Die DSGVO auch Datenschutz-Grundverordnung wurde erstmals im Jahr 2016 veröffentlicht. Enthalten sind Bestimmungen zur Verarbeitung von personenbezogenen Daten. Was genau darunter verstanden wird, kann dem Gesetz entnommen werden. Das Ziel der DSGVO ist es, eine Vereinheitlichung des Datenschutzrechts zu schaffen. Seit der Einführung ergeben sich für viele Unternehmer Fragen zur Anwendung. Die Aktenvernichtung unterliegt der DSGVO, wenn personenbezogene Daten enthalten sind. Doch was genau bedeutet das für Unternehmen und worauf muss geachtet werden?
Unterschiedliche Sicherheitsstufen für Akten
Fallen Akten unter die DSGVO, sind personenbezogene Daten im Spiel. Das können beispielsweise Namen von Kunden oder Bankdaten und Adressen sein. Gesprochen wird von einer Sicherheitsstufe von mindestens drei. Möchte ein Unternehmen beispielsweise Personaldaten vernichten, wird von Stufe drei gesprochen. Sind es dagegen Kanzleidaten oder ähnliches wird die Sicherheitsstufe vier erreicht. Das ist wichtig zu wissen, denn kleine Schredder sind nur für Dokumente der Sicherheitsstufe eins oder zwei ausgelegt. Akten mit Personaldaten dürfen demnach nicht in einem üblichen Schredder vernichtet werden. Der Grund liegt darin, dass die Partikel recht groß sind und keine ausreichende Sicherheit geboten ist.
Bestimmte Partikelgrößen dürfen nicht überschritten werden
Eine Aktenvernichtung im Sinne des Gesetzes erfolgt je nach Akte in sieben Stufen. Allgemeine Akten, die für interne Zwecke bestimmt sind, aber nichts Vertrauliches enthalten, können bedenkenlos geschreddert werden. Sobald vertrauliche Daten im Spiel sind wie Daten von Bewerbungsunterlagen, darf der Partikel nicht größer als vier Millimeter Breite auf 60 Millimeter Länge haben. Für die Sicherheitsstufe vier, bei geheim zuhaltenden Akten, sind maximal zwei Millimeter Breite und 15 Millimeter Länge pro Partikel einzuhalten. Die Akten dürfen selbst vernichtet werden, wenn entsprechende Vorkehrungen getroffen werden. Es gibt Schredder, die auf die Stufe drei und vier oder höher ausgelegt sind.
Datenschutzbeauftragte bei der Aktenvernichtung einbeziehen
Für Unternehmen mit vielen Akten, die vernichtet werden sollen, wird empfohlen, eine Aktenvernichtungs-Firma zu beauftragen. Diese kümmert sich um die Entsorgung wie etwa die Aktenvernichtung in Ludwigshafen. Grundsätzlich sollte immer ein Datenschutzbeauftragter kontaktiert werden. Große Unternehmen haben einen Datenschutzbeauftragten, der sich mit diesen Fragestellungen auseinandersetzt. Wird vorher besprochen, wie die Akten vernichtet werden, können Probleme vermieden werden. Die Aktenvernichtung, für elektronische Datenträger ist gleichermaßen von den Regelungen der DSGVO betroffen. Hier gilt die DIN 66399. Die Sicherheitsstufen gelten auch für elektronische Datenträger und ein Datenschutzbeauftragter sollte bei Daten mit personenbezogenen Daten hinzugezogen werden.
Bestimmungen der DSGVO zur Aufbewahrung von Daten
Wichtige Änderungen durch die DSGVO haben sich auch für die Aufbewahrung von Daten ergeben. Wie in Artikel 5 Absatz 1 b DSGVO beschrieben wird, dürfen personenbezogene Daten nur verarbeitet und gespeichert werden, bis der Zweck erfüllt wurde. Das bedeutet im Beispiel von Bewerbungsunterlagen, sobald eine Einstellung erreicht wurde, müssen die Daten von weiteren Bewerbern vernichtet werden. Dieser Grundsatz wird als Löschzwang durch die DSGVO bezeichnet. Löschung bedeutet in diesem Fall, dass die Daten unkenntlich gemacht werden müssen. Je nach Medium kann das unterschiedliche Formen annehmen.
Ein passendes Löschkonzept berücksichtigt Aufbewahrungspflichten
Im Unternehmen muss festgelegt werden, wie ein Löschkonzept aussehen kann. Dabei wird festgelegt, weshalb Daten ursprünglich gesammelt und gespeichert wurden. Beispielsweise werden Daten von Bewerbern gesammelt, mit dem Zweck, eine Stelle zu besetzen. Weiter ist zu bestimmen, ob es eine gesetzliche Aufbewahrungspflicht gibt. Im Beispiel der Bewerberdaten gibt es keine. Gibt es eine Aufbewahrungspflicht, soll diese zwingend eingehalten werden. Sobald die Frist abläuft, müssen die Akten vernichtet werden. Solche Löschpflichten müssen laufend geprüft werden. Grundsätzlich läuft eine Aufbewahrungsfrist aus, wenn ein Vertrag erfüllt wurde und endet.