DSGVO – Daten & Dokumente im Tresor oder Wertschutzschrank aufbewahren

Die neue DSGVO (Datenschutzgrundverordnung der EU) wird bereits seit Wochen und Monaten wie eine Sau durchs Dorf getrieben. Wie mittlerweile hoffentlich jeder mitbekommen hat tritt am 25. Mai 2018 die EU DSGVO in kraft. Viele Firmen haben bereits im Vorfeld versucht möglichst viel Kapital heraus zu schlagen. „Bis zu 20 Mio. Euro Strafe“ oder andere Horror Überschriften finden Sie in E-Mail Newsletter und Aussendung vieler Dienstleister und Consultants, welche gerne Geld mit dem neuen Datenschutz verdienen möchten.

DSGVO ab wann?

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („Datenschutz-Grundverordnung“, DSGVO).

Die EU-Datenschutz-Grundverordnung ist ab dem 25. Mai 2018 gültig.

Was sagt die DSGVO?

Wir haben bereits sehr viele unterschiedliche Auffassungen der DSGVO gehört. Teils mit fast humoristischem Ausprägungen und völlig übertriebenem Inhalt. Es wird demnach nicht notwendig sein Rechnungen und Lieferscheinen an Endkunden verschwinden zu lassen oder sie rituell zu verbrennen. Hier folgt ein Auszug aus der DSGVO der für die Aufbewahrung der Daten relevant ist:

KAPITEL II

Grundsätze

Artikel 5

Grundsätze für die Verarbeitung personenbezogener Daten

1. Personenbezogene Daten müssen

• auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
• für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
• dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
• sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
• in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
• in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

2. Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

• unbefugter oder unrechtmäßiger Verarbeitung
• unbeabsichtigten Verlust
• unbeabsichtigte Zerstörung
• unbeabsichtigte Schädigung
• technische und organisatorische Maßnahmen

Aufgrund der Auskunftspflicht und dem Recht auf Löschung müssen personenbezogene Daten (z.B.: in Papierform) so abgelegt werden, dass Sie auch wieder gefunden werden können, da man sonst der Auskunftspflicht nicht gerecht werden kann. Auch wenn ein Antrag auf Löschung gestellt wird sollten die Daten gut auffindbar sein.

Zum Schutz vor unbefugtem Zugriff/ Verarbeitung und zum Schutz vor Zerstörung sollten wir Feuer und Einbruchsichere Tresore. Eine Einstufung wird aber nicht vorgeschrieben.