Datenvernichtung - Richtig kaputt machen

von Dipl.-Ök. Stephan Rehfeld, Geschäftsführer der scope & focus Service-Gesellschaft Freie Berufe mbH

Der Aktenvernichter reicht nicht, um Daten vollständig zu zerstören. Der Gesetzgeber fordert hier, sicherheitsrelevante Aspekte einzuhalten, die auch die Kanzleien berücksichtigen müssen.

Daten müssen nach dem aktuellen Stand der Technik vernichtet werden. Bei der Planung und Umsetzung einer Datenträgervernichtung sind daher die folgenden Punkte zu beachten:

1. die Abgrenzung des Umfangs der zu vernichtenden Daten,
2. die technischen und organisatorischen Regelungen zur Datenträgervernichtung (§ 9 BDSG, Anlage zu § 9 Satz 1),
3. die vertraglichen Regelungen bei der Datenträgervernichtung durch Dritte (Auftragsdatenverarbeitung, § 11 BDSG).

Eine gründliche Datenvernichtung verläuft in mehreren Schritten.

Schritt 1: Daten am Arbeitsplatz

Damit unberechtigte Dritte nicht auf personenbezogene Daten zugreifen können, sollte die Kanzlei bei der Datenhandhabung und -Vernichtung unbedingt Vorkehrungen treffen. Nach einem einfachen Klassifikationsschema lassen sich Daten in die Gruppen "öffentlich", "intern" und "vertraulich" einstufen. Zum Beispiel werden alle Daten, die Mandaten und Arbeitnehmer betreffen, als "vertraulich" eingestuft. Daten der Stufe "intern" und "vertraulich" sind grundsätzlich zu vernichten. Diese Klassifikation schafft Sicherheit aufseiten der Mitarbeiter und der Kanzleileitung. Ebenso müssen alle Datenträger, wie zum Beispiel CDs, DVDs, USB-Sticks, Festplatten und Flash-Speicher, wie auch Papierunterlagen vernichtet werden. Auch dies sollte schriftlich geregelt sein.

Schritt 2: Medien in der Kanzlei

In der Regel werden Datenträger in einer Kanzlei zentral und nicht am Arbeitsplatz vernichtet. Bereits im Vorfeld sollten Unbefugte keinen Zugriff auf die Datenträger haben. Die Datenträger sollten deswegen zentral in verschließbaren Behältern oder Räumen gesammelt werden.

Schritt 3. Datenvernichtung auf dem neuesten Stand

Die Vernichtung von papierenen Datenträgern und Folien nach dem aktuellen Stand der Technik ist in DIN 32757-1 geregelt, die fünf Sicherheitsstufen umfasst. So müssen Mandantendaten Sicherheitsstufe 3 oder höher vernichtet werden: "Stufe 3. Informationsträgervernichtung, bei der Informationsträger so vernichtet werden, dass die Reproduktion der auf ihnen wiedergegebenen Informationen nur unter erheblichem Aufwand (Personen, Hilfsmittel, Zeit) möglich ist. Papiere und Filme in Originalgröße: "Materialteilchenlänge maximal 60 mm, Materialteilchenbreite bis maximal 4 mm und Streifenbreite maximal 2 mm. Kunststoff wie Identifikationskarte oder Mikrofilm: Materialteilchenfläche maximal 1 mm." Hinweise zur technischen Vernichtung von Datenträgern gibt das Bundesamt für Sicherheit in der Informationstechnologie (http://www.bsi.de/) in der Maßnahme 2.167.

Schritt 4: Vernichtung von Daten durch Dritte

Prinzipiell ist die Vernichtung von Datenträgern durch die Kanzlei einer Vernichtung durch Dritte vorzuziehen. Bei einer Datenträgervernichtung durch Spezialfirmen liegt datenschutzrechtlich der Fall der Auftragsdatenverarbeitung vor (vgl. StC 5/2008, S. 58 f.). Dementsprechend muss der Auftraggeber die Anforderungen des § 11 BDSG beachten. Musterverträge lassen sich bei den zuständigen Aufsichtsbehörden abrufen. Außerdem darf es bei einer Auftragsdatenverarbeitung nicht zu einer Offenbarung von Mandantendaten im Sinne des § 203 StGB kommen (vgl. StC 4/2008, 50). Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein weist auf zwei Möglichkeiten hin:

1. Der Steuerberater oder einer seiner Mitarbeiter behält die Verfügungsgewalt und überwacht die Vernichtung bis zur durchgeführten Löschung. Dieses Vorgehen ist bei einer mobilen Datenvernichtung vor Ort praktikabel.
2. Um zu verhindern, dass Mitarbeiter der Datenträgervernichtungsfirma Einsicht in die zu vernichtenden Unterlagen nehmen, sollte der Steuerberater nur verschlossene Behältnisse aushändigen und schließt damit eine Kenntnisnahme durch den Datenvernichter aus.

Trotz der Vernichtung durch Dritte, bleibt der Auftraggeber datenschutzrechtlich in der Verantwortung. Eine sorgfältige Vorgehensweise ist daher dringend zu empfehlen.

Diplom-Ökonom Stephan Rehfeld,
Geschäftsführer der scope & focus GmbH,
der IT-Tochter des Steuerberaterverbands Niedersachsen Sachsen-Anhalt e.V.,
externer Datenschutzbeauftragter, Datenschutzbeauftragter (TÜV)
E-Mail: info@scope-and-focus.com
http://www.scope-and-focus.com/

Diplom-Ingenieur Ralf Röhr,
Geschäftsführer der KRK Computer Systeme GmbH.
E-Mail: info@krk-computersysteme.de
http://www.krk-computersysteme.de/

Veröffentlicht in: Steuer-Consultant 6/2009

• Datenschutz
• | Produkte
  • | externer DSB
  • | DS-Organisation
  • | Schulung
• | Fachinformationen
  • | Fachinformationen
• | Seminare
  • | DS-Seminare
• | Ansprechpartner
  • | Koordination
  • | Ansprechpartner

 

Seite drucken
Seite empfehlen
Kontakt