Darauf kommt es bei der Datenvernichtung im Autohaus und Kfz-Betrieb an

Spätestens seit der neuen DSGVO-Verordnung von Mai 2018 sollten sich Autohäuser und Kfz-Betriebe Gedanken über ihre Vorgehensweise bei der Datenvernichtung machen. Dies ist wichtig, denn nur durch ein Konzept für eine datenschutzgerechte Vernichtung von vertraulichen Unterlagen etc. und rechtssichere Verträge mit Datenentsorgern können Abmahnungen mit hohen Bußgeldern vermieden werden.

Zwar wissen die Meisten, dass sie Datenträger datenschutzgerecht entsorgen müssen, dennoch wissen sie nicht wie sie dabei genau vorgehen sollen.

Die wichtigsten Fragen dazu klären wir nun für Sie.

Was ist der erste Schritt für eine datenschutzgerechte Datenvernichtung?

Zuerst einmal ist es wichtig, dass Sie Verantwortliche für das Management von Papierdokumenten und digitalen Daten und damit für die Datenvernichtung festlegen. Im besten Fall sind dies zwei Mitarbeiter, die sich im Datenschutz auskennen und denen die täglichen Arbeitsschritte und der betriebsinterne Umgang mit vertraulichen Daten bekannt sind. Anstelle von zwei Mitarbeitern können Sie auch einen Datenschutzbeauftragten ernennen oder extern einstellen. Die Verantwortlichen sind Ansprechpartner in Sachen Datenvernichtung und kümmern sich um die datenschutzgerechte Vorgehensweise. Auch schulen Sie alle Mitarbeiter für die Datenvernichtung. Dann ist es essentiell, dass ein Konzept für die Datenvernichtung erstellt wird. Hier sollten den personenbezogenen Daten Schutzklassen, Sicherheitsstufen und Vernichtungsmaßnahmen zugeordnet werden, um den Überblick zu behalten.

Wie sieht ein Konzept für die Datenvernichtung aus?

Für das Konzept sollten sie sich an der DIN-Norm-66399 orientieren. Hier werden vertrauliche Dokumente in 3 Schutzklassen und 7 Sicherheitsstufen eingeordnet. Klasse 1 bedeutet normaler Schutz für interne Daten, Klasse 2 bedeutet hoher Schutz für vertrauliche Daten und in der Klasse 3 befinden sich geheime Daten mit besonders hohem Schutz. In Klasse 3 muss der Datenschutz unbedingt gewährleitet sein, denn sonst kann es zur Gefahr für den Betroffenen kommen.
Insgesamt gibt es 7 Sicherheitsstufen für Daten. Allerdings umfasst die 7. Stufe geheime Daten aus dem Militär- und Geheimdienst und kann hier außer Acht gelassen werden.

Ein Konzept kann beispielsweise so aussehen:

Wie legt man die Maßnahmen zur Datenvernichtung fest?

Die Datenvernichtungsmaßnahmen müssen unbedingt an den Datenträger und den Schutzbedarf angepasst werden. In den höheren Schutzklassen müssen meist weitere Maßnahmen ergriffen werden. So sind beispielsweise die meisten Aktenvernichter nur auf Sicherheitsstufe 1 und 2 ausgelegt. Da Personalakten aber einer höheren Sicherheitsstufe angehören, wird hier ein Aktenvernichter mit Sicherheitsstufe 4 benötigt. Auch bei Festplatten reicht es in den oberen Stufen nicht aus die Festplatte zu überschreiben, sondern die Festplatte muss auch physisch zerstört werden. Bei CDs und DVDs reicht meist ein Einfaches zerstückeln nicht aus, da diese Stücke rekonstruiert werden können. Hier ist es besser die Datenträger zu schreddern oder gar einzuschmelzen. Daten in Papierform sollten mehrmals jährlich durchgesehen werden und dann geschreddert oder sicher verwahrt werden. Es ist absolut essentiell feste Regeln zum Umgang mit der Datenvernichtung festzulegen, nur so lassen sich Gefahrenquellen vermeiden.

Wo liegen die Gefahren beim Datenschutz bei betriebsinternen Abläufen?

Die Frage lässt sich ganz einfach beantworten. Dabei sind die häufigsten Fehler die Mitarbeiter begehen ebenso leichtsinnig, wie einfach zu vermeiden. Benutzen die Mitarbeiter einen Navi im Dienstwagen, so wird oft vergessen die eingegebenen Daten zu löschen. Auch Arbeitshandys werden selten auf Werkseinstellung zurückgesetzt, wenn ein Mitarbeiter geht. Doch einer der häufigsten Fehler liegt darin, dass Festplatten nicht richtig überschrieben werden und Mitarbeiter am Druck- und Faxgerät Dokumente liegen lassen oder einfach in den Mülleimer werfen. Hier müssen die Verantwortlichen für die Datenvernichtung die Mitarbeiter schulen und für diese Gefahrenquellen sensibilisieren.

Was muss man beachten, wenn ein Dienstleister die Datenvernichtung übernimmt?

Wenn Sie ein Unternehmen mit Ihrer Aktenvernichtung beauftragt haben, so handelt es sich um eine Auftragsverarbeitung und demnach müssen Sie einen Vertrag mit dem Auftragnehmer abschließen. Bei dem Vertrag müssen Sie darauf achten, dass Ihr Auftragnehmer den Vertrag an die neue DSGVO angepasst hat (neuer Vertrag oder Vertragsergänzung), sich dieser auf die speziellen Fälle in Ihrem Autohaus oder Kfz-Betrieb bezieht und hinreichende Garantien bietet, dass die Daten auch datenschutzkonform vernichtet werden.

Wichtige neue Punkte, die der Vertrag enthalten sollte:

  • Widerspruchsrecht
  • Hinweis auf Subunternehmer
  • Unterstützung bei der Erfüllung von Ansprüchen der betroffenen Person
  • Meldung bei Datenschutzverstößen
  • Erfüllung der Meldepflicht
  • Mitwirkung bei Datenschutz-Folgeabschätzungen
  • Konsultation mit Aufsichtsbehörden
  • Trotz Vertrag mit einem Dritten haben Sie Sorge zu tragen, dass die Datenvernichtung rechtmäßig erfolgt.

Wenn Sie Hilfe oder weitere Infos zur Datenvernichtung in Ihrem Autohaus oder Kfz-Betrieb benötigen, dann melden Sie sich gerne bei uns. Wir helfen Ihnen gerne weiter. Auch können wir Ihnen einen externen Datenschutzbeauftragten stellen, der sich professionell und sicher darum kümmert, dass Sie die datenschutzrechtlichen Vorgaben einhalten.

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.