Datenvernichtung – Akten und Datenträger

Die Pflicht zur datenschutzgerechten Vernichtung lässt sich systematisch aus mehreren Grundsätzen der DSGVO herleiten: Die Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO verlangt, dass personenbezogene Daten in einer die Identifizierung erlaubenden Form nur so lange aufbewahrt werden, wie für die Zwecke der Verarbeitung erforderlich – am Ende dieser Frist greift der Löschungsanspruch nach Art. 17 Abs. 1 DSGVO. Die Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO konkretisiert sich in Art. 32 DSGVO, der Verantwortliche und Auftragsverarbeiter zur Umsetzung angemessener technisch-organisatorischer Maßnahmen verpflichtet. Die Aufzählung in Art. 32 Abs. 1 DSGVO ist nicht abschließend; sie umfasst aber ausdrücklich die Fähigkeit, die Vertraulichkeit der Daten dauerhaft sicherzustellen – und zwar einschließlich der Phase ihrer Vernichtung. Eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO ist nach dem Wortlaut explizit auch das Löschen oder die Vernichtung.

Tritt eine Verletzung der Vertraulichkeit ein – etwa weil personenbezogene Unterlagen in einem ungesicherten Abfallbehälter landen – greift die Meldepflicht nach Art. 33 DSGVO mit der 72-Stunden-Frist gegenüber der Aufsichtsbehörde sowie ggf. die Benachrichtigungspflicht nach Art. 34 DSGVO gegenüber den Betroffenen (siehe Themenseite Datenpannen). Zudem ist mit zivilrechtlichen Ansprüchen nach Art. 82 DSGVO zu rechnen, wenn Betroffenen ein – auch immaterieller – Schaden entstanden ist (vgl. EuGH, Urteil v. 04. Mai 2023 – C-300/21 „Österreichische Post").

Art. 4 Nr. 2, Art. 5 Abs. 1 lit. e und lit. f, Art. 17 Abs. 1, Art. 32 Abs. 1, Art. 33, 34, 82 DSGVO; EuGH, Urteil v. 04.05.2023 – C-300/21 „Österreichische Post"

Die Norm DIN 66399-1 bis -3 (Erstausgabe 2012) ist der in Deutschland etablierte Standard für die Vernichtung von Datenträgern. Sie operiert mit zwei zusammenhängenden Konzepten: den Schutzklassen für die Schutzbedarfs- beschreibung der Daten und den Sicherheitsstufen für die Vernichtungstiefe. Ergänzt wird sie durch die europäische DIN EN 15713 zu sicheren Vernichtungsverfahren (aktuelle Fassung 2024-07).

Aktualitätshinweis: Die DIN 66399 wurde 2023 durch DIN zurückgezogen. Inhaltlich ist sie ohne Bruch in die internationale Nachfolgenorm ISO/IEC 21964:2018-08 (gleicher dreiteiliger Aufbau, identische Schutzklassen 1–3 und Sicherheitsstufen 1–7) überführt worden. Die Begriffe und Stufen der DIN 66399 sind in Aufsichtspraxis und Vertragsgestaltung weiterhin tragfähig; im Folgenden wird die eingeführte Terminologie weiterverwendet, sie ist im Bedarfsfall 1:1 auf ISO/IEC 21964 abbildbar.

Schutzklassen (Schutzbedarf der Daten)

Sicherheitsstufen (Vernichtungstiefe)

DIN 66399 unterscheidet sieben Sicherheitsstufen (1 bis 7) und differenziert nach Materialart: P für Papier, F für Filme, O für optische Datenträger, T für magnetische Datenträger (Bänder), H für Festplatten mit magnetischen Datenträgern und E für elektronische Datenträger (SSD, USB-Sticks, Speicherkarten). Die Zuordnung Schutzklasse → Sicherheitsstufe erfolgt nach folgendem Schema:

Die Materialklassen F (Filme/Mikrofiche), O (optische Datenträger) und T (magnetische Datenträger wie Bänder) sind in der Norm parallel mit eigenen Stufen (F-1 bis F-7, O-1 bis O-7, T-1 bis T-7) definiert; sie sind in der Hochschulpraxis gegenüber Papier, Festplatten und SSD/USB selten relevant und daher in der Tabelle nicht ausgewiesen.

