Datenschutzkonforme Aktenvernichtung

Auch: Aktenshredder-Pflicht · Sichere Datenvernichtung

Die datenschutzkonforme Aktenvernichtung verpflichtet ein Maklerbüro, ausgediente Papierunterlagen, Ausweiskopien, Vertragsentwürfe und Datenträger mit personenbezogenen Daten so zu entsorgen, dass die enthaltenen Informationen nicht mehr rekonstruiert werden können. Ein normaler Papierkorb oder unzureichend geschredderte Unterlagen genügen den gesetzlichen Anforderungen nicht.

Ausführliche Erklärung

Maklerbüros fallen naturgemäß viele Papierunterlagen mit personenbezogenen, teils besonders sensiblen Daten an: Ausweiskopien im Rahmen der Geldwäscheprüfung, SCHUFA-Auskünfte, Einkommensnachweise, Vollmachten, Notizen aus Besichtigungsterminen. Werden diese nach Ablauf der Aufbewahrungsfrist oder nach Abschluss eines Vorgangs nicht ordnungsgemäß vernichtet, verstößt dies gegen die Grundsätze der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) sowie gegen die Pflicht zu angemessenen technischen und organisatorischen Maßnahmen (Art. 32 DSGVO).

Praxisrelevante Anforderungen:

  • Sicherheitsstufen nach DIN 66399: Die Norm unterteilt Datenträger in Schutzklassen (normal, hoch, sehr hoch) und legt für Papier Sicherheitsstufen (P-1 bis P-7) mit maximaler Partikelgröße fest. Für personenbezogene Daten von Maklerkunden (Namen, Kontaktdaten, Finanzdaten) wird in der Praxis mindestens Sicherheitsstufe P-4 empfohlen, für besonders sensible Unterlagen (Bonitätsauskünfte, Gesundheitsdaten, Ausweiskopien) eher P-5 oder höher.
  • Interne vs. externe Vernichtung: Ein einfacher Büro-Aktenvernichter mit ausreichender Sicherheitsstufe kann für kleinere Mengen genügen. Bei größeren Aktenbeständen wird häufig ein zertifizierter externer Dienstleister beauftragt – dieser handelt dann als Auftragsverarbeiter, sodass ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) mit Vernichtungsnachweis erforderlich ist.
  • Digitale Datenträger: Auch ausgediente Festplatten, USB-Sticks oder alte Diensthandys mit Kundendaten müssen physisch zerstört oder durch zertifizierte Löschverfahren unwiederbringlich gelöscht werden, nicht nur formatiert.
  • Sammelbehälter im Büro: Werden Zwischenlager-Behälter für zu vernichtende Akten genutzt (z. B. bei externer Abholung), müssen diese abschließbar sein und dürfen nicht für Unbefugte zugänglich stehen.
  • Dokumentationspflicht: Die Vernichtung sollte protokolliert werden (Vernichtungsnachweis, Datum, Menge), um im Rahmen eines Datenschutz-Audits die Einhaltung der Löschpflichten belegen zu können.

Ein häufiger Praxisfehler ist die Entsorgung unzureichend geschredderter oder unzerkleinerter Unterlagen im normalen Altpapiercontainer – dies stellt einen klassischen, leicht nachweisbaren DSGVO-Verstoß dar, der bei Entdeckung (etwa durch Dritte, die Unterlagen im Müll finden) zu Beschwerden bei der Aufsichtsbehörde führen kann.

Beispiel aus der Praxis

Ein Maklerbüro räumt nach Abschluss eines Verkaufs den Papierordner mit Ausweiskopien, Einkommensnachweisen und Vertragsentwürfen des Käufers. Statt die Unterlagen in den normalen Papiermüll zu geben, werden sie in einem Aktenvernichter mit Sicherheitsstufe P-5 geschreddert und die Vernichtung im internen Löschprotokoll dokumentiert.

Rechtsgrundlage

  • Art. 5 Abs. 1 lit. f DSGVO – Grundsatz der Integrität und Vertraulichkeit personenbezogener Daten.
  • Art. 32 DSGVO – Pflicht zu angemessenen technischen und organisatorischen Maßnahmen, einschließlich sicherer Entsorgung.
  • DIN 66399 – Technische Norm zur Vernichtung von Datenträgern mit gestaffelten Sicherheitsstufen (keine unmittelbare Rechtsnorm, aber anerkannter Nachweismaßstab).

Verwandte Begriffe