Aktenvernichtung gemäß der DSGVO

Seitdem die Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist, müssen personenbezogenen Daten nach entsprechenden Sicherheitsmaßnahmen vernichtet werden. Diese Vorschrift gilt sowohl für digitale als auch für Daten auf analogen Datenträgern, wie beispielsweise Papier.

Die DSGVO gilt seit Mai 2018 in der EU und hat das Ziel, die personenbezogenen Daten von Kunden und Mitarbeitern zu schützen.

Die DSGVO ist besonderes im Onlinebereich bekannt, gilt jedoch ebenso für Daten, welche nicht digital, sondern analog verarbeitet werden. Daher müssen auch Papierunterlagen mit Rücksicht auf personenbezogene Daten vertraulich behandelt und ggf. sicher vernichtet werden. Besondere Vorsicht ist bei der Vernichtung von sehr sensiblen personenbezogenen Daten vorgeschrieben, wie beispielsweise Patientenakten oder Unterlangen von Rechtsanwälten.

Sicherheitsstufen nach der DSGVO

Es gibt Vorschriften, wie die Vernichtung der Datensätze zu erfolgen hat, welche durch Schutzbedarf der zu vernichtenden Daten bestimmt werden. Die Schutzklassen unterscheiden sich darin, wie viel Aufwand nötig wärediese Daten wiederherzustellen.

Welche Sicherheitsstufe bei der Aktenvernichtung einzuhalten ist, ergibt sich aus der Zuordnung in eine der drei Schutzklassen:

- Schutzklasse 1

Der Schutzbedarf der Daten ist als normal einzustufen.

Negative Auswirkungen wären bei unzulässiger Veröffentlichung nur in geringem Maße zu befürchten (z. B. allgemeine Korrespondenz, Notizen, personalisierte Werbung).

- Schutzklasse 2

Es besteht ein erhöhter Schutzbedarf.

Betroffen sind nur wenige, zugängliche, vertrauliche Informationen, die in besonderem Maße durch den Datenschutz erfasst sind (z. B. Bewerber- und Personaldaten).

- Schutzklasse 3

Der Schutzbedarf ist besonders hoch.

Das unbefugte Veröffentlichen der betroffenen Informationen wäre für das Unternehmen existenzbedrohend (z. B. Patientendaten, Verschlusssachen, Mandanteninformationen).

Zudem wäre es ein Verstoß gegen besondere Berufsgeheimnisse, daher kann der Vorfall möglicherweise strafrechtlich relevant sein kann.

Sind einfache Aktenvernichter datenschutzkonform?

Möchte man die Einhaltung des Datenschutzes bei der Aktenvernichtung sensibler Informationen gewährleisten, sollte man beim Kauf eines Aktenvernichters unbedingt darauf achten, welcher Sicherheitsstufe dieser entspricht. In den meisten Fällen sind die einfachen Kleingeräte eher auf die geringeren Stufen 1 und 2 ausgelegt (Streifen und große Partikel). Wenn man personenbezogene Daten vernichten möchtereichen diese aber leider nicht aus.

Vor allem Anwälte, Ärzte und Notare sowie andere, die einem besonderen Berufsgeheimnis verpflichtet sind, sollten aus diesem Grund auf die Dienste professioneller Anbieter setzen.

Professionelle Geräte bieten mit dem Datenschutz eine vereinbare sowie komplexe Aktenvernichtung. Diese Aktenvernichter kann man sich selbst zulegen, oder aber man mietet sie.

Hinzuziehen eines Datenschutzbeauftragten zur Aktenvernichtung

Laut dem Bundesdatenschutzgesetz (BDSG) ist jedes Unternehmen, bei dem mehr als neun Mitarbeiter mit personenbezogenen Daten in Kontakt kommen, dazu verpflichtet einen Datenschutzbeauftragten zu bestellen.

Je nachdem, wofür sich das Unternehmen endscheidet, kann es ein interner- oder externer Datenschutzbeauftragter sein. Dieser achtet vor allem auf die Einhaltung der Vorgaben aus dem BDSG und der DSGVO, aber auch auf weitere Bestimmungen, die durch besonders sensible Daten entstehen.

Besonders lohnt es sich, einen Datenschutzbeauftragten zu bestellen, wenn man ein kleineres Unternehmen besitzt. Denn für diese Art von Arbeit ist eingehende Kenntnis des BDSG und der DSGVO unbedingt notwendig. Er ist außerdem in der Lage sicherzustellen, dass Akten ordnungsgemäß vernichtet werden. Ferner muss er ebenso auf die Einhaltung der Prozesse der Aktenvernichtung achten.

Für Unternehmen, bei denen mitunter heute noch viel Schriftverkehr anfällt, oder wenn viele Akten plötzlich digitalisiert werden sollen, fällt von einem auf den anderen Tag eine Menge Müll an, der ordnungsgemäß entsorgt werden muss. Ist das der Fall, sollte man sich überlegen, ob die Unterstützung eines externen Dienstleisters, welcher auf Aktenvernichtung spezialisiert ist, nötig ist. Denn in Fällen wie diesen, kann der Datenschutzbeauftragte sicherstellen, dass auch hier alle vorgeschriebenen Prozesse eingehalten werden.

Wann darf man Dokumente vernichten?

Die Aufbewahrungsfristen von Dokumenten werden von verschiedenen Gesetzestexten geregelt. Unterlagen zur Buchhaltung müssen beispielsweise 10 Jahre aufbewahrt werden, geschäftliche Konzepte, Lohnunterlagen, steuerlich irrelevante Unterlagen etc. dürfen bereits nach sechs Jahren vernichtet werden.

Die Frist beginnt mit dem Kalenderjahr der Erstellung. Die Buchhaltungsdokumente für den September 2012 dürfen also bereits am 1. Januar 2022 vernichtet werden.

Wenn man die Lohnzahlungen nach sechs Jahren vernichtet, muss beachtet werden, dass es sich hierbei um personenbezogene Daten handelt, die nach Sicherheitsstufe 2 vernichtet werden müssen.

Akten vernichten: Aber nicht alle

Es wird unter Dokumenten mit Ablaufdatum und unter dauerhaft aufzubewahrende Akten unterschieden. Diese sollte man also klar voneinander trennen.

Einige geschäftliche Dokumente und auch wichtige Privatdokumente dürfen nicht weggegeben oder vernichtet werden. Dazu gehören unter anderem:

  • die Geburtsurkunde,
  • die Heiratsurkunde und das Familienbuch,
  • sämtliche Zeugnisse,
  • der Impfausweis.

Diese Dokumente müssen sicher aufbewahrt werden, damit man sie bei Bedarf schnell findet.

Kfz- und Werkstattrechnungen sowie die Versicherungsunterlagen kann man im gleichen Ordner einsortieren. Wenn es zu einem Schadensfall oder Diebstahl kommt, hat man die Rechnungen und anderen Dokumente gleich parat. Oft wird auch der gesamte Schriftverkehr von Privatpersonen mit ihren Versicherungen aufbewahrt, doch man braucht im Allgemeinen nur die Police und die eventuell vorhandenen Änderungsbescheide.

Die Zahlungsaufforderung wird möglicherweise für die persönliche Steuererklärung benötigt.