DIN 66399-1 bis -3 (2012, von DIN 2023 zurückgezogen, Nachfolgenorm ISO/IEC 21964:2018-08); DIN EN 15713:2024-07 (Sichere Vernichtung von vertraulichen Unterlagen – Verfahrensregeln); BSI IT-Grundschutz-Baustein CON.6 „Löschen und Vernichten"

Während die DIN 66399 die Vernichtungstiefe normiert (welche Sicherheitsstufe für welche Materialart), beantwortet sie nicht die vorgelagerte Frage: Welche Daten sind wann zu löschen, durch wen und wie wird das nachgewiesen? Diese Klammer schließt das Löschkonzept – ein eigenständiges Steuerungsdokument, das den Lebenszyklus personenbezogener Daten organisiert. Die DIN 66398 (2016) bietet dafür den methodischen Rahmen: sie führt die Begriffe „Datenart" und „Löschregel" ein, beschreibt drei typische Startzeitpunkte für Aufbewahrungsfristen und ermöglicht so eine standardisierte, organisationsweite Vorgehensweise.

Aktualitätshinweis: Die DIN 66398:2016-05 wurde im September 2025 zurückgezogen und durch DIN EN ISO/IEC 27555:2025-09 ersetzt. Die deutsche EN-Übernahme greift die internationale ISO/IEC 27555:2021 („Guidelines on personally identifiable information deletion") auf. Inhalt und Methodik bleiben in den Grundzügen erhalten; die ISO-Fassung verschiebt das Schwergewicht stärker auf einen risikobasierten Ansatz und harmonisiert die Terminologie international. Die Begriffe „Datenart", „Löschregel" und die drei Startzeitpunkt-Typen werden nachfolgend in der eingeführten Form verwendet und sind ohne Bruch auf ISO/IEC 27555 abbildbar.

Datenarten und Löschklassen

Eine Datenart im Sinne der DIN 66398 ist eine Gruppe von Datenobjekten, die zu einem einheitlichen fachlichen Zweck verarbeitet wird und derselben Aufbewahrungslogik unterliegt. In der Praxis hat sich bewährt, mehrere Datenarten zu standardisierten Löschklassen zusammenzufassen, weil sich auf Klassenebene viele Datenarten gleich verhalten. Eine typische Klassenstruktur für Hochschulen sieht so aus:

Drei Startzeitpunkte für die Frist

Die DIN 66398 unterscheidet drei typische Startzeitpunkte – die Wahl entscheidet darüber, wann die Frist tatsächlich zu laufen beginnt:

1. Zeitpunkt der Datenerhebung Sinnvoll bei einmaligen Vorgängen ohne weiteren Geschäftsbezug (z. B. Adressabfrage einer Interessentin, einmaliger Zugang zu einer Veranstaltung). Die Frist startet mit dem Erhebungsdatum selbst.
2. Ende eines Vorgangs / Ablauf des Kalenderjahres Standard für Geschäftsbriefe und Buchungsbelege. Die Frist beginnt typischerweise mit Ablauf des Kalenderjahres, in dem der Vorgang abgeschlossen wurde (vgl. § 257 Abs. 5 HGB; § 147 Abs. 4 AO). Eine Buchung aus März 2026 wird damit Ende 2026 zum Fristbeginn – die Aufbewahrungsfrist von 10 Jahren läuft bis Ende 2036.
3. Ende der Beziehung zur betroffenen Person Sinnvoll bei Dauerschuldverhältnissen und Stammdatenbeständen (Beschäftigungsverhältnisse, Studierendenstatus, Mitgliedschaften). Die Frist startet mit Ende des Verhältnisses; in der Praxis abgerundet auf das Ende des Kalenderjahres, in dem die Beendigung erfolgt.

