Auch das Löschen personenbezogener Daten beziehungsweise das Vernichten elektronisch oder mechanisch lesbarer Datenträger (z.B. optische Datenspeicher, Festplatten, Akten) ist eine Form der Verarbeitung im Sinne der Datenschutzgrundverordnung (DS-GVO) und muss nach bestimmten Vorschriften erfolgen. Dabei kann die DIN 66399 „Büro- und Datentechnik – Vernichtung von Datenträgern“ aus dem Jahr 2012 für die Auswahl einer Sicherheitsstufe passend zur jeweiligen Schutzklasse zur Anwendung kommen.

Datenvernichtung im eigenen Unternehmen

Wenn Sie selbst in Ihrem Unternehmen Daten löschen oder Datenträger vernichten, müssen Sie sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden.

Datenvernichtung durch Dritte im Auftrag

Die meisten Unternehmen beauftragen auf Datenvernichtung spezialisierte gewerbliche Unternehmen mit der Datenträgervernichtung. Auch für diese Fälle gibt es genaue Vorschriften:

• Sie müssen den Auftrag zur Auftragsverarbeitung schriftlich oder in einem elektronischen Format erteilen.
• Der Auftrag muss Angaben darüber enthalten,
  • welcher Art die Daten oder Datenträger sind und wie die Schutzbedürftigkeit der Daten (-> Schutzklasse) eingestuft wird,
  • auf welche Weise die Vernichtung erfolgen muss,
  • wo die Datenträger vernichtet werden,
  • von wem die Datenträger abgeholt und wie sie transportiert werden,
  • wo die Datenträger bis zur Vernichtung aufbewahrt werden,
  • bis wann die Datenträger vernichtet sein müssen,
  • wie die Haftungsregelung vereinbart wird,
  • in welcher Art und Form Bescheinigungen bei Abholung und Vernichtung erstellt werden,
  • dass das vom Auftragsverarbeiter eingesetzte Personal auf das Datengeheimnis verpflichtet wird,
  • ob der Auftragnehmer andere Unternehmen bei der Vernichtung einschalten darf und
  • dass Sie als Auftraggeber berechtigt sind, Transport und Vernichtung zu überwachen.
• Sie als Auftraggeber beziehungsweise die oder der Datenschutzbeauftragte in Ihrem Unternehmen müssen sich davon überzeugen, dass der Auftragnehmer die im Vertrag festgehaltenen Maßnahmen einhält. Auch wenn Sie regelmäßig demselben Datenvernichter Ihre Datenträger zur Vernichtung überlassen, sollten Sie daher stichprobenartig die Einhaltung der Maßnahmen überprüfen.

Achtung: Bis zum Abschluss der Vernichtung der Datenträger sind Sie als Auftraggeber für die Einhaltung der Datenschutzanforderungen verantwortlich.

Pflichten der datenvernichtenden Unternehmen

Wenn Sie in Ihrem Unternehmen gewerbliche Datenträgervernichtung betreiben, müssen Sie technische und organisatorische Maßnahmen treffen, um eine sichere Verarbeitung der Daten zu gewährleisten. Zusätzlich sind vor allem die folgenden Punkte unerlässlich:

1. Dokumentation des Vernichtungsprozesses
   Es gilt, die Dokumentationspflicht über sämtliche Auftragsverhältnisse zu erfüllen. Gegebenenfalls ist eine auftragsbezogene Dokumentation zu erstellen.
2. Die bei der Datenverarbeitung beschäftigten Mitarbeitenden sind auf das Datengeheimnis zu verpflichten beziehungsweise hinzuweisen. Es sind nur Mitarbeiter mit der Datenverarbeitung zu betrauen, die sich verpflichtet haben, das Datenschutzrecht einzuhalten. Es ist zu gewährleisten, dass andere Personen keine Kenntnis über die zu löschenden Daten erhalten.
3. Es dürfen keine weiteren Auftragsverarbeiter ohne schriftliche Genehmigung des Verantwortlichen in Anspruch genommen werden. Bei einer allgemeinen schriftlichen Genehmigung muss der Verantwortliche über jede Änderung diesbezüglich informiert werden. Dadurch erhält der Auftraggeber die Möglichkeit dieser Änderung zu widersprechen. Der Auftragsverarbeiter haftet für die Einhaltung der Datenschutzpflichten des/der weiteren Auftragsverarbeiter/s. Auftragsverarbeiter können nach den Vorschriften der Auftragsverarbeitung grundsätzlich sowohl im EU-Raum wie auch in Drittländern tätig werden. Dabei sind insbesondere die zusätzlichen Anforderungen an die Sicherstellung des Datenschutzniveaus beim Auftragnehmer nach Kapitel V der DS-GVO zu beachten. Das gilt auch bei einer Weiterübermittlung der personenbezogenen Daten durch die empfangende Stelle im Drittland. Auftragsverarbeiter, die keine Niederlassung in der Europäischen Union haben, müssen hier einen Vertreter bestellen.
4. Dem Verantwortlichen sind alle erforderlichen Informationen zum Nachweis der Einhaltung der DS-GVO zur Verfügung zu stellen. Überprüfungen und Inspektionen durch den Verantwortlichen, oder einem von diesem beauftragten Prüfer, sind zu ermöglichen und dazu beizutragen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen die DS-GVO verstößt.
5. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese unverzüglich dem Verantwortlichen. Eine Dokumentation des Prozesses im Falle einer Datenschutzverletzung ist erforderlich.

Der Auftragsverarbeiter unterstützt nach Möglichkeit den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DS-GVO genannten Pflichten. Die Einhaltung genehmigter Verhaltensregeln („Code of Conduct“) oder eine Zertifizierung nach Artikel 42 DS-GVO kann als Faktor herangezogen werden, um hinreichende Garantien für die Einhaltung der in der DS-GVO genannten Pflichten nachzuweisen. In der Regel müssen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten für Ihr Unternehmen bestellen.

Hinweise:

• Ein Auftragsverarbeiter, der unter Verstoß gegen die DS-GVO die Zwecke und Mittel der Verarbeitung selbst bestimmt, gilt als Verantwortlicher und nicht mehr als Auftragsverarbeiter.
• Auftragsverarbeiter und Verantwortlicher haften künftig als Gesamtschuldner für die materiellen und immateriellen Schäden, die durch die illegale Datenverarbeitung hervorgerufen worden sind. Der Betroffene hat nach Artikel 79 DS-GVO ein direktes Klagerecht gegen den Auftragsverarbeiter. Die Verstöße gegen eine Reihe von Pflichten des Auftragsverarbeiters sind nach Artikel 83 Absatz 4 bis 6 DS-GVO bußgeldbewehrt.
• Als mit der Vernichtung von Daten Beschäftigte gelten alle Personen, die in irgendeiner Form mit den zu vernichtenden Daten in Berührung kommen, also beispielsweise auch Fahrerinnen und Fahrer, die die Datenträger transportieren oder Beschäftigte, die die Datenträger bis zur Vernichtung einlagern.

Übergeordnete Lebenslage: Datenschutzpflichten von Unternehmen