Auch das Löschen personenbezogener Daten beziehungsweise das Vernichten elektronisch oder mechanisch lesbarer Datenträger (z.B. CD-ROMs, Festplatten, Akten) ist eine Form der Verarbeitung im Sinne des Bundesdatenschutzgesetzes und muss nach bestimmten Vorschriften erfolgen.
Datenvernichtung im eigenen Unternehmen
Wenn Sie selbst in Ihrem Unternehmen Daten löschen oder Datenträger vernichten, müssen Sie sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden. Welche Maßnahmen das sind, können Sie im Kapitel "Technische und organisatorische Maßnahmen" nachlesen.
Datenvernichtung durch Dritte im Auftrag
Die meisten Unternehmen beauftragen auf Datenvernichtung spezialisierte gewerbliche Unternehmen mit der Datenträgervernichtung. Auch für diese Fälle gibt es genaue Vorschriften:
- Sie müssen den Auftrag schriftlich erteilen.
- Der Auftrag muss Angaben darüber enthalten,
- welcher Art die Daten oder Datenträger sind und wie die Schutzbedürftigkeit der Daten eingestuft wird,
- auf welche Weise die Vernichtung erfolgen muss,
- wo die Datenträger vernichtet werden,
- von wem die Datenträger abgeholt und wie sie transportiert werden,
- wo die Datenträger bis zur Vernichtung aufbewahrt werden,
- bis wann die Datenträger vernichtet sein müssen,
- ob der Auftragnehmer andere Unternehmen bei der Vernichtung einschalten darf und
- dass Sie als Auftraggeber berechtigt sind, Transport und Vernichtung zu überwachen.
- Sie als Auftraggeber beziehungsweise die oder der Datenschutzbeauftragte in Ihrem Unternehmen müssen sich davon überzeugen, dass der Auftragnehmer die im Vertrag festgehaltenen Maßnahmen einhält. Auch wenn Sie regelmäßig demselben Datenvernichter Ihre Datenträger zur Vernichtung überlassen, sollten Sie daher stichprobenartig die Einhaltung der Maßnahmen überprüfen.
Achtung: Bis zum Abschluss der Vernichtung der Datenträger sind Sie als Auftraggeber für die Einhaltung der Datenschutzanforderungen verantwortlich.
Pflichten der datenvernichtenden Unternehmen
Wenn Sie in Ihrem Unternehmen gewerbliche Datenträgervernichtung betreiben, müssen Sie technische und organisatorische Maßnahmen treffen, um eine sichere Verarbeitung der Daten zu gewährleisten. Dabei sind vor allem die folgenden Punkte unerlässlich:
- Zutrittskontrolle
- Weitergabekontrolle
- Organisationskontrolle
Wenn Sie mindestens 20 Personen bei der Vernichtung der Daten beschäftigen, müssen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten für Ihr Unternehmen bestellen. Zusätzlich müssen Sie die bei der Datenverarbeitung beschäftigten Mitarbeitenden auf das Datengeheimnis verpflichten.
Achtung: Als mit der Vernichtung von Daten Beschäftigte gelten alle Personen, die in irgendeiner Form mit den zu vernichtenden Daten in Berührung kommen, also beispielsweise auch Fahrerinnen und Fahrer, die die Datenträger transportieren oder Beschäftigte, die die Datenträger bis zur Vernichtung einlagern.