DSGVO-Ratgeber: Sicherer Datenschutz und Aktenvernichtung mit IDEAL

Oberkörper eines Mannen mit rotem Helden-Umhang, die Arme verschränkt, trägt einen brauen Anzug mit Hemd und gestreifter Krawatte, am Revers eine Anstecknadel in Form eines Wappens. Der Kopf ist nicht sichtbar.

Die Helden der DSGVO!

Wenn es um Datenschutz geht, ist meist von elektronisch verarbeiteten Daten die Rede. Wissen Sie, wie Sie Daten auf Papier schützen müssen?

Datenerhebung auf Vorrat ist verboten!

70 % aller wichtigen Daten befinden sich nach wie vor auf Papier – und landen oft einfach im Papierkorb. Datenschutz? Fehlanzeige! Was oft unter den Tisch fällt: Die Bestimmungen der DSGVO gelten auch für personenbezogene Daten auf Papier. Auch Ihre vorhandenen Unterlagen müssen den Vorgaben der DSGVO entsprechen.

DSGVO

Die Datenschutz-Grundverordnung erweitert seit 25. Mai 2018 alle bisherigen Datenschutzprinzipien. Für Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, galt dieser Termin als Stichtag für die Umsetzung der neuen Vorgaben. Zusätzlich dazu wurde 2018 mit der Einführung der ISO/IEC 21964 die Vernichtung von Daten nun auch international standardisiert.

Blick in ein modernes, kleines Büro in Grautönen: dunkelgrauer Schreibtisch, zwei schwarze Schreibtisch-Stühle, links angeschnitten eine große Pflanze. Ein IDEAL 2445 Aktenvernichter mit automatischem Öler sorgt neben dem Schreibtisch für Datenschutz. Natürliches Licht fällt durchs Fenster.

Datenleck: Streifenschnitt

Shreddern Sie noch Streifen?
Dokumente mit personenbezogenen Daten nur zu zerreißen oder in breite Streifen zu shreddern, genügt nicht mehr. Diese gilt es, absolut DSGVO- und DIN-konform zu schützen.

Die Lösung: Personenbezogene Daten DSGVO- und DIN-sicher vernichten.
Das gelingt am besten mit einem IDEAL Aktenvernichter der Sicherheitsstufe P-4 oder P-5 – dies empfiehlt auch die DIN 66399. Die Sicherheitsstufe P-4 ist geeignet für Papierdokumente mit besonders sensiblen Daten, wie Gehaltsabrechnungen, Personaldaten, Bilanzen, Steuerunterlagen. Geht es um geheim zu haltende Daten, bspw. Bilanzen, G+V-Rechnungen, Strategiepapiere oder Krankenakten, ist P-5 die korrekte Sicherheitsstufe.

Datenleck: Entsorger

Was, wenn der Datenschutz auf der Strecke bleibt?
Sie müssen regelmäßig große Mengen an Unterlagen entsorgen? Es klingt verlockend, sich den Aufwand und die Verantwortung abnehmen zu lassen. Absolute Sicherheit bietet das allerdings nicht.

Die Lösung: Schreddern Sie selbst mit IDEAL Aktenvernichtern.
Keine großen Sammelstellen, keine langen Transportwege, keine unkontrollierbaren Zwischenstationen: Wenn Sie vertrauliche Dokumente selbst vernichten, fallen diese Risiken weg. Hochwertige IDEAL Großmengen-Aktenvernichter arbeiten über viele Jahre – die Anschaffung zahlt sich schnell aus. Für Verstöße gegen die DSGVO drohen Bußgelder bis 20 Mio. Euro bzw. bis zu 4 % des weltweiten Jahresumsatzes.

Modernes Treppenhaus mit Betonwänden und -böden, einer Treppe mit Metallgeländer und runden Hängelampen. Links steht ein IDEAL 2604 Büro-Aktenvernichter, durch Glastüren fällt der Blick auf ein Büro mit großen Glasfronten.

Praxistipps

Aktualisieren Sie Ihre Unterlagen ganz regelmäßig

Daten, die Sie nach der DSGVO nicht mehr vorhalten dürfen - Stichwort Datenminimierung-, vernichten Sie sicher und zuverlässig mit einem professionellen IDEAL Aktenvernichter. Denken Sie dabei auch stets an Unterlagen mit abgelaufener Aufbewahrungsfrist.

Verzichten Sie auf unnötige Ausdrucke und Kopien.

