Von einem größeren Datenschutzproblem wurde aus der baden-württembergischen Stadt Villingen-Schwenningen berichtet. Verschiedenen regionalen Redaktionen wurden unter anderem Krankenakten eines großen Klinikums, Post des Finanzamtes, Grundsteuerbescheide und Vollstreckungsaufträge in Papierform zugespielt. Herkunft: Altpapier. Nach bisherigem Ermittlungstand hat wohl ein beauftragtes Entsorgungsunternehmen seinen Auftrag etwas weit interpretiert.
Der Inhalt im Überblick
Datenschutz auch außerhalb des Internets
Diese Meldung erinnert daran, dass es neben Facebook und Google eine Welt gibt, die mit ganz klassischen Datenschutzproblemem zu kämpfen hat. Dazu gehört unter anderem die sachgerechte Entsorgung von Dokumenten, die personenbezogene Daten enthalten.
In der Regel Entsorgungsdienstleister
In der Praxis wird die Vernichtung von Dokumenten regelmäßig auf externe Dienstleistungsunternehmen ausgelagert. Dies ist bei der großen Menge von Dokumenten und Unterlagen, die in vielen Unternehmen und Behörden anfallen, auch nachvollziehbar und sinnvoll. Der firmeneigene Reisswolf wäre sonst wochenlang beschäftigt. Problematisch wird es nur, wenn der Dienstleiter unzuverlässig arbeitet.
Aus den Augen aus dem Sinn
Denn bei einer Auslagerung der Vernichtung gilt zu beachten, dass der Auftraggeber nach dem Datenschutzrecht weiterhin verantwortliche Stelle bleibt. Dies hängt mit der Vorschrift des § 11 BDSG zusammen, der die datenschutzrechtliche Verantwortung bei einer sogenannten Auftragsdatenverarbeitung weiterhin dem Auftraggeber zuweist. Von wegen „aus den Augen aus dem Sinn“ – den Papierentsorger schaut man sich besser zweimal an.
Auftragsdatenverarbeitung
Im Fall einer Auftragsdatenverarbeitung sind spezielle Verträge abzuschließen, die genau regeln, zu welchen Sicherheitmaßnahmen und Prozessen etc. der Entsorger in Bezug auf den ordnungsgenäßen Umgang mit den Daten verpflichtet ist.
Außerdem ist der Auftraggeber dazu verpflichtet, sich vor Beginn der Auftragsdatenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und dieses Ergebnis zu dokumentieren.
Das Wichtigste ist dabei natürlich, ob der Entsorger die Daten auch ordnungsgemäß löscht. Darunter versteht man im Übrigen jede Form der Unkenntlichmachung. Der Wurf in den Altpapiercontainer reicht dazu nicht.
Fazit
Wer die Verantwortung für diesen Datenschutzskandal übernehmen wird bleibt abzuwarten. Für alle anderen gilt – denn jedes Datenschutzkonzept ist nur so stark wie sein schwächste Glied – Augen auf bei der Auswahl des Entsorgers!
Vielleicht könnt ihr bitte auch mal aufklären, wie sehr „Schredder“ (meine Erfahrung ist, dass Schredder mitnichten gleich Schredder ist) schreddern müssen?
Reichen Streifen von mehreren Millimetern aus? Oder sollten die auch noch geknickt sein?
Können Sie bitte die Quelle Ihrer Informationen nennen, einen Zeitungsartikel vielleicht? Ich konnte bislang nichts dazu finden.
@ Humpi:
Richtig – Schreddern ist nicht gleich Schreddern: Die Detalls eignen sich allerdings für einen eigenen Beitrag. Daher verweise ich auf die entsprechende DIN-Norm DIN 32757, die je nach Sicherheitsrelevanz der Daten bestimmte Vorgaben zur Zerkleinerung macht. Dabei geht es um Streifenbreite und Partikelfläche…
@ DSBBB:
Der Link zum Artikel versteckt sich hinter „berichtet“ im ersten Satz des Beitrags.
Danke schön :-)