Datenträgervernichtung durch externe Dienstleister + Checkliste
Bei der Datenträgervernichtung durch externe Dienstleister handelt es sich um eine Datenverarbeitung im Auftrag (§ 11 BDSG). Daraus folgt, dass ein entsprechender Vertrag schriftlich abzuschließen ist. Ein erfahrener Dienstleister weiß dies und schlägt von sich aus entsprechende Vertragsmuster vor.
Die Änderungen von § 11 BDSG zum 1.9.2009 führten dazu, dass den Auftraggeber zusätzliche Pflichten treffen. Vor allem muss er sich auf geeignete Weise vergewissern, dass der Auftragnehmer die nötige Sorgfalt walten lässt. Wenn möglich sollte der Auftraggeber eine Besichtigung vor Ort vornehmen.
Auswahl eines zuverlässigen Dienstleisters
Datenträgervernichtung wirkt nur auf den ersten Blick banal. Es handelt sich jedoch um Spezialistenarbeit. Dies zeigt sich vor allem auf dem "Weg zur Vernichtung". Stets ist ein Gesamtkonzept nötig, das dort ansetzt, wo die zu entsorgenden Datenträger anfallen (also am Schreibtisch, im Rechenzentrum usw.) nd sowohl die Lagerung wie auch den Transport und die eigentliche Vernichtung der Datenträger regelt. Teils sind auch Umweltschutzvorschriften zu beachten. Es kommen deshalb nur Auftragnehmer mit einschlägigen Referenzen in Betracht. Eine Zertifizierung etwa nach ISO kann ein entscheidungserhebliches Qualitätsmerkmal sein.
Keine Entscheidungshilfe mehr bietet die Registrierung bei einer Datenschutzaufsichtsbehörde. Bis zum BDSG 2001 bestand eine solche Registrierungspflicht für alle Auftragsdatenverarbeiter und damit auch für externe Datenträgervernichtungsdienstleister. Mit dem BDSG 2001 wurde diese Registrierungspflicht abgeschafft. Falls ein Anbieter heute noch damit wirbt, ist Misstrauen angezeigt: Dies kann ein Zeichen dafür sein, dass er Rechtsänderungen nur ungenügend verfolgt.
Checkliste Datenträgervernichtung
a) "Datenträger" ist jedes Medium, auf dem Daten festgehalten werden können, von Papier bis zur Festplatte.
b) Für die Vernichtung von Papier ist DIN 32757 zu beachten, für die Vernichtung von magnetischen Datenträgern DIN 33858. Als europäische Norm tritt EN 15713 hinzu.
c) Die Datenträgervernichtung ist als Löschen personenbezogener Daten im Sinn des Datenschutzrechts anzusehen und muss die entsprechenden Vorgaben beachten.
d) Die Datenträgervernichtung durch einen externen Dienstleister stellt eine Auftragsdatenverarbeitung gemäß § 11 BDSG dar. Der Auftraggeber muss sich sorgfältig vergewissern, dass der Auftragnehmer die übernommenen Pflichten auch wirklich erfüllt. (tö)
Dieser Artikel entstammt dem "Lexikon für das IT-Recht 2014/2015", das unter www.channelpartner.de/shop erhältlich ist. Die vierte Auflage dieses Buchs richtet sich mit 130 Praxisthemen an Geschäftsführer, Manager und IT-Verantwortliche in Handelsunternehmen ohne eigene Rechtsabteilung. Das Lexikon ist als gedrucktes Buch für 39,95 Euro oder als eBook für 34,95 Euro in unserem Abo-Shop erhältlich.