Die Datenschutz-Grundverordnung (DSGVO)

Inhalt:

• Die Datenschutz-Grundverordnung
• Änderungen bei der Aktenvernichtung durch die DSGVO
• Vorgaben für den Datenbesitzer / Aktenvernichtungsdienstleister durch die DSGVO
• Vorgehensweise zur Überprüfung Ihrer aktuellen Situation
• DSGVO konforme Aktenvernichtung mit ROHPROG

Die EU-Datenschutz-Grundverordnung (EUDSGVO)

Im April 2016 verabschiedete das EU-Parlament die Verordnung 2016/679. Sie ist eine Vereinheitlichung der Datenschutzregularien innerhalb der EU-Mitgliedsstaaten. Nach einer zweijährigen Übergangsfrist gilt diese Verordnung ab dem 25.05.2018 in allen Mitgliedsstaaten unmittelbar und verpflichtend.

Die DS-GVO ist direkt geltendes Recht und bedarf keiner Umsetzung in nationales Recht. Die Vorgaben sind zwingend einzuhalten und die darin definierten Rechte und Pflichten können nicht eingeschränkt oder ausgeschlossen werden. Nationale gesetzliche Regelungen gelten nur noch insoweit diese nicht der DSGVO widersprechen.

Die DSGVO zwingt alle in der EU tätigen Unternehmen, ein komplexes Datenschutz-Managementsystem aufzubauen und mit Leben zu füllen. Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten und ausdrücklich nur zulässig, wenn die DSGVO dies gestattet (Verbot mit Erlaubnisvorbehalt).

Hierbei ist auch die Aktenvernichtung neu zu beurteilen.

Änderungen bei der Aktenvernichtung durch die DSGVO

Die DSGVO regelt nicht nur die Datenerhebung, -speicherung, -nutzung und -verarbeitung, sondern auch das Löschen der Daten.

Hier wurden neue Vorgaben im Vergleich zum Bundesdatenschutzgesetz definiert, als auch die Einhaltung der bereits vorher in Deutschland gültigen Regelungen mit drastischen Strafen (bis 20 Mio. Euro) versehen. Jeder Datenbesitzer muss sich daher neu mit der Aktenvernichtung in seinem Betrieb auseinandersetzen und das aktuelle Vorgehen mit der DSGVO abgleichen.

Die DSGVO gibt den Betroffenen in Art. 17 sogar ein explizites Recht auf Löschung bzw. ein „Recht auf Vergessenwerden“. Die Aktenvernichtung wird zu einer strafbewährten Pflicht jedes Datenbesitzers.

Vorgaben für den Datenbesitzer und den Aktenvernichtungsdienstleister durch die DSGVO:

• Datenbesitzer und Aktenvernichtungsbetrieb müssen dem Risiko angemessene Schutzmaßnahmen treffen. (Art. 32 DSGVO)
• Geeignete technische und organisatorische Maßnahmen sind zu definieren, die den kompletten Prozess von der Übernahme der Daten bis hin zur Löschung eindeutig und mit ausreichendem Schutzniveau abbilden. (Art. 32 DSGVO)
• Kontrollpflicht für den Auftraggeber (Art. 32 DSGVO)
• Alle Beteiligten im Prozess der Aktenvernichtung / Datenlöschung müssen auf das Datengeheimnis verpflichtet sein. (Art. 28 DSGVO)
• Alle Beteiligten im Prozess sind verantwortlich im Sinne der DSGVO und bleiben dies bis zur abschließenden Löschung der Daten (Art. 82 DSGVO)
• Auch persönliche Haftung der handelnden Personen (Art. 83 DSGVO)
• Auftraggeber dürfen nach Art. 28 nur mit Auftragsverarbeitern / Aktenvernichtungsbetrieben zusammenarbeiten, die ausreichend Garantien dafür bieten, dass technische und organisatorische Maßnahmen gesetzeskonform umgesetzt werden. (Art. 28 DS-GVO)
• Beweislastumkehr zu Lasten von Auftraggeber und Aktenvernichtungsbetrieb. (Art. 82 DSGVO)
• Schadensersatzpflicht des Auftragsverarbeiters nur bei Zuwiderhandlung gegen Auftragnehmerpflichten oder Weisung des Auftraggebers. (Art. 82 DSGVO)
• Geldbußen bis 20 Mio. Euro oder 4% des gesamten weltweiten Gruppenumsatzes, abhängig von der Art des Verstoßes (Art. 83 DSGVO)
• Vertragspflicht in der Aktenvernichtung mit expliziter Definition der technischen und organisatorischen Maßnahmen. (Art. 28 DSGVO)
• Umsetzung von „Stand der Technik“ (Art. 25 DS-GVO). Dem entspricht in der Akten-und Datenträgervernichtung die DIN 66399.

