Aktenvernichtung nach DSGVO: Was gilt es, zu beachten?
Wer „DSGVO” hört, macht sich schnell Gedanken um die Löschung von digitalen Daten. Das auch Papierdokumente schützenswerte Daten beinhalten, wird im digitalen Zeitalter dagegen schnell vergessen. So landen viel zu häufig Papierdokumente mit Schutzbedarf im Mülleimer. Doch selbstverständlich gelten die gesetzlichen Pflichten zum Datenschutz auch für physische Akten. Das trifft sowohl auf die Aufbewahrung als auch auf die Löschung beziehungsweise Vernichtung von Daten in Papierform zu. Übrigens: Die DSGVO hat als europäische Verordnung Anwendungsvorrang vor dem Bundesdatenschutzgesetz (BDSG). Letzteres ergänzt lediglich die Regelungen der DSGVO. Was sie bei der gesetzeskonformen Aktenvernichtung im Einzelnen beachten müssen, erfahren Sie daher im folgenden Artikel!
Bitte beachten Sie: Dieser Artikel ist lediglich ein Informationsangebot. Der Beitrag erhebt nicht an den Anspruch einer Rechtsberatung und kann diese in individuellen Fällen auch nicht ersetzen!
Besteht eine Pflicht zur Aktenvernichtung nach DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) regelt grundsätzlich den Umgang mit personenbezogenen Daten. Erst durch die Einwilligung seitens der betreffenden Person ist es demnach erlaubt, personenbezogene Daten zu erheben und zu archivieren. Doch selbst dann müssen die Informationen zweckgebunden sein. Sie müssen also einen gesetzlich relevanten Grund haben, um diese Daten zu sammeln. Art. 6 DSGVO listet Bedingungen auf, welche die Rechtmäßigkeit der Verarbeitung erfüllen. Ist der Zweck zu dem die personenbezogenen Daten erhoben wurden, nicht mehr gegeben, dürfen Sie diese Daten nicht weiter verarbeiten und müssen sie vernichten. Zu beachten ist außerdem Art. 17 DSGVO zum „Recht auf Löschung“. Vergleichen Sie dazu auch § 35 und § 75 Bundesdatenschutzgesetz (BDSG).
Aber Achtung:
Es gibt auch zahlreiche Akten, wie zum Beispiel Abrechnungs-Unterlagen, die erst nach gesetzlich festgelegten Aufbewahrungsfristen vernichtet werden dürfen. Hierzu sollten Sie sich genauer in unserem Artikel zu den Aufbewahrungsfristen informieren.
Was gehört in die Aktenvernichtung?
In die Aktenvernichtung gehören alle personenbezogenen Daten, die in ihrem Unternehmen verarbeitet werden, sobald deren Aufbewahrungsfristen abgelaufen sind. Außerdem sind neben den personenbezogenen Daten auch unternehmensinterne Daten wie zum Beispiel Reporte, Kennzahlen und dergleichen schützenswert. Um diese Daten vor unbefugtem Zugriff zu schützen, sollten Sie diese ebenfalls vernichten und im Entsorgungsprozess berücksichtigen.
Generell sollten Sie Ihre Mitarbeiter im Umgang mit der Vernichtung personenbezogener Daten schulen, damit Ihr Aktenvernichtungsprozess so klar wie möglich verläuft. Mehr dazu lesen Sie weiter unten im Artikel.
Die Sicherheitsstufen bei der Aktenvernichtung
Wer Unterlagen mit personenbezogenen Daten einfach über den Müll entsorgt, handelt alles andere als gesetzeskonform! Denn wenn Sie solche Daten verarbeiten, sind Sie auch dafür verantwortlich, dass kein unbefugter Dritter Zugriff darauf erhält. Daher sind Datenträger und Papierakten immer so zu löschen beziehungsweise zu vernichten, dass ihr Inhalt nicht rekonstruiert werden kann. Dieser Vorgang unterliegt der DSGVO und muss sorgfältig dokumentiert werden. Hierbei gelten die Sicherheitsstufen nach DIN 66399, die regeln wie klein die Akten zerkleinert werden müssen, bevor man sie rechtlich sicher entsorgen darf.
Wenn Sie Akten mit personenbezogenen Daten vorliegen haben, müssen diese mindestens unter Sicherheitsstufe 3 vernichtet werden. Das betrifft zum Beispiel Personalakten oder Bewerbungsunterlagen. Teilweise trifft allerdings auch Sicherheitsstufe 4 zu, wie zum Beispiel für Patientenakten. Details zu den Sicherheitsstufen beziehungsweise Sicherheitsklassen von Aktenvernichtern finden Sie in diesem Artikel im B2B-Magazin.
DSGVO-konforme Aktenvernichtung durch einen Dienstleister
Besonders bei großen Dokumentenmengen empfiehlt es sich, einen Dienstleister mit der Vernichtung zu beauftragen. Doch auch in diesem Fall gibt es ein paar Dinge zu beachten, damit die Aktenvernichtung regelkonform nach DSGVO verläuft.
Auftragsverarbeitungs-Vertrag
Da auch die Vernichtung von Daten durch Dritte eine Verarbeitung darstellt, muss zwischen Ihnen und dem Dienstleister ein Auftragsverarbeitungs-Vertrag bestehen. Dabei ist es vollkommen irrelevant, wo der Dienstleister Ihre Akten vernichtet. Denn auch wenn er bei Ihnen vor Ort tätig wird, greift die Auftragsverarbeitung.