Fertigen Sie nur Papierunterlagen an, wenn es unbedingt nötig ist und achten Sie darauf, an wen Sie die Dokumente weitergeben.

Korrekte Aktenvernichter-Auswahl

Wählen Sie die Geräte immer "eine Nummer größer" als bei normaler Dokumentenmenge nötig. So können Sie auch bei Lastspitzen komfortabel und sicher arbeiten.

Subheading

Stellen Sie hausinterne Datenschutz-Richtlinien auf.

Mit einer rechtskonformen Unternehmensrichtlinie zum Umgang mit Papierdokumenten sind Sie auf der sicheren Seite. Nebeneffekt: Maßnahmen zum Datenschutz führen zu effizienteren Arbeitsabläufen.

Datenleck: Postkorb und Schreibtisch

Feierabend für Datenspione.
Im Büro wandern täglich viele Dokumente über den Schreibtisch – auch solche, die sensible Daten enthalten. Was passiert am Ende des Tages damit?

Die Lösung: Führen Sie eine Clean Desk Policy ein.
Grundlage der Clean Desk Policy ist ein festes System für Papierdokumente. Halten Sie Ihre Mitarbeiter dazu an, zum Feierabend alle Dokumente sinnvoll abzulegen, Vertrauliches wegzuschließen und nicht mehr gebrauchte Unterlagen zu vernichten. Mit einem IDEAL Schreibtisch-Aktenvernichter ist dazu nur ein Handgriff nötig.

Datenleck: Festplatte

Zerstören Sie alte Datenträger, nicht Ihren guten Ruf.
Ausgediente Festplatten sind für technisch versierte „Finder“ ein offenes Buch – auch wenn sie überschrieben wurden. Einmal entsorgt, können Sie nicht mehr überprüfen, wo Ihre alten Datenträger wirklich landen. Und was mit deren Inhalt passiert.

Die Lösung: Machen Sie alte Datenträger unbrauchbar.
Egal ob Sie eine veraltete oder defekte Festplatte tauschen oder ein Leihgerät zurückgeben müssen: Mit dem IDEAL Festplattenlocher vernichten Sie Ihre elektronischen Daten sicher, komfortabel und zuverlässig.

Gruppenbild von IDEAL Schreibtisch- und Büro-Aktenvernichtern in verschiedenen Größen, frontal gezeigt, vor neutralem weißem Hintergrund.

Sicherheit für alle.

IDEAL AKTENVERNICHTER

Eine Frau mit kurzen blonden Haaren, von vorne sichtbar, trägt eine weiße Hemdbluse und eine blaue Hose. Sie steht in einem Büro an einem IDEAL Aktenvernichter und betrachtet mit ernstem Blick ein Blatt Papier. Im Hintergrund befinden sich angeschnitten Regale mit Mappen und Büromaterial sowie eine Pflanze.

Weitere Infos!

Leitfaden für die sichere Vernichtung personenbezogener Daten auf Papier.

ZUR BROSCHÜRE

Leitfaden: Die datenschutzrechtlichen Vorgaben und Pflichten zur DSGVO

Wissenswertes zur EU-Datenschutz-Grundverordnung (DSGVO)

Die europäische Datenschutz-Grundverordnung erweitert die bisherigen Datenschutzprinzipien und ist EU-weit gültig. Alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen seit dem 25. Mai 2018 die neuen Vorgaben erfüllen. Durch die Verschärfung der Datenschutz-Vorgaben stieg auch die Brisanz bei der Verarbeitung und Nutzung personenbezogener Daten auf Papier.

Was sind personenbezogene Daten?

Darunter fallen alle Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person, z. B. Name, Anschrift, Familienstand, Renten-/Krankenversichertennummer, berufliche Qualifikation, Gehaltsinformationen, Steuerklasse, Zeugnisse, Gutachten, Aktennotizen, Diagnosen, u.v.m.

Welche neuen, erweiterten Pflichten im Hinblick auf den Datenschutz gehen mit der DSGVO einher?

Das verantwortliche Projektteam hat die Aufgabe, ineffiziente Prozesse zu analysieren. Dies ist wichtig, um die bisherigen Arbeitsabläufe in den Abteilungen zu optimieren. Unproduktive Abläufe haben Auswirkungen auf die Leistungsfähigkeit und halten Mitarbeitende von wichtigeren Tätigkeiten ab. Hier ist eine schrittweise Identifikation und Analyse der Geschäftsprozesse sinnvoll. Als Startpunkt bietet sich die Überprüfung eines bestimmten Geschäftsbereichs an, zum Beispiel die Personalabteilung.

