Die Vernichtung von (sensiblen) Daten ist für alle Unternehmen jedweder Größenordnung von fundamentaler Bedeutung. Insbesondere die Gesetzgebung ist in diesem Bereich seit jeher streng ausgelegt und kann bei Missachtung erhebliche Geldstrafen nach sich ziehen. Vor diesem Hintergrund gilt es, auf einige wichtige Aspekte zu Achten und in den Überlegungen unbedingt zu berücksichtigen.
Fundamentale Grundsätze bei der Datenvernichtung
Der Allumfassende Begriff der Datenvernichtung verleitete viele Unternehmen fälschlicherweise dazu, sich ausschließlich mit dem Thema des gesetzlichen Datenschutzes zu befassen. Dieser Annahme führt mitunter dazu, dass Datenträger jedweder Art beispielsweise falsch aufbewahrt und nicht fachgerecht entsorgt werden. Um den Anforderungen an die sichere bzw. korrekte Datenvernichtung in vollem Umfang gerecht zu werden, ist die Norm DIN 66399 Teil 1/Teil 2 die maßgebende Richtlinie. Neben Sicherheitsstufen sowie Schutzbedarfe behandelt die Norm die Regelung von Verantwortlichkeiten sowie die vorgeschriebene Art der Vernichtung bzw. Entsorgung. Beim Studieren der Norm kommen Verantwortliche oftmals rasch zu dem Ergebnis, dass der gekaufte Schredder schlichtweg nicht den gestellten Anforderungen genügt.
Verschiedene Möglichkeiten für die Datenvernichtung
Die Vernichtung von Daten kann grundsätzlich immer durch die verantwortliche Stelle selbst durchgeführt werden. Sensible Datenträger bzw. Dokumente sollten in diesem Zusammenhang unter keinen Umständen schlichtweg zerrissen und in einem Schredder vernichtet werden. Kommt der Umstand hinzu, dass personenbezogene Daten auf den Medien gespeichert sind, bedarf es der Anschaffung eines genormten Schredders, welcher eine entsprechende Zertifizierung besitzt.
Darüber hinaus besteht die Möglichkeit, die Datenvernichtung durch einen Dienstleister vor Ort durchführen zu lassen. Wer beispielsweise eine Festplatte vernichten möchte, kann zu diesem Zweck einen speziellen LKW zum Firmenstandort bestellen und die korrekte Durchführung der Datenvernichtung selbst überwachen.
Zudem können Unternehmen die Vernichtung vertraulicher Informationen und Daten bei einem externen Dienstleister in Auftrag geben. Bevor dieser allerdings mit seiner Arbeit beginnen kann, muss ein sogenannter Auftragsverarbeitungsvertrag abgeschlossen werden. Dieser enthält explizite Richtlinien, wie die zu vernichtenden Daten behandelt bzw. durch den Dienstleister verarbeitet werden. Die externe Dienstleistung erfolgt durch die Bereitstellung von speziell gesicherten Containern, welche beim jeweiligen Auftraggeber aufgestellt und regelmäßig zur Entleerung abgeholt werden.
Wer sich für die Inanspruchnahme eines externen Dienstleisters entscheidet, übernimmt dennoch die Verantwortung für die gesetzeskonforme Vernichtung der Daten. Hierfür empfiehlt es sich, die jeweiligen Datenträger in Sicherheitsstufen einzuordnen. Der Auftragnehmer ist vor diesem Hintergrund letztendlich in der Pflicht, für die korrekte Vernichtung Sorge zu tragen.
Die professionelle Datenvernichtung ist enorm wichtig
Unternehmen und Selbststände arbeiten täglich mit personenbezogenen Daten und sind per Gesetz dazu angehalten, verantwortungsbewusst mit diesen umzugehen. Fahrlässigkeit kann in diesem Bereich empfindliche Strafen nach sich ziehen. Aufgrund der streng geregelten Rechtslage ist es Entscheidungsspielraum für Unternehmen extrem klein. Investitionen ins zertifizierte Vernichtungsanlagen in Form von Schreddern sowie Containern und/oder Dienstleister tragen dazu bei, das Risiko eines Verstoßes erheblich zu reduzieren. Hilfestellungen und Vorgaben der Norm DIN 66399 tragen erheblich dazu bei, eine korrekte Datenvernichtung zu gewährleisten. Hierbei nimmt insbesondere die Definition von Sicherheitsstufen einen überaus hohen Stellenwert bei der täglichen Arbeit ein.