Sichere Aktenvernichtung bei Rechtsanwaltskanzleien
Berufsgeheimnisträger, wie Rechtsanwältinnen und Rechtsanwälte, treffen besondere Sorgfaltspflichten bei der datenschutzgerechten Vernichtung von Papierdokumenten und Arbeitsunterlagen, die personenbezogene Daten Dritter enthalten.
Ein Beschwerdeführer wandte sich mit dem Hinweis an den HBDI, er habe vollständig lesbare Papierdokumente einer Rechtsanwaltskanzlei im Papiermüllcontainer eines Mehrparteienhauses vorgefunden. Der Beschwerdeführer übersandte zum Beweis Fotos von zahlreichen Dokumenten. Darunter befand sich vertrauliche Korrespondenz mit Mandanten, Kontoauszüge, Rechnungen und weitere Dokumente mit personenbezogenen Daten. In einem anderen Fall wurde dem HBDI gemeldet, dass Papierdokumente einer Rechtsanwaltskanzlei mit vertraulichen personenbezogenen Daten über eine Straße verteilt auf dem Boden lagen. Die bezeichneten Unterlagen bergen in falschen Händen ein großes Missbrauchspotenzial.
Da es sich bei den Verantwortlichen um Berufsgeheimnisträger handelte, die regelmäßig mit einer Vielzahl vertraulicher personenbezogener Daten umgehen, wogen die Sachverhalte schwerer, als wenn es sich um Verantwortliche ohne die Berufsgeheimnisträgereigenschaft gehandelt hätte. Eine unberechtigte Kenntnisnahme Dritter hat zumindest im ersten Fall stattgefunden und könnte in der zweiten Fallkonstellation jederzeit stattfinden.
Vor allem besteht grundsätzlich das Risiko, dass Papierdokumente auf dem Entsorgungsweg verloren gehen. Auch wenn es sich hier um analog verarbeitete personenbezogene Daten handelt, ergibt sich aus den zurückgelegten Fahrtwegen der Entsorgungsbetriebe eine erhebliche Streubreite.
In jedem Fall gilt es zu beachten, dass Papierdokumente mit personenbezogenen Daten, die nicht aus dem privaten Bereich stammen, mittels eines Aktenvernichters oder qualifizierten Entsorgungsdienstes zu vernichten sind. Es handelt sich hierbei um technische und organisatorische Maßnahmen i.S.v. Art. 32 DSGVO, welche die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten.
Art. 32 DSGVO
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;
(…)
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
(…)
Hierfür ist nach dem Stand der Technik bei besonders sensiblen Daten mindestens die Sicherheitsstufe P-4 gemäß der Norm DIN/ISO 66399-2 zu erfüllen. Diese Sicherheitsstufe schreibt eine Zerkleinerung mittels des sogenannten Partikelschnitts (cross-cut) vor. Auch in einer zunehmend digitalisierten Welt sollte man den sachgerechten Umgang mit und die sichere Vernichtung von Papierdokumenten nicht aus den Augen verlieren.
Nach Abschluss der Sachverhaltsermittlung wurden die erforderlichen aufsichtsbehördlichen Maßnahmen ergriffen.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks