GlobalSign Blog

13 Jul 2018

DSGVO und Vernichtung physischer Dokumente: Vier Dinge, die Sie wissen müssen

Am 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten, die eine Vielzahl neuer Regeln für die Erhebung, Speicherung und Verarbeitung aller personenbezogener Datenarten von Bürgern der EU bedeutet. Das heißt, alle Unternehmen, die Daten von EU-Bürgern speichern, müssen die Vorschriften einhalten. Die DSGVO machte durch die Vielzahl der E-Mails, die Personen erhielten, Schlagzeilen, weil Unternehmen ihre Mailinglisten aktualisieren und die Einwilligung der Betroffenen einholen mussten. Außerdem mussten Datenschutz- und Cookie-Einstellungen auf Websites überarbeitet werden.

Allerdings ist es wichtig, festzuhalten, dass die DSGVO eingeführt wurde, um die Speicherung und Verarbeitung aller personenbezogenen Datenarten zu managen. Einer der Schlüsselfaktoren in den DSGVO-Regeln ist, dass Unternehmen einen viel strengeren Ansatz bei Datenschutzverletzungen und der sicheren Speicherung von Daten verfolgen müssen. Andernfalls kann dies dazu führen, dass das Unternehmen eine Geldbuße von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes des Unternehmens (je nachdem, welcher Betrag höher ist) zahlen muss.

Das bedeutet zwangsläufig für Unternehmen, besonderes Augenmerk darauf zu legen, dass Daten nicht gestohlen oder verloren gehen. Eine der wichtigsten Ansatzpunkte ist dabei, zu verstehen, wie und wo Daten gespeichert werden und wie sie vernichtet werden. In diesem Post sehen wir uns einige der Dinge an, die Sie wissen müssen, um sicherzustellen, dass Ihr Ansatz zur Datenvernichtung den Regeln der DSGVO entspricht.

Überprüfen Sie, wo sich Ihre Daten befinden - Übersehen Sie nicht die physischen Dokumente!

Wenn Sie es noch nicht getan haben, sollten Sie unbedingt einen Plan erstellen, der sicherstellt, dass Sie Daten korrekt verarbeiten, speichern und vernichten. Der erste Schritt in diesem Prozess besteht darin, einen Überblick über Ihre gesamten Verarbeitungsvorgänge zu erhalten, damit Sie vollständig verstehen können, wie und wo Daten verarbeitet werden. Sie meinen vielleicht, dass dies einfach ist. Aber wenn Sie genauer hinschauen, werden Sie evtl. feststellen, dass es viel komplexer ist, als Sie es sich vorgestellt haben.

Erstens könnten Sie annehmen, dass sich alle Ihre Daten in Dateien auf einem internen Server befinden. Es ist jedoch sehr wahrscheinlich, dass sie auch an anderen Orte vorhanden sind, wie z. B. auf privaten Geräten, die nicht mit dem Server verbunden sind (z. B. private Laptops, Tablets und Handys von Mitarbeitern). Daten können auch gedruckt und als Papierkopien aufbewahrt werden, wofür es keinen echten Prozess zur sicheren Vernichtung dieser Daten gibt, wenn diese nicht mehr benötigt werden. Dies kann ein großes Problem bei der Einhaltung der DSGVO sein. Die Avis Budget Group besaß beispielsweise eine große Menge an Papierdokumenten, die digitalisiert werden mussten, um konform zu sein. Bei einer Geschwindigkeit von 150 Seiten pro Minute dauerte es zwei Wochen, um von Papier- auf Cloud-Speicherung umzustellen. Lesen Sie die Fallstudie hier.

1. Empfehlung zur sicheren Dokumentenvernichtung

Für Ihren nächsten Schritt müssen Sie eine Vernichtungsrichtlinie für Papierdokumente erstellen und diese den Mitarbeitern erklären. Betonen Sie, warum sie sich an diese Richtlinie halten müssen. Sie könnten zum Beispiel ein Poster erstellen, das an verschiedenen Stellen am Arbeitsplatz aufgehängt werden kann und das genau erklärt, wie, wann und warum Dokumente vernichtet werden müssen.

In der Richtlinie sollte zum Ausdruck kommen, dass Mitarbeiter Dokumente und Medien in Schredderbehältern entsorgen müssen, bei denen niemand nach der Entsorgung Zugriff auf die Dokumente hat. Sie können dazu externe spezialisierte Dokumentevernichter hinzuziehen, um die Dokumente zu vernichten. In den meisten Fällen bieten diese Unternehmen einen Service an, bei dem die Vernichtung vor Ort geschieht, um höchste Sicherheitsniveaus zu wahren.

2. Gibt es eine DSGVO-konforme Schnipselgröße?

Die DSGVO legt keine spezifische Größe fest, auf die Dokumente geschreddert werden müssen, um die Verordnung zu erfüllen. Wenn Sie jedoch mit einem seriösen Dokumentenvernichter zusammenarbeiten, hat dieser Geräte in Industriegröße, die die Dokumente verarbeiten und gemäß den Standardregeln und Best Practices vernichten können. Dies ist eine weit bessere Methode, als die Zeit Ihrer eigenen Mitarbeiter damit zu verschwenden, einzelne Dokumente in einen Standard-Büroaktenvernichter zu geben.

3. Auswahl des richtigen Dokumentenvernichtungsdienstes

Nehmen Sie sich Zeit für Ihre Suche nach einem Dokumentenvernichter, der die Arbeit für Sie erledigen sollen. Stellen Sie sicher, dass Sie die Verfahren der einzelnen Vernichter vollständig verstehen und dass diese ehrlich und transparent Ihnen gegenüber sind. Achten Sie darauf, dass Sie wissen, wohin der Abfall gelangt, ob er an Ihrem Standort vernichtet wird und, falls nicht, wohin die Dokumente zur Vernichtung gebracht werden.

Es stimmt, dass die DSGVO weit mehr umfasst als die Löschung der physischen Dokumentation, da die Regeln für die Speicherung jeglicher personenbezogenen Datenart gelten. Allerdings werden physische Dokumente häufig übersehen, wenn versucht wird, die DSGVO-Konformität zu erlangen. Daher ist es wichtig, dass Sie sich die Zeit nehmen, die von Ihrem Unternehmen verwendeten Prozesse zu verstehen und sie ggf. zu aktualisieren.

Weitere Tipps zur Einhaltung der DSGVO finden Sie in einem unserer letzten Posts: Erkenntnisse eines Datenschutzbeauftragten nach der Umsetzung der DSGVO.

Über den Autor

Mike James ist ein unabhängiger Autor, Tech-Spezialist und Experte für Cybersicherheit aus Brighton, UK. Seine Arbeiten werden in vielen der führenden Online- und Print-Magazine veröffentlicht und er ist ein hervorragender Autor über Ethical Hacking, Penetrationstests - und wie diese Technologien bei Unternehmen aller Formen und Größen implementiert werden können. Mike arbeitet oft mit Redscan, einem führenden Anbieter von Cybersicherheit im UK, sowie einer Reihe weiterer Unternehmen zusammen. Er schreibt auch über seltsame Diät- und Trainingsprogramme, wenn er nicht über sehr abgedrehte Sachen schreibt!

Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors und geben nicht unbedingt die von GlobalSign wieder.

Artikel teilen