Ordnungsgemäße Datenvernichtung – was bei der Wahl des Dienstleisters zu beachten ist
Datenschutz und der korrekte Umgang mit personenbezogenen Daten – also Daten, die sowohl Ihre Kunden als auch Ihre Mitarbeiter oder Bewerber betreffen – sind gegenwärtig von besonderer Relevanz. Dies umfasst jedoch nicht nur deren Nutzung und Speicherung. Auch die Entsorgung und Vernichtung muss nach der geltenden EU-Datenschutzgrundverordnung (DSGVO) unter Einhaltung spezifischer Richtlinien erfolgen, nach der beispielsweise ein grober Papierstreifen erzeugender Schredder nicht ausreicht. Die geltenden Vernichtungsempfehlungen sind den Schutzklassen und Sicherheitsstufen der DIN 66399 (https://www.tuev-sued.de/fokus-themen/it-security/din-66399/din-66399-schutzklassen-und-sicherheitsstufen) zu entnehmen.
Grundsätze zur ordnungsgemäßen Vernichtung von sensiblen und personen-bezogenen Daten.
Für die Vernichtung jener Daten sollten sämtliche Mitarbeiter und Mitarbeiterinnen im Umgang mit der Löschung insbesondere der „Datentonne“ geschult werden. „Datentonne“ ist ein abschließbarer Container oder Behälter, z.B. in Form eine Mülltonne, aus Blech mit Einwurfschlitz. Damit Sie die rechtmäßige Entsorgung nachweisen und garantieren können ist diese zu dokumentieren und zu kontrollieren. Je nach Größe, Art und Menge Ihres Datenabfalls kann die Entsorgung intern erfolgen, andernfalls empfiehlt es sich, einen professionellen Dienstleister hiermit zu beauftragen. Bevor Sie die Aufgabe der Aktenvernichtung an einen Lieferanten weitergeben, müssen Sie jedoch genau klären, was fachgerecht entsorgt werden soll – sind etwa nur Papierdokumente, oder aber auch Datenträger wie CDs, DVDs, HDs und andere Speichermedien zu löschen? Wenn Sie diesbezüglich eine Auflistung erstellt haben, können Sie zielgerichtet nach dem passenden Lieferanten suchen.
Beschaffungsgrundsätze für den Einkauf von Dienstleistungen
Sofern Sie die Vernichtung nicht selbst in die Hand nehmen ist es wichtig, dass Sie für die entsprechenden sensiblen Daten in Ihrem Unternehmen den richtigen Partner wählen, um den ordnungsgemäßen Umgang mit diesen zu gewährleisten. Die richtige Wahl treffen Sie, wenn Sie sicherstellen, dass ein potenzieller Lieferant ein anerkannter Entsorgungsfachbetrieb ist. Es ist außerdem zu empfehlen, dass dieser nach DIN 66399 z.B. durch TÜV Süd oder das bvse-Qualitätssiegel zertifiziert ist. Dies muss in aktuell gültigen Zertifikaten nachvollziehbar sein. Die notwendigen Anforderungen an Ihren Partner sind auch der Entsorgungsfachbetriebeverordnung (EfbV) zu entnehmen.
Es gereicht Ihnen hierbei zum Vorteil, wenn Sie mehrere Lieferanten in den Auswahlprozess aufnehmen und miteinander vergleichen.
Auftrag erteilen
Vor Auftragserteilung und Arbeitsaufnahme wird mit dem Lieferanten ein AVV geschlossen. Subunternehmen seitens des Lieferanten sind nicht zulässig – darunter fallen auch Mitarbeiter in Arbeitnehmerüberlassung. Ebenfalls sollte vor Arbeitsaufnahme eine Überprüfung des Fachbetriebes (Lieferantenaudit) erfolgen. Stellen Sie außerdem sicher, dass Sie einen Lieferanten beauftragen, welcher für Akten und Papiere, sowie für CDs, DVDs, HDs, etc. Container zur Verfügung stellt und für die ordnungsgemäße Vernichtung sogenannte Entsorgungsnachweise ausstellt, sodass Sie die rechtmäßige Datenlöschung in jedem Fall nachweisen können.
Die umsichtige Auswahl der Dienstleister hilft Ihnen, das notwendige Maß an Sicherheit bei der Datenentsorgung in Einklang mit der DSGVO für Ihre Kunden und Mitarbeiter dauerhaft und zuverlässig zu garantieren.
Bei der Suche nach potenziellen Lieferanten helfen Ihnen folgende Websites:
https://www.reisswolf.com/zertifizierungen/
https://www.aktenvernichtung.de/infocenter/din-66399/
Bildnachweis: (C) Alexander Stein, CC0 v1.0, Pixabay