Datenschutz bei der externen Dokumentenvernichtung

Datenschutz bei der externen Dokumentenvernichtung

In jedem Unternehmen, jeder Behörde, jeder Arztpraxis, jedem Verein etc. sammeln sie sich mit der Zeit an: Dokumente auf Papier, in Akten etc. Verschiedene gesetzliche Pflichten wie z. B. handels- und steuerrechtliche, aber auch branchenspezifische Regelungen fordern, bestimmte Dokumente für eine bestimmte Zeit aufzubewahren. Läuft die Pflicht zur Aufbewahrung dieser Dokumente allerdings ab und bestehen keine anderen Rechtsgrundlage zur Aufbewahrung wie beispielsweise berechtigte Beweissicherungsinteressen, sind zumindest die Dokumente mit personenbezogenen Daten zu vernichten. Hierfür wiederum gibt es verschiedene Varianten: Entweder ein Verantwortlicher vernichtet die Dokumente selbst oder er lagert diese Aufgabe auf einen Dienstleister aus. Was zum Datenschutz bei der externen Dokumentenvernichtung nun allerdings im Detail zu beachten ist, erläutern wir in diesem Beitrag.

Wer sich vorerst einen allgemeinen Überblick zur Dokumentenvernichtung verschaffen möchte, kann gern zuerst diesen Beitrag von uns lesen.

Abschluss eines Auftragsverarbeitungsvertrages

Während ein Verantwortlicher mit einem Dienstleister für die Dokumentenvernichtung einen Vertrag anbahnt, ist er gesetzlich verpflichtet, parallel eine Auftragsverarbeitungsvertrag, der die Anforderungen von Art. 28 Abs. 3 DSGVO erfüllt, abzuschließen. Es gibt mehrere Gründe für die Prüfung des Auftragsverarbeitungsvertrages in dieser Phase:

1) Es gibt leider noch immer Auftragnehmer, die keine Auftragsverarbeitungsverträge anbieten oder deren Auftragsverarbeitungsverträge nicht den Vorgaben von Art. 28 Abs. 3 DSGVO entsprechen. Aus verhandlungstaktischer Sicht befindet sich ein Auftraggeber in dieser Phase allerdings in einer Position, in der ein Auftragnehmer eher bereit ist, die notwendigen Änderungen am Auftragsverarbeitungsvertrag vorzunehmen. Schließlich möchte er diesen Auftrag gern akquirieren.

2) Eventuell kann ein Auftraggeber mit einem Auftragnehmer keinen DSGVO-konformen Auftragsverarbeitungsvertrag abschließen, weil der Auftragnehmer eventuell nicht bereit ist, entsprechende Änderungen am Vertrag vorzunehmen. Dann darf der Verantwortliche aber auch keinen Hauptvertrag abschließen, da der potentielle Auftragnehmer nicht die Gewähr für die Einhaltung des Datenschutzes bietet. Stellt sich erst nach Abschluss des Hauptvertrages heraus, dass kein Auftragsverarbeitungsvertrag vorliegt oder dieser nicht den gesetzlichen Mindestvorgaben entspricht, muss der Hauptvertrag außerordentlich gekündigt werden – es sei denn, ein kurzfristiger Abschluss eines Auftragsverarbeitungsvertrages ist möglich. Sollte es der Fall sein, dass der Auftragsverarbeiter zwischenzeitlich Dokumente zur Vernichtung erhalten hat, ist eine Meldung eines Datenschutzvorfalles vorzunehmen.

3) Wird ein DSGVO-konformer Auftragsverarbeitungsvertrag gleich bei Abschluss des Hauptvertrages unterschrieben, kann der Auftragnehmer die Dienstleistung sofort erbringen. Wäre dies nicht der Fall, müsste er streng gesehen auch bei Hauptvertragsabschluss mit der Dokumentenvernichtung warten, bis der Auftragsverarbeitungsvertrag abgeschlossen ist.