Sperren statt löschen – Art. 17 Abs. 3 DSGVO

Nicht jede löschpflichtige Verarbeitung führt zur sofortigen physischen Vernichtung. Art. 17 Abs. 3 DSGVO listet Konstellationen, in denen die Löschpflicht entfällt – etwa zur Erfüllung einer rechtlichen Verpflichtung (lit. b), zu Zwecken im öffentlichen Interesse einschließlich öffentlicher Gesundheit (lit. c), zu Forschungs- und Statistikzwecken (lit. d) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (lit. e). Praktisch heißt das: Daten, deren Verarbeitungszweck erreicht ist, die aber noch unter eine Aufbewahrungspflicht fallen, sind einzuschränken (gesperrt) – also vom regulären Zugriff ausgeschlossen, aber nicht physisch vernichtet. Gleiches gilt im Rahmen eines „Legal Hold", wenn ein laufendes oder zu erwartendes Verfahren die Aufbewahrung erzwingt.

Dokumentenpyramide: nicht ein Konzept, sondern eine Familie

In der Beratungspraxis hat sich gezeigt: Wer alle Regelungen in ein einziges Dokument packt, erzeugt ein Werk, das entweder nie fertig wird oder so generisch bleibt, dass Beschäftigte daraus keine Handlungsanweisungen ableiten können. Empfehlenswerter ist eine abgestufte Dokumenten­hierarchie:

Spezifische Konstellationen

Anbietungspflicht ans Archiv – Sondersituation öffentlicher Stellen

Eine Besonderheit, die in privatwirtschaftlichen Löschkonzepten häufig fehlt: Öffentliche Stellen müssen Unterlagen, die für die laufende Aufgabenerfüllung nicht mehr benötigt werden, vor der Vernichtung dem zuständigen Archiv anbieten (in Sachsen-Anhalt: § 9 ArchG LSA i. V. m. § 12 Abs. 2 DSAG LSA). Erst wenn das Archiv die Übernahme abgelehnt hat oder die Bewertungsfrist verstrichen ist, darf vernichtet werden. Diese Anbietungspflicht geht datenschutzrechtlichen Löschpflichten in der Logik vor – das Datenschutzrecht erkennt archivische Aufbewahrung in Art. 17 Abs. 3 lit. d DSGVO ausdrücklich an. In das Löschkonzept gehört daher ein verbindlicher Prüfschritt vor jeder Vernichtung.

Verantwortlichkeiten und Rollen

Ein Löschkonzept funktioniert nur, wenn die Rollen klar zugeordnet sind. Eine bewährte Aufgabenteilung:

• Strategische Gesamtverantwortung: Leitung der Einrichtung als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.
• Datenverantwortung je Bereich: Leitungen der Organisationseinheiten – sie verantworten, dass die Löschregeln in ihrem Bereich gelebt werden.
• Operative Prozessverantwortung: jeweilige Prozessverantwortliche pro Verarbeitungstätigkeit, dokumentiert im VVT (Art. 30 DSGVO).
• Konzeption und Pflege: Datenschutzmanagement / Datenschutzbeauftragte – inklusive Pflege des Fristenkatalogs und Schulung.
• Technische Umsetzung: zentraler IT-Dienstleister auf Weisung – Löschläufe, Schlüsselverwaltung bei Crypto-Shredding, Restore-Schutz.
• Steuerung Sonderfälle: Rechtsstelle / Justiziariat für Legal-Hold-Anordnungen und Auskunfts- bzw. Löschbegehren mit rechtlicher Komplexität.
• Durchführungsverantwortung: alle Beschäftigten in ihrem Arbeitsbereich (Papier, Postfach, dezentrale Ablagen).

