Die Datenschutzgrundverordnung (DSGVO) bildet die Grundlage für den Schutz personenbezogener Daten. Der Geltungsbereich erstreckt sich auf sämtliche Aktivitäten, bei welchen personenbezogene Daten „ganz oder teilweise automatisiert“ verarbeitet werden oder zumindest in einem Dateisystem gespeichert sind oder werden sollen. Wenn es sich um Daten von Beschäftigten (Arbeitnehmerdaten) handelt, dann sind die Maßgaben der DSGVO auch anzuwenden, wenn die Daten nicht einmal in einem geordneten Dateisystem gespeichert werden sollen. Oftmals werden mit solchen Aufzeichnungen nur elektronische Datenübermittlungen sowie Online-Bewegungen in Verbindung gebracht. Berücksichtigt werden müssen jedoch auch sämtliche Daten, welche in Papierform bestehen. Hierzu zählen beispielsweise Briefe, Karteikarten, Formulare, Verträge oder einfache Notizzettel. Sämtliche Formate fallen unter den Geltungsbereich der DSGVO und werden durch die Regelungen geschützt.
Anforderung und Verwendung
Um den Anforderungen der DSGVO gerecht zu werden, benötigen Betriebe eine gut funktionierende Infrastruktur, um Löschung und Archivierung korrekt umsetzen zu können. Dabei sind aber auch bestehende (gesetzliche) Nachweispflichten zu beachten, durch welche einige Dokumente eine bestimmte und vorgeschriebene Zeit aufbewahrt werden müssen.
Personenbezogene Daten dürfen auch auf Papier lediglich für legitime Zwecke erfasst werden (Art. 5 Nr. 1 i.V.m. Art. 6 DSGVO). Legitim ist jeder Zweck, welcher von einer rechtlichen Grundlage, wie beispielsweise der Vertragserfüllung, gestützt wird. Entfällt der Zweck für die Aufbewahrung der handschriftlichen Notiz, ist diese zu vernichten.
Entsorgung personenbezogener Daten auf Papier
Personenbezogene Daten dürfen grundsätzlich nur so lange gespeichert werden, wie sie einem legitimen und bestimmten Zweck dienen. Digitale Daten werden nach einer festgelegten Zeit manuell oder automatisch gelöscht und damit effektiv aus dem Verkehr gezogen. Bei Verträgen oder anderen Informationen auf Papier gestattet die DSGVO ebenfalls eine relativ unkomplizierte Lösung, um vertrauliche sowie sonstige personenbezogene Daten zu vernichten. Demnach dürfen Dokumente nur so vernichtet werden, dass eine Rekonstruktion des Inhalts nicht möglich ist. In der Regel wird zur Erfüllung dieser Anforderung ein zertifizierter Aktenvernichter verwendet. Hierdurch werden sämtliche Informationen sicher entsorgt. Alternativ wäre eine externe Aktenvernichtung möglich, welche Betriebe in der Regel vor höhere Kosten stellt. Nach der Definition der DSGVO gehört der Prozess der Vernichtung zur allgemeinen Verarbeitung (Art. 4 Nr. 2 DSGVO).
Sie benötigen Unterstützung bei der Umsetzung? Wir stehen Ihnen gerne mit Rat und Tat zur Seite. Weitere Informationen und Kontaktmöglichkeiten finden Sie unter https://kajo-datenschutz.de