Ein Beispielfall aus dem Jahr 2007: Die zuständige Datenschutzaufsichtsbehörde kontrolliert die Zweigstelle einer Bank. Es wird eine Anweisung vorgelegt, wonach Abfallpapier mit personenbezogenen Daten tagsüber in (offenen) Papierkörben zu sammeln ist. Diese Papierkörbe soll das Reinigungspersonal abends in verschließbare Container entleeren, die eine Aktenvernichtungsfirma abholt, wenn sie voll sind.
Die Kontrolle ergibt, dass die Papierkörbe auch in Bereichen stehen, die für Bankkunden zugänglich sind. Gleich beim ersten Griff in einen Papierkorb hielt der Mitarbeiter der Aufsichtsbehörde einen Auszug aus einer notariellen Beurkundung in Händen mit diversen Namen und Anschriften (Tätigkeitsbericht 2007 des ULD, S. 95,).
Der Fall weist einige typische Aspekte auf:
Personenbezogene Daten in Altpapier sind häufiger als vermutet ("gleich beim ersten Griff").
Die praktische Umsetzung einer Anweisung muss zwingend kontrolliert werden.
Mit organisatorischen Anweisungen ist es oft nicht getan. Es muss geprüft werden, ob eine Umsetzung überhaupt realistisch möglich ist ("Papierkorb im Kundenbereich").
Der Wille zu sparen (hier: kein Aufstellen von Aktenvernichtern "vor Ort") kann erheblichen Aufwand nach sich ziehen.
Vergleichbare Fälle gehören jedoch nach wie vor zum Alltag. Die Eingabe der Stichworte "altpapier skandal" in eine beliebige Internetsuchmaschine fördert stets mehrere Dutzend aktuelle Fälle zutage.
Rechtliche Bedeutung
Das Vernichten von Datenträgern ist rechtlich als Löschen der Daten anzusehen, die sich auf den vernichteten Datenträgern befunden haben (zum Begriff des Löschens siehe § 3 Abs. 4 Nr. 5 Bundesdatenschutzgesetz, BDSG). Datenträgervernichtung ist also Datenverarbeitung in Form des Löschens von Daten. Damit ist auf diesen Vorgang das BDSG insgesamt anwendbar. Das hat vor allem folgende Konsequenzen:
Bei der Durchführung der Vernichtung sind die Regelungen über technische und organisatorische Maßnahmen (§ 9 BDSG) zu beachten.
Werden Datenträger extern durch Dienstleister vernichtet, liegt ein Fall der Auftragsdatenverarbeitung vor (§ 11 BDSG). Damit ist eine schriftliche vertragliche Regelung zwingend.
Werden Daten auf Datenträgern Außenstehenden zugänglich, weil die Datenträger ungesichert gelagert sind, liegt eine unbefugte Datenübermittlung vor. Das kann zu einem Bußgeld führen (unbefugte Verarbeitung von Daten, § 43 Abs. 2 Nr. 1 BDSG).
Schon diese Konsequenzen zeigen, dass die Vernichtung von Datenträgern kein banaler Vorgang ist, sondern besondere Beachtung durch die verantwortliche Stelle und deren Datenschutzbeauftragten erfordert. Pannen in diesem Bereich schädigen – sobald sie öffentlich bekannt werden – nachhaltig den Ruf der verantwortlichen Stelle.
Auf der nächsten Seite geht es um klassische und moderne Datenträger.
- Intellicomp IndependenceKey
Der IndependenceKey verschlüsselt Daten für Mail, Skype, Dropbox oder andere Cloud-Speicher. - LaCie Wuala
Cloud-Speicherdienste wie Wuala bieten eine integrierte Verschlüsselung an. Alle Daten, die in bestimmte Nutzerverzeichnisse abgelegt werden, werden automatisch verschlüsselt, bevor sie in die Cloud übertragen werden. - Kaspersky Mobile Security
Mobile Sicherheitssoftware wie Kaspersky Mobile Security hat neben dem Virenschutz auch Verschlüsselungsfunktionen an Bord. - DataLocker EncryptDisc
Bei DataLocker EncryptDisc handelt es sich um optische Speichermedien, die die Verschlüsselungslösung bereits in sich tragen. - NCP Secure Entry Client
Damit VPN-Verbindungen bei Bedarf eines verschlüsselten Netzwerkzugriffs möglichst allen Nutzern zur Verfügung stehen, sollten VPN-Clients gewählt werden, die zum Beispiel auch für Apple-Systeme bereit stehen, wie der NCP Secure Entry Client. - PhoneCrypt
Bei mobilen Endgeräten sollten nicht nur die gespeicherten Daten, sondern auch die vertraulichen Telefonate verschlüsselt werden, zum Beispiel mit PhoneCrypt. - Secusmart SecuVoice Q10
SecuVoice verschlüsselt mobile Telefonate und bildet einen Teil der SecuSuite, die zusätzlich unter anderem SMS und E-Mails verschlüsselt. - Sophos SafeGuard Enterprise
Eine Lösung wie Sophos SafeGuard Enterprise unterstützt die Verschlüsselung von Datenträgern genauso wie von Daten, die in eine Cloud übertragen werden sollen. - Mozilla Thunderbird S/MIME
E-Mail-Clients wie Mozilla Thunderbird ermöglichen eine E-Mail-Verschlüsselung nach S/MIME, doch nur wenige Nutzer machen davon Gebrauch, da vielen die Zertifikatsverwaltung zu aufwändig erscheint. - Z1 SecureMail Gateway Appliance Platform
Appliances mit dem Z1 SecureMail Gateway unterstützen die Verschlüsselung von E-Mail auf mehreren Wegen und erleichtern so die Anbindung von Partnern, die keine Public Key Infrastructure (PKI) betreiben.