Personenbezogene Daten und betriebliche Informationen gehören zum Alltag der Betriebsratsarbeit. Diese Informationen liegen zwar immer häufiger in digitaler, aber auch immer noch häufig als Ausdrucke und somit in Papierform vor. Hier ist der Datenschutz aber nicht nur bei der Aufbewahrung, sondern insbesondere auch bei deren Vernichtung zu beachten. Hier sorgt die DIN 66399 für Klarheit.
Gegenstand der Betriebsratsarbeit ist oft Material, das nicht in fremde Hände gelangen darf und auch nach der Bearbeitung noch vertraulich zu behandeln ist. Hierbei handelt es sich um personenbezogene Beschäftigtendaten, interne Schreiben des Betriebsrats sowie vertrauliche Daten des Arbeitgebers. Solche personenbezogenen Daten sind zu löschen, wenn der Zweck, zu dem sie verarbeitet wurden, weggefallen ist und der Löschung keine Aufbewahrungsfristen entgegenstehen. Löschen bedeutet dabei das Unkenntlichmachen gespeicherter personenbezogener Daten. Welche Anforderungen an eine Löschung bzw. Vernichtung von Daten gestellt werden, richtet sich nach der bereits genannten DIN 66399. Keinesfalls dürfen solche Unterlagen im Papierkorb oder im Altpapiercontainer zur Entsorgung landen. Daher verfügen viele Betriebsräte in den Räumlichkeiten des Betriebsrats über einen Schredder zur Entsorgung solcher Unterlagen.
Anforderungen an einen Schredder zur datenschutzkonformen Vernichtung
Aber welche Anforderungen muss ein solcher Schredder erfüllen, um die oben genannten Unterlagen datenschutzrechtskonform vernichten zu können? Teilweise lässt sich dies schon durch optische Prüfung der beim schreddern entstehenden Papierschnitzeln feststellen. Lange Papierstreifen, die am besten noch Zeilen aus dem entsprechenden Dokument vollständig anzeigen, reichen in jedem Falle nicht aus, um eine datenschutzkonforme Vernichtung zu gewährleisten, da die langen Papierstreifen – wenn auch mit viel Puzzlearbeit – wiederherstellbar sind. Doch der Augenschien reicht hier häufig nicht aus, denn die exakten Vorgaben finden sich in der DIN 66399. Diese hat im Oktober 2012 die bis dahin gültige DIN 32757 abgelöst. Zwar ist die Umsetzung der DIN 66399 nicht zwingend, da aber das BDSG für das Löschen auf den aktuellen Stand der Technik abstellt und diese festgelegt wurden durch die seit 2012 gültige DIN 66399, sind bei der Datenvernichtung die Vorgaben daraus umzusetzen.
Um festzulegen, wie eine datenschutzkonforme Vernichtung sichergestellt werden kann, enthält die DIN 66399 drei Schutzklassen, sieben Sicherheitsstufen und sechs Materialklassifizierungen. Unter Schutzklassen wird der Schutzbedarf der zu vernichtenden Daten festgelegt, unter Sicherheitsstufen der Grad der Sicherheit und unter Materialklassifizierungen die jeweiligen Sicherheitsstufen bei unterschiedlichen Materialien. Erst das Zusammenspiel und die Umsetzung dieser drei Elemente gewährleistet die erforderliche Sicherheit.
Im ersten Schritt muss zunächst die Schutzklasse des zu vernichtenden Dokumentes festgestellt werden. Im Rahmen der Betriebsratsarbeit dürfte im Regelfall die Schutzklasse 2 relevant sein, womit ein hoher Schutzbedarf für vertrauliche Daten einhergeht. Folgende Kriterien sind hier gegeben:
- Beschränkung der Informationen auf einen kleinen Personenkreis erforderlich;
- Eine unberechtigte Weitergabe hätte erhebliche Auswirkungen auf das Unternehmen und könnte gegen vertragliche Verpflichtungen oder Gesetze verstoßen;
- Es besteht die Gefahr, dass Betroffene in ihrer gesellschaftlichen Stellung oder in ihren wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden.
Im zweiten Schritt ist die Sicherheitsstufe festzulegen. Für Betriebsräte kommen insbesondere die Sicherheitsstufen 3 (sensible Daten – eine Wiederherstellung ist nur mit erheblichem Aufwand möglich) oder Sicherheitsstufe 4 (besonders sensible Daten – Eine Wiederherstellung ist nur mit außergewöhnlichem Aufwand möglich) in Betracht.
Im nun folgenden dritten Schritt kann in der Tabelle der DIN-Norm (66399-1) abgelesen werden, welche Partikelgröße für die festgestellten Schutzklasse und Sicherheitsstufe erforderlich ist.
Im vierten Schritt, der Materialklassifizierung, geht es dann darum, welche Art und Größe das Material nach der Unkenntlichmachung der Inhalte noch haben darf. Für Papier ist dies beispielsweise der Buchstabe P. Durch die Verbindung der Materialklassifizierung mit der Sicherheitsstufe lässt sich dann in einer Liste der DIN 66399 (DIN 66399-2) nachschlagen, welche Anforderungen für das entsprechende Material erreicht werden müssen. Im Rahmen der Betriebsratstätigkeit sollte bei einem Schredder mindestens die Sicherheitsstufe P-3 erreicht werden (Dokumete mit sensiblen und vertraulichen Daten), sicherer und besser wäre die Sicherheitsstufe P-4 (für besonders sensible und vertrauliche Daten).
Um bereits im Einsatz befindliche Schredder zu überprüfen, empfiehlt es sich, über den Herstellernamen, die spezielle Produktbezeichnung und die Seriennummer beim Hersteller in Erfahrung zu bringen, welche Sicherheitsstufe das Gerät nach der DIN 66399 erfüllt. Sollte das Gerät die Vorgaben nicht erfüllen, müsset dieses ausgetauscht werden.
Vernichtung durch Entsorgungsunternehmen
Möglich ist es aber auch, das Material durch einen Aktenvernichter datenschutzkonform entsorgen zu lassen. Die genaueren Vorgaben hierzu sind in der DIN SPEC 66399-3 geregelt, allerdings handelt es sich hierbei lediglich um eine Empfehlung des Arbeitsausschusses „Vernichtung von Datenträgern“ ohne verbindliche Wirkung. Zu den Vorgaben gehört allerdings, dass das zu entsorgende Material bis zur Abholung sicher aufbewahrt wird. In der Praxis wird dies häufig über verschlossene „Datentonnen“ gewährleistet. Zudem muss mit dem Entsorgungsunternehmen vereinbart werden, dass die jeweilige Sicherheitsstufe (mindestens P-3) eingehalten wird. Da es sich bei dieser Dienstleistung um eine Auftragsverarbeitung handelt, ist zudem der Abschluss eines Vertrages zur Auftragsverarbeitung erforderlich.
Fazit
Eine sichere Vernichtung personenbezogener Daten kann durchaus einiges an Aufwand darstellen: entweder muss das richtige Gerät angeschafft werden oder ein entsprechendes Entsorgungsunternehmen beauftragt werden. Hierbei müssen dann die Grundsätze der Auftragsverarbeitung berücksichtigt werden. So oder so ist es wichtig, Material, das personenbezogene Daten enthält nicht einfach über den Haus-/Papiermüll zu entsorgen.