Das bringt einige Anforderungen mit sich. So fungiert der Dienstleister als verlängerter Arm des Unternehmens. Dadurch muss das Unternehmen dem externen Dienstleister detaillierte Vorgaben machen, wie die Datenverarbeitung erfolgen soll. Denn die datenschutzrechtliche Verantwortung verbleibt beim Auftraggeber. Dennoch hat der Dienstleister den Auftraggeber bei der Erfüllung von Anfragen und der Durchsetzung von den Ansprüchen des Betroffenen zu unterstützen. Ihr Unternehmen hat sicherzustellen, dass dies der Fall ist und der Dienstleister die Dokumente DSGVO-konform vernichtet.
Anders als im alten Bundesdatenschutzgesetz, kurz BDSG, müssen Sie jedoch keine Erstkontrolle vor Abschluss des Auftragsverarbeitungs-Vertrages durchführen. Die Verpflichtung sich über die Einhaltung der DSGVO durch den Dienstleister zu versichern, haben Sie allerdings dennoch.
Einen guten Anhaltspunkt für die Kontrolle des Auftragsverarbeiters bieten z.B. das bvse-Qualitätssiegel für Fachbetriebe aus dem Bereich der Datenträger- und Aktenvernichtung des Bundesverbandes Sekundärrohstoffe und Entsorgung (bvse) oder auch der Nachweis einer Zertifizierung nach DIN 66399.
Außerdem sollte der Vertrag mindestens den Anforderungen aus Art. 28 Abs. 3 DSGVO entsprechen. Aus diesem Vertrag sollte auch hervorgehen, was Gegenstand, Art und Zweck der Verarbeitung ist. Auch deren Dauer sollte hier aufgeführt sein. Ebenfalls hinzuzufügen sind Weisungsbefugnisse und Kontrollrechte sowie Mitwirkungspflichten des Auftragnehmers.
Verpflichtung zur Versicherung über die Einhaltung der DSGVO
Außerhalb des Auftragsverarbeitungs-Vertrages müssen Sie darauf achten, dass die Geräte des Dienstleisters den Anforderungen der maßgeblichen DIN-Normen entsprechen, die für Ihre Akten erforderlich sind. Denn Sie sind für die Einhaltung der Datenschutz-Vorschriften nach wie vor in erster Linie verantwortlich. Daher sollten Sie sicherstellen, dass der von Ihnen gewählte Dienstleister auch wirklich sorgfältig nach DSGVO vernichtet und den Schutz, der ihm zugänglich gemachten Daten gewährleisten kann. Dazu muss der Dienstleister Ihnen hinreichende Garantien bieten.
Wenn diese hinreichenden Garantien im Nachhinein weg fallen oder faktisch nicht eingehalten werden, entfällt die datenschutzrechtliche Privilegierung der Auftragsverarbeitung!
Unser Tipp, falls Sie noch unsicher sind: Wann es für Sie Sinn macht die Aktenvernichtung auszulagern und wann Sie diese lieber selber machen sollten, erfahren Sie in unserem Artikel: “Aktenvernichtung: outsourcen oder selber machen?“

Aktenvernichtung bei unseren renommierten Partnern
DSGVO-konforme Aktenvernichtung selber machen
Grundsätzlich kann Ihr Unternehmen Akten mit personenbezogenen Daten natürlich auch selbst vernichten. Allerdings sollten Sie hierbei in jedem Fall einen Datenschutzbeauftragten hinzuzuziehen. Besonders, wenn der Betrieb so groß ist, dass er einen Datenschutzbeauftragten braucht, ist dies unumgänglich. Aber auch kleine Betriebe sollten sich professionelle Hilfe holen, um einen Aktenvernichtungsprozess einzuführen, der den Vorgaben der DSGVO entspricht. Denn im Falle eines Verstoßes gegen die Vorschriften drohen hohe Bußgelder und verschärfte Kontrollen.
Legen Sie Entsorgungs- und Verfahrensprozesse für die jeweils zu entsorgenden Daten in einem Verfahrensverzeichnis fest und bestimmen Sie den jeweils relevanten Schutzbedarf der zu verarbeitenden Daten.
Wenn ein regelkonformer Prozess eingeführt wurde, brauchen Sie natürlich auch noch den nötigen Aktenvernichter. Denn dieser muss in der benötigten Sicherheitsstufe, die nach DIN 66399 ermittelt wurde, vernichten. Hierbei gilt zu beachten, dass viele kleine elektrischen Schredder nur auf die geringen Sicherheitsstufen 1 und 2 ausgelegt sind. Sie erzeugen beim Vernichten der Akten nur Streifen und große Partikel und reichen daher für eine rechtlich sichere Vernichtung von personenbezogenen Daten nicht aus. Geräte mit höheren Sicherheitsstufen sind hierbei dann meist etwas teurer.
Einige Geräte, die man aktuell im Handel bekommt, besitzen bereits einen Hinweis, ob sie der DSGVO entsprechen. Eine detaillierte Beratung zu verschiedenen Modellen erhalten Sie durch unsere Partner.

Finden Sie Ihren neuen Aktenvernichter
Fazit
Insgesamt gibt es bei der Aktenvernichtung nach DSGVO einiges zu beachten. Sie müssen Aufbewahrungsfristen, Löschfristen und Schutzklassen im Blick haben und tragen die volle Verantwortung für das Einhalten der Datenschutz-Grundverordnung. Das gilt sowohl für die Vernichtung innerhalb Ihres Unternehmens als auch für das Auslagern an einen Dienstleister. Die Aktenvernichtung selbst zählt im Übrigen ebenfalls als eine Verarbeitung der Daten, weshalb Sie bei der externen Aktenvernichtung einen Auftragsverarbeitungs-Vertrag aufsetzten müssen. In jedem Fall wäre es für Sie sinnvoll, einen Datenschutzbeauftragten hinzuziehen, der mit Ihnen einen DSGVO-konformen Aktenvernichtungsprozess einführt.