Datenvernichtung

Welche datenschutzrechtlichen Besonderheiten gilt es bei der Datenvernichtung zu beachten?

Auch im Bereich der Datenvernichtung muss die Datensicherheit gewährleistet werden. So gilt es, Personendaten durch angemessene technische und organisatorische Massnahmen vor unbefugtem Bearbeiten (wie Fälschung, Diebstahl, unbefugtes Kopieren oder widerrechtliche Verwendung) sowie unbefugtem oder zufälligem Vernichten zu schützen. Folglich hat der Datenbearbeiter (evtl. zusammen mit seinem Auftragnehmer) einen Sortierprozess zu implementieren, welcher eine unbefugte oder zufällige Vernichtung sowie einen zufälligen Verlust (beispielsweise durch die Vernichtung falscher Akten) verhindert. Es liegt in seiner Verantwortung sicherzustellen, dass die Datenvernichtung zuverlässig funktioniert und zu verhindern, dass Daten durch technische Schwächen oder Fehler nicht oder ungenügend vernichtet werden. Um zu vermeiden, dass eine Rekonstruktion in Teilen oder als Ganzes möglich ist bzw. dass sich ein Dritter die Mühe macht, eine solche Rekonstruktion durchzuführen, beschränkt sich die Datenvernichtung nicht nur auf das Vernichten, sondern gegebenenfalls auch auf den Prozess nach der Datenvernichtung, insbesondere auf das Recycling der Materialien.

Die Anforderungen an die Datenvernichtung müssen zum einen der Sensibilität und dem möglichen Nutzen eines Missbrauchs der Daten Rechnung tragen. Zum anderen sollten sie so auf die technischen und organisatorischen Möglichkeiten zur Rekonstruktion der Daten abgestimmt sein, dass die Rekonstrierungskosten den potentiellen Nutzen einer missbräuchlichen Datenverwendung weit übersteigen würden.

Welche Schutzmassnahmen sind zu treffen, um eine ausreichende Sicherheit bei der Datenvernichtung zu erreichen?

Der technische und organisatorische Vernichtungsprozess (von der Planung der Datenvernichtung bis hin zur endgültigen Entsorgung) ist so auszugestalten, dass es zu keinen unerwünschten Datenverlusten bzw. -bearbeitungen kommt. Bei der Definierung des Prozesses ist es wichtig, auch die Rekonstruktionsmöglichkeiten vor einer endgültigen Vernichtung (z.B. durch Recycling oder Verbrennung der übrig gebliebenen Papierschnipsel, Einschmelzen der geschredderten Festplatten, etc.) zu berücksichtigen. Es empfiehlt sich für den Datenbearbeiter, einen Aktenvernichtungsprozess zu entwerfen und zu dokumentieren. Insbesondere ist es ratsam, die beteiligten Akteure zu definieren und ihre Rollen, inklusive ihrer Rechte und Pflichten zu beschreiben.

Der Inhaber einer meldepflichtigen automatisierten Datensammlung (Art. 11a Abs. 3 DSG) muss zudem ein Bearbeitungsreglement erstellen, das insbesondere die interne Organisation sowie das Datenbearbeitungs- und Kontrollverfahren umschreibt und die Unterlagen über die Planung, die Realisierung und den Betrieb der Datensammlung und der Informatikmittel enthält. Hierbei sollte das Reglement die gesamte Datenbearbeitungskette abbilden und auch einen Workflow zur Datenvernichtung enthalten.

Was muss ein Datenbearbeiter berücksichtigen, wenn er ein Drittunternehmen mit der Datenvernichtung beauftragt?

Bei der Datenvernichtung hat der Auftraggeber darauf zu achten, dass in keinem Prozessschritt mit einer unerlaubten Datenverwendung zu rechnen ist, wobei die Ausgestaltungsmöglichkeiten sehr vielfältig sind. Dazu kann er auf der einen Seite stichprobenartige Kontrollen in Kombination mit der Androhung von Strafen durchführen. Auf der anderen Seite kann er die Prozesse so gestalten, dass eine unerlaubte Datenverwendung technisch erschwert wird, z.B. durch einen vollständig automatisierten Vernichtungsprozess.

Genügt es, wenn der beauftragte Datenvernichter ein Datenschutzzertifikat vorweist?

Nein. Die Zertifizierung des Auftragnehmers liefert zwar einen wichtigen Hinweis darauf, dass dieser über Prozesse der Datenbearbeitung verfügt, die das Risiko einer Datenschutzverletzung minimieren. Eine Garantie, dass der Auftragnehmer eine datenschutzkonforme Bearbeitung vornimmt, stellt ein solches Zertifikat allerdings nicht dar. Aus diesem Grund genügt es nicht, wenn sich der Auftraggeber beim Outsourcing einzig und alleine darauf abstützt, dass der Auftragnehmer zertifiziert ist. Der Auftraggeber hat organisatorische und wenn möglich technische Massnahmen zu treffen, um die Datensicherheit zu gewährleisten. Beispiele für solche Massnahmen sind: Protokollierung der Arbeitsschritte des Auftragnehmers, Stichprobenkontrollen im Hinblick auf die Datenbearbeitung, vertraglich vereinbarte Konventionalstrafen für Datenschutzverletzungen durch den Auftragnehmer, etc. Der Auftraggeber ist dazu verpflichtet, geeignete Massnahmen zu ergreifen, wenn er von bestehenden oder drohenden Datenschutzverletzungen durch den Auftragnehmer erfährt.

Worin liegt der Unterschied zwischen Art. 321 StGB und Art. 35 DSG?

Der Unterschied zwischen Art. 321 des Schweizerischen Strafgesetzbuches (StGB; SR 311.0) und Art. 35 DSG liegt im Umfang der Adressaten. Während Art. 321 StGB nur für Geistliche, Rechtsanwälte, Verteidiger, Notare, Revisoren und Medizinalpersonen (Ärzte, Zahnärzte, Apotheker, Hebammen) sowie ihr Personal gilt, ist Art. 35 DSG weiter gefasst und erstreckt sich auf alle Berufsgruppen, die geheime, besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeiten.

Welchen Einfluss haben die beiden Artikel auf die Zusammenarbeit mit einem Outsourcingpartner bei der Datenvernichtung?

Für Outsourcingpartner im Bereich der Datenvernichtung kommen die Strafbestimmungen nicht zur Anwendung, solange die Bestimmungen des Datenschutzgesetzes eingehalten werden. Da der Outsourcingpartner im Auftragsverhältnis tätig ist, kommt die Strafnorm von Art. 35 DSG nicht zur Anwendung, da ihn dieses berechtigt, auf die Daten zuzugreifen. Somit steht Art. 35 DSG einem Outsourcing der Datenvernichtung nicht im Wege.

https://www.edoeb.admin.ch/content/edoeb/de/home/datenschutz/Internet_und_Computer/datensicherheit/datenvernichtung.html