Vorgehensweise zur Überprüfung Ihrer aktuellen Situation:

• Ermitteln Sie alle Dokumente, die personenbezogene Daten enthalten.
• Klassifizieren Sie diese Dokumente nach deren Materialart (also Papier, Festplatten, CD´s, usw. ➔ PFOTHE nach DIN 66399).
• Legen Sie fest, welche Materialarten Sie als Gemisch sammeln wollen.
• Klassifizieren Sie alle Dokumente nach deren Schutzbedarf (normal, hoch, sehr hoch ➔ Schutzklassen gem. DIN 66399).
• Definieren Sie die notwendige Zerkleinerungsstufe je Materialart und Materialgemisch (➔ Sicherheitsstufen je Materialart gem. DIN 66399)
• Fassen Sie – soweit sinnvoll – unterschiedliche Dokumenttypen zu einheitlichen Schutzklassen und Sicherheitsstufen zusammen
• Definieren Sie geeignete Sammelbehältnisse für die vertraulichen Unterlagen (dezentral über Alu-Datenschutzbehälter oder zentral über z.B. Presscontainer bei großem Anfall).
• Definieren Sie Sammelorte für die Datenschutzbehälter. Achten Sie hierbei darauf, dass die Behälter bei der Abholung nicht über Stufen transportiert werden müssen, da diese inklusive Befüllung durch die Schwere evtl. Schäden verursachen könnten.
• Wählen Sie einen geeigneten externen Dienstleister aus:
  1. Liegt ein Zertifikat nach DIN 66399 vor und sind dort die notwendigen Schutzklassen und Sicherheitsstufen auch abgebildet?
  2. Lassen Sie sich auch sonstige Zertifikate vorlegen (Entsorgungsfachbetrieb, Qualitäts- und Umweltmanagement, …)
  3. Bei Datenträgervernichtung (elektronische Komponenten):
     Ist der Betrieb Erstbehandlungsanlage gem. ElektroG?
     Liegt hierfür auch ein Zertifikat vor?
  4. Gleichen Sie die technischen und organisatorischen Maßnahmen (TOMs) des Dienstleisters mit Ihren ab.
  5. Besuchen Sie den Dienstleister und machen Sie sich persönlich ein Bild.
  6. Lassen Sie sich den zu unterzeichnenden Vertrag zeigen.
     Bildet der die Vorgaben der DS-GVO ab?
     Verweist der Vertrag auf die DIN 66399 mit den entsprechenden Schutzklassen und materialspezifischen Sicherheitsstufen?
• Lassen Sie sich jährlich von Ihrem Dienstleister bestätigen, dass sich an den vereinbarten TOMs nichts geändert hat bzw. lassen Sie sich die Änderungen schriftlich benennen.
• Lassen Sie sich bei jeder Abholung ein Übernahmeprotokoll aushändigen
• Lassen Sie sich nach erbrachter Vernichtung eine Vernichtungsbestätigung geben, worin die Schutzklasse und die materialspezifische Sicherheitsstufe benannt ist.