Aktenvernichtung

Aus dem Datenschutzrecht ergibt sich, für jede verantwortliche Stelle eine gesetzliche Verpflichtung personenbezogene (pb) Daten zu löschen, wenn diese für den Verarbeitungszweck, für welchen sie ursprünglich erhoben wurden, nicht mehr erforderlich sind und zudem auch keine gesetzliche Aufbewahrungspflicht der Aktenvernichtung entgegensteht.
Ist die Verarbeitung von personenbezogenen Daten für einen bestimmten Geschäftsvorfall abgeschlossen, steht vor der Löschung der Daten in den meisten Fällen die Archivierung. Dabei werden die personenbezogenen Daten in der Regel in einem digitalen System oder in Form von Papierakten archiviert, welche den gesetzlichen Vorschriften zur Aufbewahrung, insbesondere handels- und steuerrechtlichen Vorschriften, genügen müssen.

Aufbewahrungsfristen unterscheiden – Wichtig zu beachten: Unterschiedliche Datenkategorien können unterschiedliche Aufbewahrungsfristen haben!

Eine 10-jährige Aufbewahrungsfrist (§ 147 Abs. 3 i. V. m. Abs. 1 Nr. 1, 4 und 4a AO, § 14b Abs. 1 UStG) gilt z.B. für folgende Unterlagen: Bücher und Aufzeichnungen, Jahresabschlüsse, Inventare, Lageberichte, Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen, Buchungsbelege, Rechnungen.

Eine 6-jährige Aufbewahrungsfrist gilt z.B. für alle anderen aufbewahrungspflichtigen Geschäftsunterlagen: empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe, sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.

Aufbewahrung von E-Mails / gemäß AO und HGB:
E-Mails, die für die Besteuerung von Bedeutung sind, sind gemäß AO und HGB aufzubewahren. Eine (elektronisch übersandte) E-Mail stellt ein originär digitales Dokument dar, das für den Datenzugriff im Originalformat maschinell auswertbar vorgehalten werden muss. Dies gilt beispielsweise für eine per E-Mail übermittelte Reisekostenabrechnung in einem Tabellenkalkulationsformat. E-Mails mit nicht steuerlich relevanten Inhalten müssen hingegen weder archiviert noch für den Datenzugriff vorgehalten werden.

Die Frist beginnt jeweils mit dem Ende des Kalenderjahres, in dem die Datenerhebung erfolgt ist.

Wichtig: Es gibt Ausnahmen! Im Falle eines Rechtsstreits ist zu berücksichtigen, dass die Aufbewahrungsfrist für diese bedeutsamen Unterlagen grundsätzlich nicht abläuft, bis ein rechtskräftiges Urteil ausgesprochen wurde.
Die oben aufgeführten Fristen und Datenkategorien gelten nur als Orientierungshilfe, es handelt sich hierbei um keine abschließende Aufzählung.

Nutzen Sie für die Vernichtung von personenbezogenen Daten ihr Verzeichnis der Verarbeitungstätigkeiten.
Legen Sie darüber hinaus die Verantwortung für die Löschung / Vernichtung konkret fest.

Die Verantwortung kann intern bei Prozesseignern oder auch bei externen Dienstleistern liegen.
Klassische Beispiele intern / extern:

• Entsorgung von Fehlausdrucken mittels geeigneten Schredders innerhalb des Arbeitsbereichs
• Automatisiertes Löschung Datenbank durch Softwareanbieter
• Bereitstellung und Abholung einer Datenschutztonne durch autorisiertes Personal und Protokollierung der Vernichtung eines beauftragten Dienstleisters

Vernichtung extern:
Wenn Sie einen externen Dienstleister für die Löschung / die Vernichtung von (pb) Daten beauftragen, ist Einiges zu beachten, u. a.:
• Die Auswahl eines geeigneten Dienstleisters
• Der Abschluss eines datenschutzkonformen Vertrages zur Auftragsverarbeitung
• Bis zur endgültigen Übergabe der (pb) an den Dienstleister und die anschließende Vernichtung / Löschung, bleiben Sie im Sinne der DSGVO, für diese verantwortlich

Die Erstellung eines Löschkonzeptes für die Aktenvernichtung kann unter Berücksichtigung folgender Themenschwerpunkte vorgenommen werden. Dieses sollte Teil des Datenschutzkonzeptes werden.

Festlegung aller Kategorien pb Daten, z.B.
o Kontaktdaten / Stammdaten
o Personaldaten
o Zahlungs-/ Buchhaltungs- / Gesundheitsdaten
o Nutzungsdaten IT-Protokollierung
o usw.

