essenziell. Sollte es zu Rückfragen seitens der behördlichen Stellen kommen, müssen Unternehmen jederzeit in der Lage sein, die Art und den Zeitpunkt der Vernichtung einwandfrei nachzuweisen.
Tipp: Auch digitale Datenträger und Computer müssen professionell entsorgt werden. Hierfür haben wir einen Artikel auf unserem IT-Portal veröffentlicht, siehe: Sichere IT-Datenvernichtung.
Auf dem Laufenden bleiben
Mit einer Anti-Spam-Garantie und dem kostenlosen Informationsservice informieren wir dich, gemäß deiner Themenauswahl kompakt über weitere Tipps. Einfach hier deine Interessen und Themen aus: https://existenzpower.de/infoservice/
