Foto: © Aycatcher/Fotolia.de
Personenbezogene Daten müssen gelöscht werden, sobald der Zweck, für den sie erhoben wurden, erfüllt und die Aufbewahrungsfrist abgelaufen ist. Das gibt das Bundesdatenschutzgesetz vor. Tatsächlich werden hierzulande 84 Prozent der personenbezogenen Daten vor ihrer Entsorgung datenschutzgerecht vernichtet. Das zeigt eine Auswertung des TÜV SÜD Datenschutzindikators (DSI), der 2014 erstmals von der TÜV SÜD Sec-IT GmbH, unterstützt durch die LMU München, vorgestellt wurde.
Rainer Seidlitz, Datenschutzexperte bei TÜV SÜD Sec-IT, rät Unternehmen dazu, sich mit der Sperrung oder Löschung von nicht länger benötigten personenbezogenen Daten in jedem Fall auseinandersetzen.
Bleiben solche Daten als Karteileichen auf den Servern liegen und werden nachweislich nicht gelöscht oder zulässig gesperrt, können für Unternehmen empfindliche Bußgelder in Höhe von bis zu 300.000 Euro entstehen,
gibt Seidlitz zu bedenken.
Datenträgervernichtungskonzepte als Leitfaden auch für Mitarbeiter
61 Prozent der Unternehmen geben an, über ein Datenträgervernichtungskonzept für Altdatenträger mit personenbezogenen Daten zu verfügen, das die datenschutzrechtlichen Erfordernisse erfüllt. So ein Konzept mit entsprechenden Vorgaben sei jedoch für alle Unternehmen sinnvoll, sagt der Datenschutzexperte. Es könne als allgemeines Regelwerk und als konkrete Verwahrungsanweisung dienen und Mitarbeiter könnten sich so bei Fragen an festgeschriebene Konformitäten halten. Für die Erstellung des Konzepts können sich Unternehmen an der Norm DIN 66399 orientieren, die Prozessschritte und Anforderungen an Maschinen rund um die Vernichtung von Datenträgern behandelt. Außerdem umfasst sie digitale Dokumente und die damit verbundenen neuen Sicherheitserfordernisse.
Unternehmen, die selbst prüfen möchten, wie gut sie in Sachen Datenschutz aufgestellt sind und an welchen Stellen Verbesserungspotenzial besteht, können > hier am TÜV Süd DSI teilnehmen.