Jeder Unternehmer, der die Daten seiner Kunden, Mandanten, Patienten, Lieferanten, aber auch die der eigenen Beschäftigten erhebt, verarbeitet oder nutzt, hat die Pflicht, diese angemessen vertraulich zu behandeln und aufzubewahren. Im Umgang mit personenbezogenen Daten finden die Regelungen des Bundesdatenschutzgesetzes (BDSG) Anwendung. Diese Verantwortung der unternehmerischen Sorgfaltspflicht erstreckt sich auch auf die Entsorgung von Daten. Es darf unter keinen Umständen passieren, dass bspw. Papierdokumente mit personenbezogenen Daten einfach im Altpapiercontainer landen. Durch technische und organisatorische Maßnahmen hat der Unternehmer sicherzustellen, dass Dritte keinen Zugriff auf die Daten haben. Dokumente und Datenträger sollten daher in abschließbaren Schränken in nicht für jedermann zugänglichen Räumen gelagert werden. Vor Kurzem fasste hierzu das Verwaltungsgericht (VG) Göttingen den Beschluss, dass die in verschlossenen Räumen gelagerten und nur zuverlässigen Personen zugänglichen Personal- und Patientenakten eines in Insolvenz gegangenen Krankenhauses das Recht auf informationelle Selbstbestimmung der ehemaligen Mitarbeiter und Patienten nicht gefährden (VG Göttingen, Beschluss vom 08. Mai 2015 – 1 B 127/15).
Regelungen über die Löschung und Vernichtung von Daten
Eine Pflicht zur Löschung von Daten besteht immer dann, wenn deren Speicherung unzulässig ist (§ 35 Abs. 2 Nr. 1 BDSG) oder wenn es sich um besondere Arten personenbezogener Daten handelt und ihre Richtigkeit im Zweifel steht (§ 35 Abs. 2 Nr. 2 BDSG) oder deren Kenntnis für die Erfüllung eines Zwecks nicht mehr erforderlich ist (§ 35 Abs. 2 Nr. 3 BDSG).
Doch es gibt auch Fallkonstellationen, in denen eine längere Aufbewahrung erforderlich ist: Stehen einer Löschung das Interesse des Betroffenen oder gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegen, stellt dies einen Hinderungsgrund dar und an die Stelle der Löschung tritt eine Sperrung (§ 35 Abs. 3 BDSG). Das VG Göttingen führt im o. g. Beschluss weiter aus, dass sich eine ordnungsbehördliche Anordnung zur Vernichtung von Personal- und Patientenunterlagen auch deshalb als rechtswidrig erweisen kann, wenn Aufbewahrungsfristen nicht berücksichtigt werden. Als gesetzliche Aufbewahrungspflichten kommen insbesondere solche nach dem Steuerrecht (§ 147 Abgabenordnung (AO)), oder dem Handelsrecht (§ 257 Handelsgesetzbuch (HGB)) in Betracht. Ferner ergeben sich diese aus den für bestimmte Berufsgruppen gültigen berufsrechtlichen Regelungen (bspw. bei Rechtsanwälten, Steuerberatern und Wirtschaftsprüfern).
Eine Vernichtung schützenswerter Daten sollte in der Form erfolgen, dass eine Wiederherstellung der Daten mit hoher Wahrscheinlichkeit ausgeschlossen werden kann. Bei elektronischen Datenbeständen kann eine sichere Löschung durch physikalische Maßnahmen (mechanische oder thermische Zerstörung bzw. magnetische Durchflutung des Datenträgers) oder mehrmaliges Überschreiben gewährleistet werden. Dabei sollte der Aufwand einer Lösch- bzw. Vernichtungsmaßnahme immer in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen.
Als Unternehmer empfiehlt es sich, die Beschäftigten für das Thema Löschung und Vernichtung von Daten zu sensibilisieren und zu motivieren, um eine datenschutzkonforme Vorgehensweise zu gewährleisten. Mit der Durchführung von Schulungsmaßnahmen und durch Implementierung einer Handlungsempfehlung lassen sich Missverständnisse und Unsicherheiten vermeiden. Für die Umsetzung und Koordination dieser Maßnahmen sollte sich die Geschäftsführung regelmäßig mit dem Datenschutzbeauftragten abstimmen, da genau diese Tätigkeiten zu den Kernaufgaben eines jeden Datenschutzbeauftragten gehören.
Das Urteil des VG Göttingen lesen Sie hier: http://www.rechtsprechung.niedersachsen.de/jportal/portal/page/bsndprod.psml?doc.id=MWRE150001485&st=null&showdoccase=1¶mfromHL=true#focuspoint
Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Anwaltliche Beratung