Der Schutz von vertraulichen Daten ist in Zeiten von Big Data und Digitalisierung wichtiger denn je. Wenn Firmen sensible Akten nicht ordnungsgemäß vernichten, können die Inhalte in falsche Hände geraten. Derartige Vorfälle bedrohen die Sicherheit der Kunden und können für die betroffenen Unternehmen einen erheblichen Reputationsverlust sowie hohe Strafzahlungen zur Folge haben.
Was sind sensible Daten?
Als sensible Daten gelten alle nicht öffentlich zugänglichen Informationen, die Rückschlüsse auf eine bestimmte Person zulassen.
Dazu gehören im privaten Bereich etwa Telefonnummern, E-Mail-Adressen, Gesundheitsdaten sowie Kontodaten, aber auch Geburtsdaten sowie vollständige Namen.
In Unternehmen sind unter anderem Mitarbeiterakten, Geschäftsgeheimnisse, Forschungsergebnisse sowie diverse weitere Interna als besonders schutzwürdig zu betrachten.
Kurz gesagt: Sensible Daten sind geschützte Informationen, die bei Missbrauch oder bloßem Bekanntwerden zu erheblichen Schäden zum Nachteil der Betroffenen führen können.
Sensible Daten: Was bedeuten die Schutzklassen?
Der Vorgang der Aktenvernichtung hat seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) neue Relevanz gewonnen: Seit dem 25. Mai 2018 dürfen Unternehmen personenbezogene Daten nur verarbeiten, wenn eine ausdrückliche Erlaubnis der Betroffenen vorliegt. Die im Rahmen geschäftlicher Aktivitäten anfallenden Personendaten sind unverzüglich zu löschen, wenn die weitere Aufbewahrung entbehrlich ist. Dabei richten sich die gesetzlichen Anforderungen an die Aktenvernichtung nach der Schutzwürdigkeit der Daten.
Die DIN 66399 differenziert zwischen drei Schutzklassen:
- Daten der Schutzklasse 1 enthalten Informationen, deren Bekanntwerden negative Auswirkungen auf die gesellschaftliche Stellung und die wirtschaftlichen Verhältnisse der Betroffenen haben kann.
- Die Schutzklasse 2 beinhaltet vertrauliche Informationen wie Personal- und Adressdaten von Personen, die aus Quellen wie Bestellungen, Steuerunterlagen und Bilanzen stammen. Ein Missbrauch dieser Daten könnte den Betroffenen erheblichen finanziellen Schaden oder Beeinträchtigungen ihrer gesellschaftlichen Stellung zufügen.
- Informationen der Schutzklasse 3 umfassen besonders sensible Daten, wie Gesundheits- oder Forschungsdaten, deren unbefugte Offenlegung die Freiheit, die körperliche Unversehrtheit oder sogar das Leben der betroffenen Personen gefährden kann. Daher ist der absolute Schutz dieser Informationen von höchster Priorität.
Je höher die Schutzklasse ist, desto sicherer muss die gewählte Vernichtungsmethode sein.
Daten zuverlässig vernichten – im Zweifel einen externen Dienstleister beauftragen
Vor allem für Solo-Selbstständige und kleine Unternehmen lauern erste datenschutzrechtliche Fallstricke bereits bei der Anschaffung eines Aktenvernichters: Die meisten Geräte für den Hausgebrauch entsprechen lediglich den Sicherheitsstufen 1 und 2, welche für die Vernichtung personenbezogener Daten nicht ausreichen.
Wer sich als Unternehmer oder Freiberufler hinsichtlich der Anforderungen an die datenschutzrechtlichen Bestimmungen unsicher ist, kann externe Firmen mit der Aktenvernichtung beauftragen. Dabei ist ein solcher Dienstleister zu wählen, der über eine Zertifizierung nach DIN 66399 verfügt. Diese Vorgehensweise empfiehlt sich besonders für Berufsgruppen, die fast ausschließlich mit sensiblen Daten umgehen, wie Ärzte, Rechtsanwälte und Notare.
Aktenvernichtung systematisieren
Da Verstöße gegen die datenschutzrechtlichen Bestimmungen schwerwiegende Folgen für alle Beteiligten haben können, empfiehlt es sich, jeden Aktenvernichtungsvorgang zu dokumentieren und unternehmensinterne Standards für die Vernichtung von Unterlagen festzulegen. Diese definieren den Schutzbedarf der erhobenen personenbezogenen Daten sowie den genauen Ablauf einer Aktenvernichtung. Ein besonderes Augenmerk ist auf die getroffenen Sicherheitsvorkehrungen zu legen.
Da Geschäftsführer größerer Unternehmen die Vernichtung von Akten häufig an andere Mitarbeiter delegieren, müssen diese für die Bedeutung des Datenschutzes sensibilisiert werden. Dabei ist auf die potenziell gravierenden Folgen von Datenschutzverstößen hinzuweisen: Es drohen Bußgelder in Höhe von bis zu vier Prozent des weltweit erwirtschafteten Umsatzes. Auch gegen kleinere Firmen können die Aufsichtsbehörden empfindliche Sanktionen mit Strafzahlungen im achtstelligen Bereich verhängen.
Fazit: Akten zuverlässig und sicher vernichten
Wer bei der Aktenvernichtung gegen die geltenden Bestimmungen verstößt, riskiert Datenschutzskandale und hohe Bußgelder. Vor allem Freiberufler, die mit besonders sensiblen Daten umgehen, sollten die Vernichtung der Akten durch einen externen Dienstleister mit DIN 66399-Zertifizierung in Erwägung ziehen.