Ein Datenschutz-Problem hatte ein städtischer Mitarbeiter. Auf einem Fußballspiel hatte er mit von ihm zuvor aus Altpapier fleißig hergestelltem Konfetti um sich geworfen. An sich nichts Besonderes, allerding hat der Mann nicht ganz besonderes Altpapier dazu verwendet: Es handelte sich dabei um Akten aus der Stadtverwaltung, die eigentlich hätten geschreddert werden sollen, versehentlich aber im normalen Altpapier landeten. Das Problem: Auf den Schnipseln waren teilweise personenbezogene Daten zu lesen. Verschiedene Zuschauer hatten die besonderen Konfetti-Schnipsel gemeldet. Bei der betroffenen Stadt zeigt man sich reumütig und will nun neue Prozesse einrichten, um derlei Pannen künftig zu verhindern.

Wie Entsorgen?

Wird ein privater Entsorgungsfachbetrieb durch ein Unternehmen beauftragt, seine sensiblen Daten zu vernichten, bleibt das Unternehmen auch weiterhin für die Einhaltung des Datenschutzes verantwortlich. Man spricht hierbei von einer sogenannten Auftragsdatenverarbeitung (§ 11 BDSG). Daher sollte hier Wert auf die Auswahl der Entsorger gelegt werden.

Das Unternehmen muss sich u.a. anhand geeigneter Unterlagen oder vor Ort davon überzeugen, dass der Entsorger wirklich auch in der Lage ist, die Entsorgung rechtskonform zu erledigen. Ein Auftrag ist hierzu schriftlich zu erteilen und muss insbesondere die in § 11 Absatz 2 BDSG genannten Aspekte enthalten.

Bei der Entsorgung personenbezogener Daten sollte das Unternehmen im Vertrag mit dem Entsorger auch regeln, um welche Datenträger und Daten es sich handelt (z.B. Rechnungen, Personalunterlagen) und wie die Schutzbedürftigkeit dieser Daten einzustufen ist.

Für die Entsorgung gibt die DIN 66399 Richtlinien für eine sichere Entsorgung von Datenträgern (darin ist u.a. geregelt, wie groß die Schnipsel sein dürfen, abhängig von der Schutzbedürftigkeit der Daten).

Entsorgungskonzept

Entsorgt das Unternehmen die Datenträger selbst, sollten sie keinesfalls im normalen Altpapier landen. Das Unternehmen sollte ein internes Entsorgungskonzept erstellen, wie sensible Daten entsorgt werden, dazu gehört dann in der Regel ein geeigneter Schredder, der zumindest den Anforderungen der DIN 66399 genügen sollte.

Thomas Waetke
Rechtsanwalt
Fachanwalt für Urheber- und Medienrecht
Herausgeber & Autor des Themenportals www.eventfaq.de

Urheberangabe für das Foto für diesen Beitrag:

  • Datenschutz: © putilov_denis - Fotolia.com