Datenträger-Entsorgung: 40 Prozent der Unternehmen fehlt Vernichtungskonzept

Datenschutzindikator vom TÜV SÜD lässt noch offene Schwachstellen erkennen

[datensicherheit.de, 13.07.2016] Die meisten Unternehmen speichern eine Menge personenbezogener Daten, die – sobald der Zweck, für den sie erhoben wurden, erfüllt und die Aufbewahrungsfrist abgelaufen ist – gelöscht werden müssen. Die Auswertung des Datenschutzindikators (DSI) zeigt nach aktuellen Angaben des TÜV SÜD, dass bereits 84 Prozent der Unternehmen personenbezogene Daten vor ihrer Entsorgung datenschutzgerecht vernichten. Allerdings fehle bei rund 40 Prozent ein Datenträger-Vernichtungskonzept.

„Karteileichen“ können teuer werden!

Mit der Sperrung oder Löschung von nicht länger benötigten, personenbezogenen Daten sollten sich Unternehmen in jedem Fall auseinandersetzen, rät der TÜV SÜD: „Das Bundesdatenschutzgesetz gibt vor, dass personenbezogene Daten unter anderem zu löschen sind, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist“, erklärt hierzu Rainer Seidlitz, Datenschutzexperte der TÜV SÜD Sec-IT GmbH.
Blieben solche Daten als „Karteileichen“ auf den Servern liegen und würden nachweislich nicht gelöscht oder – sofern zulässig – gesperrt, könnten für Unternehmen empfindliche Bußgelder in Höhe von bis zu 300.000 Euro entstehen.

Datenträger-Vernichtungskonzept an der Norm DIN 66399 orientieren!

Immerhin gäben 61 Prozent der befragten Unternehmen an, über ein Datenträger-Vernichtungskonzept für Altdatenträger mit personenbezogenen Daten zu verfügen, um die datenschutzrechtlichen Erfordernisse zu erfüllen. Bei personenbezogenen Daten in Form von Akten, Schriftstücken, Protokollen, Briefen oder anderen Papierdatenträgern würden sogar 84 Prozent vor der Entsorgung für eine datenschutzgerechte Vernichtung sorgen.
In jedem Fall sei es für alle Unternehmen sinnvoll, ein Datenträger-Vernichtungskonzept zu haben, welches entsprechende Vorgaben enthält und als konkrete Verwahrungsanweisung als auch als allgemeines Regelwerk dienen kann. Mitarbeiter könnten sich so bei Fragen an festgeschriebene Konformitäten halten. Für die Erstellung dieses Konzeptes könnten sich Unternehmen an der Norm DIN 66399 orientieren. Diese behandele Prozessschritte und Anforderungen an Maschinen rund um die Vernichtung von Datenträgern. Zudem umfasse sie digitale Dokumente und die damit verbundenen, neuen Sicherheitserfordernisse.

TÜV SÜD DSI zeigt Verbesserungspotenzial auf

Der „TÜV SÜD DSI“ wurde im Juli 2014 von der TÜV SÜD Sec-IT GmbH, unterstützt durch die LMU München, vorgestellt. Unternehmen, die selbst prüfen möchten, wie gut sie in Sachen Datenschutz aufgestellt sind und an welchen Stellen Verbesserungspotenzial besteht, können online an der Erhebung der Datenschutzindikators teilnehmen.

Abbildung: TÜV SÜD

Datenträgervernichtung: Prüfung, Sperrung, Löschung

Weitere Informationen zum Thema:

TÜV SÜD
TÜV SÜD Datenschutzindikator