Welche neuen, erweiterten Pflichten im Hinblick auf den Datenschutz gehen mit der DSGVO einher?

Grundsatz der Datenminimierung (Kapitel 2, Artikel 5 DSGVO)

Generell gilt die Vorgabe, dass personenbezogene Daten sparsam erhoben werden müssen. Sie dürfen nur verarbeitet werden, wenn sie

• für den Zweck angemessen sind und
• für den Zweck erheblich und relevant sind.

Generell gilt: Datenerhebung auf Vorrat ist verboten.

Für die ausgewählten Datenkategorien ist zudem zu beachten:

Die personenbezogenen Daten müssen so erhoben und verarbeitet werden, dass sie für den angegebenen Zweck passen, aber nicht darüber hinaus.

Der Verantwortliche muss sich bei der Erhebung personenbezogener Daten auf die Informationen beschränken, die für den Zweck notwendig sind.

Informationspflicht und Recht auf Auskunft (Kapitel 3, Artikel 13, Absatz 1 DSGVO)

Ganz generell muss für die Nutzung und Verarbeitung personenbezogener Daten ein legitimer Grund vorliegen. Wenn personenbezogene Daten erhoben werden, muss der Verantwortliche eine lückenlose Dokumentation hinsichtlich Zweck, Dauer, Speicherung und Löschung darlegen und gewährleisten.

Recht auf Vergessenwerden (Kapitel 3, Artikel 17, Absatz 1 + 2 DSGVO)

Der Betroffene kann verlangen, dass seine personenbezogenen Daten gelöscht werden. Damit steht der Verantwortliche in der Pflicht, alle erhobenen Daten umgehend und vollständig zu löschen. Zudem muss gewährleistet werden, dass eventuelle Links auf die personenbezogenen Daten oder Kopien unwiderruflich vernichtet werden. Ausnahmen sind in Absatz 3 definiert.

Recht auf Datenübertragbarkeit (Kapitel 3, Artikel 20 DSGVO)

Der Betroffene kann verlangen, dass ihm seine personenbezogenen Daten in einem strukturierten, allgemein gängigen und maschinenlesbaren Format übertragen werden.

Recht auf Widerspruch (Kapitel 3, Artikel 21 DSGVO)

Der Betroffene hat das Recht, gegen die Verarbeitung ihn betreffender personenbezogener Daten Widerspruch einzulegen.

Sicherheit der Verarbeitung (Kapitel 4, Artikel 32, Absatz 1 und 2 DSGVO)

Der Verantwortliche und der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen zu treffen, um natürliche Personen zu schützen.

Eine regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen hat zu erfolgen.

Benennung eines Datenschutzbeauftragten (Kapitel 4, Artikel 37 DSGVO)

Es besteht eine europaweite Verpflichtung zur Bereitstellung eines betrieblichen Datenschutzbeauftragten.

Verantwortung des für die Verarbeitung Verantwortlichen (Kapitel 4 DSGVO)

Laut Bundesdatenschutzgesetz ist derjenige, der eine Information erfasst, während des gesamten Lebenszyklus der Daten für deren Schutz verantwortlich. Der Verantwortliche und der Auftragsverarbeiter haften damit für materielle und immaterielle Schäden, die dem Betroffenen entstehen. Diese Verantwortung für diese Daten lässt sich nicht an andere übertragen. Dies gilt unter anderem auch bei der Vergabe von Vernichtungsaufträgen an externe Dienstleister. (Kapitel 8, Artikel 82 DSGVO)

Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Kapitel 4, Artikel 33, Absatz 1 DSGVO)

Im Falle einer Verletzung des Schutzes personenbezogener Daten steht der Verantwortliche in der Pflicht, den Vorfall unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde (Kapitel 6, Artikel 51) zu melden.

Verschärfte Verhängung von Geldbußen (Kapitel 8, Artikel 83, Absatz 4 und 5 DSGVO)

Die allgemeinen Sanktionen bei Verstößen gegen die Bestimmungen wurden erheblich verschärft. So kann eine Geldbuße von bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Vorjahresumsatzes von der zuständigen Aufsichtsbehörde verhängt werden.

Nähere Informationen zur EU Datenschutz-Grundverordnung finden Sie unter:

https://www.datenschutz-grundverordnung.eu/

SN / 09.02.2018