Im Idealfall entspricht der Auftragsverarbeitungsvertrag des Dienstleisters den Vorgaben von Art. 28 Abs. 3 DSGVO und die Parteien unterschreiben ihn gleich zusammen mit dem Hauptvertrag bzw.. dieser ist dem Hauptvertrag als Anlage beigefügt. Erleichternd ist, dass die DSGVO gegenüber der alten Rechtslage erlaubt, dass ein Auftragsverarbeitungsvertrag auch elektronisch abgeschlossen werden kann.

Berufsgeheimnisträger

Bei Berufsgeheimnisträgern ist parallel zum Erfordernis eines Auftragsverarbeitungsvertrages noch die Verpflichtung des Dienstleisters auf das Berufsgeheimnis nach § 203 StGB vorzunehmen und auf die entsprechende Schutzklasse bei der Vernichtung zu achten.

Technische und organisatorische Maßnahmen

Zu den vertraglichen Regelungen des Auftragsverarbeitungsvertrages gehört auch die Abstimmung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Diese werden in der Regel als Anlage zum Auftragsverarbeitungsvertrag festgelegt.

In diesem Abschnitt richten wir unseren Fokus darauf, ein unbefugtes Einsehen zu vermeiden. Folgende Maßnahmen können dabei helfen, genau diesen unbefugten Einblick zu vermeiden. Zu bedenken ist Folgendes:

1) Es ist sicherzustellen, dass auf dem Weg von den Büro-, Lager, oder Archivräumlichkeiten zum Transporter die personenbezogenen Daten nicht einsehbar sind.

2) Das bedeutet auch, dass die zu vernichtenden Dokumente so verpackt sein müssen, dass unbefugte Personen sich nicht Zugang zu diesen verschaffen können.

3) Folglich sind die Dokumente beispielsweise in abschließbaren Behältern aufzubewahren.

4) Ggf. ist das Material des Behälters von Bedeutung. Ein Pappkarton kann leicht geöffnet bzw. zerstört werden, sofern jemand sich unbefugt Zugang zu den Daten verschaffen will. Dies ist von höherer Bedeutung, wenn die zu vernichtenden Dokumente eventuell nicht sofort abgeholt werden (können).

Diese Liste möglicher Regelungen ist nicht abschließend. Je nach den jeweiligen Umständen, bemerkt ein Verantwortlicher möglicherweise, dass er weitere Maßnahmen ergreifen muss. Wie die Löschung, Vernichtung bzw. Entsorgung am besten und sichersten vonstatten geht, beschreibt u. a. die Datenschutzaufsichtsbehörde Rheinland-Pfalz in ihrer Orientierungshilfe zur Datenträgerversorgung.

In unserem Beitrag „Datenschutzkonforme Entsorgung von Papierdokumenten“ gehen wir u. a. darauf ein, inwiefern es bedeutend ist, Schutzbedarfskategorien und Sicherheitsstufen zu beachten.

Sobald die Vertragsparteien dann die vertraglichen Aspekte geklärt haben, kann das Dienstleistungsunternehmen mit der Dienstleistung beginnen.

Fazit

Im Prozess der Dokumentenvernichtung stellt der Einsatz des externen Dienstleisters einen Schritt dar, mit dem sich durch die Auslagerung Kosten für die Anschaffung und Wartung von Dokumentenvernichtungsgeräten und wertvolle Arbeitszeit für eigene anderweitig benötigte Fachkräfte sparen lässt. Dem voraus geht ein Löschkonzept, sodass in einem Unternehmen, einer Einrichtung, einem Verein etc. geregelt ist, wann personenbezogene Daten zu löschen sind. Auch ist zu regeln, wer intern die Aufgabe hat, sicherzustellen, dass personenbezogenen Daten – und in diesem Fall die relevanten Dokumente – gelöscht bzw. vernichtet werden.

Im Zuge einer Zusammenarbeit mit Ihnen beraten und unterstützen wir Sie auch gern bei der Erstellung eines Löschkonzeptes und der Prüfung der Auftragsverarbeitungsverträge von Entsorgungsdienstleistern, damit Sie Ihre Pflichten gemäß der DSGVO einhalten. Kontaktieren Sie uns gern.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.