Festlegung aller Datenklassen, z.B.
o Datenklasse 0 = alle Datenarten der gleichen gesetzlichen Aufbewahrungsfrist
o Datenklasse 1 = alle Datenarten der gleichen gesetzlichen Aufbewahrungsfrist

und der dazugehörigen Aufbewahrungsfrist, z.B.
o gesetzliche Aufbewahrungsfrist 0-3 Monate = Datenklasse 0
o gesetzliche Aufbewahrungsfrist 3-6 Monate = Datenklasse 1
o gesetzliche Aufbewahrungsfrist 1 Jahr = Datenklasse 2

Festlegung Fristbeginn
Für jede Datenkategorie ist ein einzeln festzulegen mit welchem Datum / Zeitpunkt die Aufbewahrungsfrist beginnt.
Der Beginn der Aufbewahrungsfrist ist immer dann gegeben, wenn der Erhebungs- bzw. Verarbeitungszweck für diese Datenkategorie erfüllt ist, z.B.
o Vertragserfüllung / Vertragsverhältnis endet
o Beendigung des Beschäftigungsverhältnisses
o ab dem Zeitpunkt der 1. Erhebung / Verarbeitung (z.B. Arbeitsunfähigkeitsbescheinigungen, Zeugnisse, usw.)
o mit Zeitpunkt der Vereins- bzw. Geschäftsaufgabe
o mit Widerruf des Betroffenen (unverzüglich)

Vernichtung nach DIN 66399 1-3
Wichtig zu beachten: Es gibt 3 Schutzklassen und 7 Sicherheitsstufen.

Festlegung der Sicherheitsstufe / Schutzklasse / Materialklasse zur Durchführung der Vernichtung:

Die Schutzklassen-Wahl kann direkten Einfluss auf die Kosten der Datenträgervernichtung haben. Je feiner der Grad der Vernichtung ist, desto höher ist der Energie-, Personal und Maschinenaufwand. Daher sollte diese Entscheidung nicht leichtfertig getroffen werden. Es kann sogar wirtschaftlich vorteilhafter sein die Schutzklassen zu trennen. Denn dann werden ausschließlich die Datenträger in einer höheren Sicherheitsstufe vernichtet, die diesen Schutz auch wirklich bedürfen.
Je höher der Schutzbedarf, desto höher muss auch die bei der Vernichtung gewählte Sicherheitsstufe sein. Für die Schutzklasse 3 kann nur die Sicherheitsstufe 4 und höher genutzt werden, um den Sicherheitsanforderungen zu genügen. Grundsätzlich sind eine individuelle Betrachtung und Klassifizierung des Datenbestandes empfehlenswert.

Schutzklasse 1 – normaler Bedarf für interne Daten (Telefonlisten, Produktlisten, Lieferantendaten, Adressdaten, Werbemittel)
Schutzklasse 2 – hoher Bedarf für vertrauliche Daten (Betriebswirtschaftliche Auswertungen, Interne Reportings, Finanzbuchhaltungsunterlagen, Bilanzen, Jahresabschlüsse, Personaldaten, Arbeitsverträge)
Schutzklasse 3 – sehr hoher Bedarf für besonders geheime Daten (Patientenakten, Informationen aller Geheimhaltungsgrade des Bundes und der Länder, geheime/streng geheime Unterlagen aus Forschung und Entwicklung von Wirtschaftsunternehmen)

Beachten Sie, dass Sie bis zur vollständigen Vernichtung der personenbezogenen Daten verantwortlich für diese sind.

Protokollierung
Für jede Aktenvernichtung ist ein entsprechendes Löschprotokoll, zur Erfüllung der Dokumentationspflicht, zu erstellen und für den Zeitraum von z.B. 5 Jahren aufzubewahren.
Die Löschung durch einen Dienstleister / Auftragsverarbeiter ist, durch diesen, zu protokollieren und das Protokoll ist der verantwortlichen Stelle zum Zweck der Dokumentation zu überlassen.

Fazit für die Aktenvernichtung nach Aufbewahrungsfristen – Datenschutzkonform
Die datenschutzkonforme Aktenvernichtung gehört zu den Routineaufgaben nach dem Jahreswechsel.
Sensibilisieren sie ihre Mitarbeitenden zum Aktenvernichtung, nur so kann sichergestellt werden, dass (pb) Daten nicht länger als erforderlich / zulässig verarbeitet werden und dem Recht auf „Vergessenwerden“ gewährleistet werden kann.

Binden Sie auch Ihre / Ihren Datenschutzbeauftragten ein. Wir unterstützen Sie gern.

Kontaktformular

Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!

Tags: