Datenvernichtung – Akten und Datenträger

Die Pflicht zur datenschutzgerechten Vernichtung lässt sich systematisch aus mehreren Grundsätzen der DSGVO herleiten: Die Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO verlangt, dass personenbezogene Daten in einer die Identifizierung erlaubenden Form nur so lange aufbewahrt werden, wie für die Zwecke der Verarbeitung erforderlich – am Ende dieser Frist greift der Löschungsanspruch nach Art. 17 Abs. 1 DSGVO. Die Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO konkretisiert sich in Art. 32 DSGVO, der Verantwortliche und Auftragsverarbeiter zur Umsetzung angemessener technisch-organisatorischer Maßnahmen verpflichtet. Die Aufzählung in Art. 32 Abs. 1 DSGVO ist nicht abschließend; sie umfasst aber ausdrücklich die Fähigkeit, die Vertraulichkeit der Daten dauerhaft sicherzustellen – und zwar einschließlich der Phase ihrer Vernichtung. Eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO ist nach dem Wortlaut explizit auch das Löschen oder die Vernichtung.

Tritt eine Verletzung der Vertraulichkeit ein – etwa weil personenbezogene Unterlagen in einem ungesicherten Abfallbehälter landen – greift die Meldepflicht nach Art. 33 DSGVO mit der 72-Stunden-Frist gegenüber der Aufsichtsbehörde sowie ggf. die Benachrichtigungspflicht nach Art. 34 DSGVO gegenüber den Betroffenen (siehe Themenseite Datenpannen). Zudem ist mit zivilrechtlichen Ansprüchen nach Art. 82 DSGVO zu rechnen, wenn Betroffenen ein – auch immaterieller – Schaden entstanden ist (vgl. EuGH, Urteil v. 04. Mai 2023 – C-300/21 „Österreichische Post").

Art. 4 Nr. 2, Art. 5 Abs. 1 lit. e und lit. f, Art. 17 Abs. 1, Art. 32 Abs. 1, Art. 33, 34, 82 DSGVO; EuGH, Urteil v. 04.05.2023 – C-300/21 „Österreichische Post"

Die Norm DIN 66399 (heute fortgeschrieben in der DIN 66399-1 bis -3 und DIN EN 15713) ist der in Deutschland etablierte Standard für die Vernichtung von Datenträgern. Sie operiert mit zwei zusammenhängenden Konzepten: den Schutzklassen für die Schutzbedarfs- beschreibung der Daten und den Sicherheitsstufen für die Vernichtungstiefe.

Schutzklassen (Schutzbedarf der Daten)

Sicherheitsstufen (Vernichtungstiefe)

DIN 66399 unterscheidet sieben Sicherheitsstufen (1 bis 7) und differenziert nach Materialart: P für Papier, F für Filme, O für optische Datenträger, T für magnetische Datenträger (Bänder), H für Festplatten mit magnetischen Datenträgern und E für elektronische Datenträger (SSD, USB-Sticks, Speicherkarten). Die Zuordnung Schutzklasse → Sicherheitsstufe erfolgt nach folgendem Schema:

DIN 66399-1 bis -3 (2012); DIN EN 15713 (2009); BSI IT-Grundschutz-Baustein CON.6 „Löschen und Vernichten"

Datenschutztonnen (Sicherheitsbehälter mit Einwurfschlitz und Schließsystem) dienen der Sammlung von Papierunterlagen, die auf Grund ihres Schutzbedarfs nicht über den regulären Papiermüll entsorgt werden dürfen. In den Behälter gehören insbesondere:

• Prüfungsleistungen, Klausurausarbeitungen, Notenlisten, Studienleistungsnachweise mit Personenbezug;
• Personal- und Bewerbungsunterlagen, Arbeits- und Tarifverträge, Beurteilungen, Beihilfe- und Reisekostenabrechnungen;
• ärztliche Atteste, Bescheinigungen über Mutterschutz, Eingliederungsmanagement-Unterlagen;
• Vertragsentwürfe und sonstiger Schriftwechsel mit Lieferanten und Kooperationspartnern, soweit personenbezogen;
• nicht-anonymisierte Forschungsdaten, Probandenfragebögen, Einwilligungserklärungen aus Studien;
• interne Vermerke, E-Mail-Ausdrucke, Telefonnotizen mit Personenbezug.

Eine Entsorgung dieser Unterlagen über den regulären Papiermüll, blaue Tonnen oder offene Sammelstellen ist datenschutzrechtlich nicht tragfähig. Sie würde regelmäßig eine Verletzung der Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO darstellen und eine Meldepflicht nach Art. 33 DSGVO auslösen können. Art. 5 Abs. 1 lit. f, Art. 32, 33 DSGVO; DIN 66399 Schutzklasse 2

Ebenso wichtig wie das, was in die Datenschutztonne gehört, ist das, was dort nicht hineingehört. Zwei Gruppen sind im Hochschulalltag besonders fehleranfällig:

1. Geräte mit Lithium-Ionen-Akkus Smartphones, Tablets, Powerbanks, Notebooks, kabellose Mäuse und Tastaturen, Bluetooth-Headsets, E-Zigaretten-Liquidzubehör, Akkuschrauber und alle sonstigen Geräte mit fest verbautem Lithium-Akku gehören nicht in die Datenschutztonne. Beim mechanischen Schreddern im Entsorgungsbetrieb besteht akute Brandgefahr; die Berufsfeuerwehren beobachten seit Jahren steigende Zahlen von Schredderbränden, die ganz überwiegend auf falsch entsorgte Akkus zurückgehen.
2. Elektronische Datenträger Festplatten (HDD), Solid-State-Drives (SSD), USB-Sticks, Speicherkarten (SD, microSD, CF), optische Medien (CDs, DVDs, Blu-Rays) sowie Plastikkarten mit Chip (Dienstausweise, Smartcards) gehören aus zwei Gründen nicht in die Papier-Datenschutztonne: Erstens sind sie abfallrechtlich Elektroschrott und müssen nach dem Elektro- und Elektronikgerätegesetz (ElektroG) separat entsorgt werden. Zweitens sind die Sicherheitsstufen P-Stufen für Papier nicht für die Vernichtung elektronischer Datenträger geeignet – dafür greifen die Stufen E, H, O und T der DIN 66399 (siehe Abschnitt 05).

Art. 32 DSGVO; ElektroG (Bundesgesetz); DIN 66399 (Sicherheitsstufen E, H, O, T)

Bei elektronischen Datenträgern stehen vor der physischen Vernichtung zwei Pfade zur Wahl, die sauber zu trennen sind: die logische Löschung bei beabsichtigter Weiterverwendung und die physische Vernichtung bei endgültiger Aussonderung.

Pfad A – Logische Löschung bei Weiterverwendung

Funktionsfähige Geräte mit fest verbauten Speichermedien (Notebooks, Workstations, Drucker mit Festplatte) sollten nach hier vertretener Auffassung vor einer endgültigen Vernichtung auf Möglichkeiten interner Weiterverwendung geprüft werden – Stichwort Nachhaltigkeit und Ressourcenschonung. Voraussetzung ist die nachweislich erfolgreiche Löschung sämtlicher personenbezogener und vertraulicher Daten nach dem aktuellen Stand der Technik:

• geeignete Löschverfahren nach dem Stand der Technik, insbesondere softwaregestützte Überschreibungsverfahren, kryptografische Löschung (Crypto-Erase) bei verschlüsselten Datenträgern sowie ATA-Secure-Erase bzw. NVMe-Format/Sanitize bei modernen SSD; maßgeblich sind die jeweils einschlägigen Anforderungen der BSI-Technischen Leitlinien BSI-TL 03420 („Richtlinien für das Löschen und Vernichten von schutzbedürftigen Informationen auf Datenträgern") und BSI-TL 03423 („Anforderungen zum Überschreiben von Datenträgern");
• dokumentierter Löschprotokollnachweis je Datenträger;
• Durchführung durch das Rechenzentrum oder autorisiertes IT-Fachpersonal, nicht durch den Endnutzer.

Pfad B – Physische Vernichtung bei endgültiger Aussonderung

Ist eine sichere logische Löschung technisch nicht zweifelsfrei möglich (Geräte am Lebenszyklusende, defekte Datenträger, ältere SSD ohne Sanitize-Unterstützung), ist die physische Vernichtung über die zentralen Aussonderungswege der Hochschule der einzig saubere Weg. Datenträger werden in dafür vorgesehenen Sicherheitsbehältern gesammelt und einer datenschutzkonformen physischen Zerstörung nach DIN 66399 zugeführt – für Schutzklasse 2 in der Regel mindestens nach Stufen H-4 (Festplatten) bzw. E-3 (elektronische Datenträger).

Art. 32 DSGVO; DIN 66399 (Sicherheitsstufen E, H, O, T) bzw. ISO/IEC 21964 als internationale Nachfolgenorm; BSI-TL 03420 (Löschen und Vernichten schutzbedürftiger Informationen auf Datenträgern); BSI-TL 03423 (Anforderungen zum Überschreiben von Datenträgern); BSI IT-Grundschutz CON.6 „Löschen und Vernichten"

Mobile Arbeit und Telearbeit verschärfen die Vernichtungsproblematik, weil dienstliche Unterlagen in privater Umgebung anfallen, in der die zentralen Datenschutztonnen nicht zur Verfügung stehen. Die Pflichten aus Art. 32 DSGVO entfallen dadurch nicht; sie verlagern sich vielmehr auf die einzelnen Beschäftigten:

• Vertrauliche Unterlagen, Dokumente mit Personenbezug und Datenträger, die im Home-Office anfallen, dürfen nicht im privaten Hausmüll oder in der privaten Altpapiersammlung entsorgt werden.
• Unterlagen sind bis zur Rückführung in die Dienststelle in einem verschließbaren Behältnis aufzubewahren – Schreibtischschublade mit Schloss, abschließbarer Aktenschrank oder Trolley mit Sicherheitsschloss.
• Die Rückführung soll zeitnah erfolgen; das bedeutet in der Praxis bei der nächsten Anwesenheit in der Dienststelle, jedenfalls aber binnen weniger Wochen.
• Eine Vermischung mit privaten Unterlagen ist zu vermeiden, um die Trennung von dienstlicher und privater Sphäre zu wahren.
• Elektronische Datenträger werden nicht im Home-Office vernichtet – auch nicht durch eigene Schredder oder Bohrer; die Aussonderung erfolgt zentral.

Art. 5 Abs. 1 lit. f, Art. 32 DSGVO; § 69 Nr. 1 PersVG LSA (Mitbestimmung bei der Einführung von Telearbeit/Mobiler Arbeit über die zugrunde liegende Dienstvereinbarung)

Der physische Standort einer Datenschutztonne entscheidet mit darüber, ob die Vernichtungslogistik datenschutzrechtlich trägt. Empfehlenswert sind:

• Bevorzugt zugangsbeschränkte Bereiche: Sekretariate, abgeschlossene Kopierräume, Büros mit Zugangskontrolle.
• In Verwaltungsbereichen ohne Publikumsverkehr ist eine Aufstellung in Fluren akzeptabel – das Restrisiko ist im Verarbeitungsverzeichnis zu dokumentieren und durch flankierende Maßnahmen (Sichtbarkeit, Bauart, Schließsystem) zu kompensieren.
• Nicht zulässig ist die Aufstellung in Bereichen mit hohem studentischem Publikumsverkehr (Foyers, vor Hörsälen, in Cafeterien); dort ist die unbefugte Mitnahme oder das Hineinfischen schwer zu kontrollieren.
• Außenbereich am Straßenrand – etwa zur Abholung über Nacht – ist nach hier vertretener Auffassung nicht der saubere Weg; Datenschutztonnen sollten regelmäßig im Innenbereich verbleiben und von dort durch den Dienstleister abgeholt werden.
• Bauart: Verwendet werden ausschließlich Sicherheitsbehälter mit Einwurfschlitz und Schließsystem; offene Sammelboxen oder umfunktionierte Papiermülltonnen scheiden aus.
• Sicherung gegen Mitnahme: Wo möglich, sind Tonnen in Fluren gegen unbefugtes Entfernen zu sichern – etwa durch Befestigung, Verkettung oder Aufstellung in einer Nische.

Art. 32 Abs. 1 DSGVO; BSI IT-Grundschutz INF.1 „Allgemeines Gebäude" und INF.7 „Büroarbeitsplatz"

Im Regelfall werden Datenschutztonnen ausschließlich über den Einwurfschlitz befüllt. Dieser Pfad ist aus datenschutzrechtlicher Sicht der einfachste, weil eine Manipulation oder ein „Hineinfischen" der Inhalte praktisch ausgeschlossen ist. In Ausnahmefällen – etwa bei der Entsorgung vollständiger Aktenordner – ist eine direkte Öffnung der Tonne erforderlich. Hier hat sich die folgende organisatorische Regelung bewährt:

1. Schlüsselverantwortung benennen Für jede Datenschutztonne ist im jeweiligen Organisationsbereich (Dezernat, Institut, Lehrstuhl) eine schlüsselverantwortliche Person zu benennen. Vertretungsregelung sollte mitdokumentiert sein.
2. Vier-Augen-Prinzip Die Öffnung der Tonne erfolgt ausnahmslos durch die schlüsselverantwortliche Person im Beisein der entsorgenden Mitarbeiterin oder des entsorgenden Mitarbeiters. Der Einwurf erfolgt zügig und unmittelbar nach der Öffnung.
3. Sofortiges Wiederverschließen Im Anschluss verschließt die schlüsselverantwortliche Person die Tonne sofort und prüft die Verriegelung.
4. Verbot der Durchsicht Ein Durchsuchen der bereits in der Tonne befindlichen Altbestände ist im Rahmen dieses Vorgangs ausdrücklich untersagt – auch nicht zur Suche eines „versehentlich eingeworfenen" eigenen Dokuments. Wer einen Eintrag rückgängig machen will, hat den Vorgang zu dokumentieren und mit der Datenschutzfunktion abzustimmen.

Die maximale Befüllung sollte zwei Drittel des Gesamtvolumens nicht überschreiten – andernfalls drohen festklemmende Dokumente im Einwurfschlitz, die von außen zugänglich werden. Bei Erreichen dieser Füllgrenze ist die für die Abholung zuständige Stelle zeitnah zu informieren. Art. 32 Abs. 1 DSGVO; SDM v3.1a der DSK (Nichtverkettbarkeit, Intervenierbarkeit)

Die abschließende physische Vernichtung erfolgt im Hochschulalltag ganz überwiegend durch externe Entsorgungsunternehmen. Diese sind nach hier vertretener Auffassung regelmäßig als Auftragsverarbeiter im Sinne von Art. 28 DSGVO einzuordnen – auch wenn der Begriff in der abfallwirtschaftlichen Praxis selten so verwendet wird. Im Einzelfall sollte die Rollenklärung sauber dokumentiert werden, weil bei rein entsorgungsrechtlich gesteuerten Konstellationen mit erheblicher Eigenverantwortlichkeit des Dienstleisters auch eine andere Einordnung in Betracht kommen kann. Daraus folgt:

• AVV nach Art. 28 DSGVO als sicherer Weg. Sofern Auftragsverarbeitung vorliegt, ist der AVV zwingend; in den übrigen Konstellationen ist er aus Risikogesichtspunkten gleichwohl zu empfehlen. Der Vertrag sollte die Pflichtinhalte des Art. 28 Abs. 3 DSGVO abdecken (Gegenstand, Dauer, Art und Zweck der Verarbeitung, Datenkategorien, Pflichten und Rechte des Verantwortlichen, Weisungsbindung, Vertraulichkeitsverpflichtung, TOMs, Subunternehmer- Genehmigung, Unterstützungspflichten, Lösch- und Rückgabepflichten, Auditrechte). Vertieft auf der Themenseite Auftragsverarbeitungsvertrag.
• Zertifizierung des Dienstleisters ist Stand der Technik. Üblich sind Zertifizierungen nach DIN 66399 i. V. m. DIN EN 15713, ergänzt durch eine ISO-9001-Zertifizierung des Qualitätsmanagements und ggf. ISO 14001 für die Umweltverträglichkeit.
• Sicherheitsstufe vertraglich fixieren. Für hochschultypische Schutzklasse-2-Daten empfiehlt es sich, organisationsintern mindestens P-4 (Papier), H-4 (Festplatten) und E-3 (elektronische Medien) als Mindestvorgabe vertraglich festzuschreiben. Die Norm lässt für Schutzklasse 2 zwar auch P-3 zu; das Marktangebot der Dienstleister bietet hier verschiedene Pakete an. Wer P-3 wählt, sollte das als bewusste Organisationsentscheidung dokumentieren.
• Vernichtungsprotokoll je Abholung. Der Dienstleister sollte verpflichtet werden, je Abholung ein Vernichtungszertifikat unter Angabe der Sicherheitsstufe, der vernichteten Menge und des Vernichtungsdatums auszustellen. Diese Protokolle gehören in die Aktenführung der zuständigen Stelle und sind nach Maßgabe der jeweils einschlägigen Aktenordnung oder Registraturrichtlinie revisionsfest aufzubewahren; soweit keine speziellere Frist greift, kann eine Aufbewahrung von zehn Jahren sachgerecht sein.
• Subauftragsverarbeitung. Wenn der Dienstleister Sub-Unternehmer einsetzt – etwa zur Tonnenabholung oder zum LKW-Transport –, ist deren Einsatz im AVV zu regeln und zu genehmigen.

Art. 28, Art. 32 DSGVO; DIN 66399; DIN EN 15713; vgl. Themenseite AVV

Sicherheitsvorfälle im Zusammenhang mit Datenschutztonnen sind keine Seltenheit. Typische Konstellationen sind: ein Aufbruchsversuch am Schließsystem, eine umgestoßene Tonne mit verstreuten Inhalten, eine während der Abholung verlorene Tonne, eine im Außenbereich vorgefundene und ggf. bereits durchsuchte Tonne, ein verschwundener oder gestohlener Behälter.

In allen diesen Fällen ist der Vorgang unverzüglich an die Datenschutzfunktion (Datenschutzmanager, Datenschutzbeauftragte) sowie an die für den Standort verantwortliche Stelle zu melden. Die Meldung dient dazu, die Risikobewertung nach Art. 33 DSGVO vornehmen zu können – einschließlich der innerhalb der 72-Stunden-Frist zu treffenden Entscheidung, ob der Vorfall der Aufsichtsbehörde zu melden ist und ob ggf. eine Benachrichtigung der Betroffenen nach Art. 34 DSGVO erforderlich wird (vgl. Themenseite Datenpannen).

Art. 33, 34 DSGVO; § 31 Abs. 2 DSAG LSA (Bußgeldausschluss für öffentliche Stellen, Meldepflicht bleibt unberührt); siehe Themenseite Datenpannen

1. Papiermüll für Personalunterlagen: Personalakten oder Bewerbungsunterlagen landen im blauen Papiercontainer – mit der Folge einer Vertraulichkeitsverletzung nach Art. 5 Abs. 1 lit. f DSGVO und regelmäßig auch einer Meldepflicht nach Art. 33 DSGVO.
2. Lithium-Akkus in der Papier-Tonne: Smartphones, Tablets und Powerbanks lösen beim Schreddern regelmäßig Brände aus – einer der häufigsten und am einfachsten vermeidbaren Fehler.
3. USB-Sticks und Festplatten in der Papier-Tonne: Falsche Sicherheitsstufe (P statt H/E) und abfallrechtliche Trennung verletzt.
4. Außenbereich-Lagerung: Datenschutztonnen werden für die Abholung über Nacht an den Straßenrand gestellt – nach hier vertretener Auffassung regelmäßig ein Vertraulichkeitsrisiko mit einer aufklärungspflichtigen Konstellation.
5. P-3 als Mindestmaßstab gewählt, ohne dies organisatorisch zu reflektieren: P-3 ist nach DIN 66399 zwar für Schutzklasse 2 zugelassen (zulässiger Korridor P-3 bis P-5). In der Beratungspraxis hat sich für hochschultypische personenbezogene Daten jedoch P-4 als hausinterner Mindeststandard etabliert. Wer P-3 nutzt, sollte das als bewusste Organisationsentscheidung dokumentieren und das Restrisiko in der TOM-Beschreibung und im Verarbeitungsverzeichnis ausweisen.
6. Selbst-Löschung von Datenträgern durch Endnutzer: Werksreset, „löschen und Papierkorb leeren" oder einmaliges Überschreiben sind regelmäßig nicht ausreichend; maßgeblich sind Verfahren nach dem Stand der Technik (BSI-TL 03420 / 03423, Crypto-Erase, ATA-Secure-Erase, NVMe-Sanitize).
7. Fehlende Rollenklärung und – bei Auftragsverarbeitung – fehlender AVV: Externe Entsorgungsunternehmen sind datenschutzrechtlich häufig als Auftragsverarbeiter einzuordnen. Die Rollenverteilung sollte jedoch im Einzelfall sauber geprüft und dokumentiert werden. Liegt Auftragsverarbeitung vor, ist ein Vertrag nach Art. 28 DSGVO erforderlich; auch in Zweifelsfällen kann ein AVV aus Risikogesichtspunkten der sicherere Weg sein.
8. Kein Vernichtungsprotokoll: Ohne Zertifikat lässt sich die ordnungsgemäße Vernichtung in einer Aufsichtsprüfung nicht nachweisen.
9. Tonne im Hörsaalfoyer: Hohe Publikumsfrequenz, kaum Sichtkontrolle – eine Aufstellung an solchen Orten dürfte regelmäßig nicht der saubere Weg sein und sollte zumindest dokumentiert begründbar sein.
10. Vier-Augen-Prinzip umgangen: Eine schlüsselverantwortliche Person öffnet die Tonne allein und befüllt sie selbst – damit ist der entscheidende organisatorische Schutz gegen Manipulation aufgehoben.