Datenschutzkonforme Entsorgung von Papierdokumenten

In einem Unternehmen werden tagtäglich unzählige Informationen verarbeitet, die irgendwann auch wieder zu löschen sind, aber wann und wie? In der heutigen Zeit geschieht dies meist digital. Aber auch Einrichtungen, in denen weiterhin bzw. parallel Dokumente in Papierform aufbewahrt werden, stehen vor der gleichen Herausforderung. Wie sieht nach Ablauf der Aufbewahrungsfrist die datenschutzkonforme Entsorgung von Daten und Papierdokumenten aus? Was gibt es hierbei zu beachten? Welche Normen sind einzuhalten?

Löschpflicht vs. Aufbewahrungspflicht und Aufbewahrungsinteresse

Datenschutzrechtlich gilt der Grundsatz, dass Daten, die ein Verantwortlicher nicht mehr braucht, unverzüglich zu löschen sind (siehe Art. 17 Abs. 1 lit. a) DSGVO). Dies entspricht dem Datenschutzgrundsatz der Speicherbegrenzung gem. Art. 5 Abs. 1 lit. e) DSGVO. Dem stehen einerseits die verschiedenen gesetzlichen Aufbewahrungspflichten (z. B. handels- und steuerrechtliche Aufbewahrungspflichten, Aufbewahrungspflichten für Patientenakten und Mandantenunterlagen etc.) entgegen, andererseits aber auch das eigene Aufbewahrungsinteresse, z. B. ein berechtigtes Beweissicherungsinteresse während der Dauer der Verjährungsfristen. Dennoch kommt irgendwann die Zeit, wenn Daten gelöscht werden sollen und müssen.

Diese Anforderungen, der Prozess und die Zuständigkeiten sollten in einem Löschkonzept dokumentiert werden (Art. 5 Abs. 2 DSGVO).

Personenbezogene Daten auf Papier

Personenbezogene Daten existieren auch in analoger Form auf Papier, Also findet die DSGVO auch bei Papierdokumenten Anwendung, sofern sich auf diesen personenbezogene Daten natürlicher Personen befinden (Art. 4 Nr. 1 DSGVO i. V. m. ErwG. 27) und diese in geordneter Form, in einem Ablagesystem (Dateisystem in der Gesetzessprache) verarbeitet (abgelegt) werden (sog. nicht-automatisierte Verarbeitung personenbezogener Daten nach Art. 2 Abs. 1 DSGVO).

Entsorgung der Papierdokumente

So wie bei dem digitalen Löschen von Daten sicherzustellen ist, dass ein Verantwortlicher die Daten vollständig und nicht wieder herstellbar löscht, so verhält es sich auch mit personenbezogenen Daten auf Papierdokumenten. Auch hier gibt es in Abhängigkeit zur Sensibilität der Daten einzuhaltende Vorschriften.

Kriterien für die Entsorgung

Bei der Entsorgung oder Vernichtung von personenbezogenen Daten auf Papierdokumenten sind verschiedene Kriterien zu beachten:

1)     Kategorien bzw. Arten der personenbezogenen Daten („normale“ oder sensible personenbezogene Daten gem. Art. 9 Abs 1 DSGVO oder/und Art. 10 DSGVO),

2)    vorhandene Mittel zur Vernichtung/Entsorgung,

3)    ggf. zu beschaffende Mittel zur Vernichtung/Entsorgung sowie

4)    Aufbewahrungsfristen.

Schutzbedarfskategorien

Der bei der Entsorgung von Papierdokumenten zu betreibende Aufwand richtet sich nach dem Schutzbedarf (auch: Schutzklasse) der zu vernichtenden Daten. Der Schutzbedarf lässt sich nach DIN 66399 in drei Schutzklassen von Schutzklasse 1 (normaler Schutzbedarf) über Schutzklasse 2 (hoher Schutzbedarf) bis Schutzklasse 3 (sehr hoher Schutzbedarf für besonders vertrauliche Unterlagen) einteilen.

Festlegung der Schutzbedarfskategorien (Schutzklassen)

Natürlich steht es einem Verantwortlichen frei, der Einfachheit halber die höchste Schutzbedarfskategorie für alle personenbezogenen Daten zu wählen. Daraus ergibt sich die höchste für die jeweilige Einrichtung anzuwendende Sicherheitsstufe (Maximumprinzip gemäß der IT-Grundschutz-Methodik). Er kann allerdings die Daten auch separat betrachten und in separate Schutzklassen einteilen. Daraus ergibt sich dann die jeweilige Sicherheitsstufe für jede Datenkategorie. Um die Einteilung vorzunehmen, ist es hilfreich, eine Risikoanalyse durchzuführen und die Ergebnisse zu dokumentieren.

Vorhandene und zu organisierende Mittel zur Vernichtung/Entsorgung

Hat ein Verantwortlicher erst einmal eine Risikoanalyse durchgeführt, um den Schutzbedarf festzulegen, muss er betrachten, wie er bei Bedarf die jeweiligen Papierdokumente entsorgen kann. Bei Bedarf bedeutet hier, die Daten zu vernichten, sobald es keine Rechtsgrundlage mehr zur Verarbeitung, beispielsweise zur Aufbewahrung, gibt. Die Optionen liegen hier bei der Nutzung eines Schredders mit der notwendigen Sicherheitsstufe oder dem Einsatz eines qualifizierten externen Dienstleistungsunternehmens.

Vernichtung mithilfe eines Schredders

Bei der Vernichtung personenbezogener Daten einer normalen Schutzklasse ist beispielsweise ein Schredder mit mindestens der Sicherheitsstufe P-3 nach DIN 66399 zu empfehlen. – Diese Sicherheitsstufe empfiehlt auch die Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg in ihrem Tätigkeitsbericht 2021 (III.2., Seite 66). – Je sensibler die Daten sind, desto höher sollte die Sicherheitsstufe des Gerätes sein. Folglich erhöht sich auch die Partikelschnittanzahl beim Schreddern, damit die Partikel kleiner werden und der Aufwand einer Rekonstruktion unverhältnismäßig wird.

Vernichtung durch einen externen Dienstleister

Natürlich kann ein Verantwortlicher auch einen externen Dienstleister mit der Vernichtung und Entsorgung der Papierdokumente beauftragen. Hier ist einerseits zu beachten, dass ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO, der auch die zu vereinbarenden technischen und organisatorischen Datenschutzmaßnahmen nach Art. 32 DSGVO enthält, abzuschließen ist. Andererseits muss der Verantwortliche während des Vernichtungsprozesses sicherstellen, dass der Dienstleister zu keinem Zeitpunkt Einblick in die personenbezogenen Daten erhält und die Vertraulichkeit der Daten gewahrt wird. Dies ist besonders bei personenbezogenen Daten besonderer Kategorien relevant. – Mehr hierzu vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein in diesem Beitrag. –

Aufbewahrungsfristen

Wie schon angedeutet, ist unbedingt zu beachten, dass ein Verantwortlicher etwaige Aufbewahrungsfristen beachten muss. Demnach können beispielsweise die Abgabenordnung (AO), das Handelsgesetzbuch (HGB) oder andere Gesetze oder Verordnungen eine gewisse Vorhaltefrist vorschreiben.

Bisherige Datenschutzverstöße

Die deutschen Datenschutzaufsichtsbehörden haben von mehreren Verstößen berichtet, bei denen Verantwortliche Papierdokumente mit personenbezogenen Daten nicht rechtmäßig entsorgten. So kam es vor, dass Dokumente eines bayerischen Krankenhauses auf einer Straße verteilt aufgefunden wurden (Link; Punkt 2.2.2.). In einem anderen Fall fand man Arztrezepte, Überweisungsscheine und Krankenkassenkarten in einer Abfalltonne eines Nachbarn. Dabei stellte die Brandenburger Landesbeauftragte für Datenschutz und Akteneinsicht auch fest, dass der Verantwortliche die Dokumente nur grob zerkleinert hatte (Link, Punkt 21.1). Ein ähnlicher Fall ereignete sich mit den Papierdokumenten einer Rechtsanwaltskanzlei. Die Dokumente der Kanzlei fand der Beschwerdeführer in einem Papiermüllcontainer (Link, Punkt 11.7). Im Fall eines Labors stand der Papierentsorgungscontainer auf einer Straße in der Kieler Innenstadt – mit geöffnetem Deckel nach Feierabend. Daraufhin schaltete ein Passant die Datenschutzaufsicht, die ein Bußgeldverfahren einleitete, ein (Link, Punkt 4.5.5).

Fazit

Bei der Erarbeitung eines Datenschutz-Management-Systems (kurz: DSMS) ist es auch wichtig, dem Prozess der Vernichtung und Entsorgung von Papierdokumenten ausreichend Rechnung zu tragen. Handelt es sich bei dem jeweiligen Verantwortlichen beispielsweise um einen Praxis-, Kanzleiinhaber o. Ä. droht diesem eine Strafe gemäß § 203 StGB. Aber nicht nur Berufsgeheimnisträger müssen auf eine angemessene Entsorgung von Papierdokumenten achten, sondern auch Verantwortliche von Einrichtungen jeglicher anderen Branchen. Setzt ein Verantwortlicher die Entsorgung und Vernichtung von Papierdokumenten nicht datenschutzkonform um, drohen Bußgelder, Abmahnverfahren sowie Schadensersatzansprüche und Beschwerden von betroffenen Personen.

Kontaktieren Sie uns gern noch heute, falls Sie Beratung bei der Entsorgung und Vernichtung von Papierdokumenten wünschen. Im Zuge dessen unterstützen wir auch gern bei der Erarbeitung oder Aktualisierung Ihres Datenschutz-Management-Systems, inklusive der datenschutzrelevanten Dokumente (z. B. Löschkonzept).