Löschprotokoll und Wirksamkeitskontrolle

Aus der Rechenschaftspflicht folgt die Pflicht zur Dokumentation. Ein Löschprotokoll sollte mindestens enthalten: eindeutige Vorgangskennung, Geltungsbereich (Datenart, Zeitraum, Anzahl Datensätze), angewandtes Verfahren (Software-Löschung, physische Vernichtung, Crypto-Shredding, Anonymisierung), Start- und Endzeitpunkt, Durchführende, Vier-Augen-Bestätigung und Ergebnis (vollständig erfolgreich / mit Anmerkungen). Die Aufbewahrung des Protokolls selbst sollte sich an der Regelverjährung des § 195 BGB orientieren – in der Praxis bis zum Ende des dritten oder vierten Folgejahres nach der Löschung. Eine jährliche Stichprobenprüfung („Wirksamkeitskontrolle") gehört zur Rechenschaftspflicht und kann gut mit der ohnehin erforderlichen TOM-Überprüfung nach Art. 32 Abs. 1 lit. d DSGVO verbunden werden.

„Deletion by Design" – Löschfähigkeit als Beschaffungskriterium

Art. 25 DSGVO verpflichtet zu Datenschutz durch Technikgestaltung – also dazu, Löschfähigkeit nicht erst im Betrieb herzustellen, sondern in die Auswahl und das Design der Verfahren einzuziehen. Praktisch heißt das: Beschaffungsverfahren sollten standardmäßig prüfen, ob die Software Löschungen pro Datensatz, Mandantentrennung, Sperrmechanismen und Lösch-Protokollierung anbietet. Altsysteme ohne diese Fähigkeiten sind die häufigste Ursache für unauflösbare Löschstaus – ein gut geführtes Löschkonzept macht diese Lücken sichtbar und bietet Übergangslösungen (z. B. organisatorische Sperrung mit dokumentiertem Migrationspfad).

Art. 4 Nr. 3, Art. 4 Nr. 5, Art. 5 Abs. 1 lit. e, Art. 5 Abs. 2, Art. 17 Abs. 1 und Abs. 3, Art. 25, Art. 30 Abs. 1 lit. f, Art. 32 Abs. 1 lit. d, Art. 89 DSGVO; ErwGr 26, 39, 67 DSGVO; § 257 HGB; § 147 AO; §§ 195, 199 BGB; § 15 Abs. 4 AGG; § 27 Abs. 1 DSAG LSA; § 12 Abs. 2 DSAG LSA i. V. m. § 9 ArchG LSA; § 69 Nr. 2 PersVG LSA; DIN 66398:2016-05 (zurückgezogen 09/2025, Nachfolgenorm DIN EN ISO/IEC 27555:2025-09 „Establishing a privacy deletion concept in organizations"); DFG-Leitlinien zur guten wissenschaftlichen Praxis (Leitlinie 17)

Datenschutztonnen (Sicherheitsbehälter mit Einwurfschlitz und Schließsystem) dienen der Sammlung von Papierunterlagen, die auf Grund ihres Schutzbedarfs nicht über den regulären Papiermüll entsorgt werden dürfen. In den Behälter gehören insbesondere:

• Prüfungsleistungen, Klausurausarbeitungen, Notenlisten, Studienleistungsnachweise mit Personenbezug;
• Personal- und Bewerbungsunterlagen, Arbeits- und Tarifverträge, Beurteilungen, Beihilfe- und Reisekostenabrechnungen;
• ärztliche Atteste, Bescheinigungen über Mutterschutz, Eingliederungsmanagement-Unterlagen;
• Vertragsentwürfe und sonstiger Schriftwechsel mit Lieferanten und Kooperationspartnern, soweit personenbezogen;
• nicht-anonymisierte Forschungsdaten, Probandenfragebögen, Einwilligungserklärungen aus Studien;
• interne Vermerke, E-Mail-Ausdrucke, Telefonnotizen mit Personenbezug.

Eine Entsorgung dieser Unterlagen über den regulären Papiermüll, blaue Tonnen oder offene Sammelstellen ist datenschutzrechtlich im Regelfall nicht tragfähig. Sie kann eine Verletzung der Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO darstellen und eine Meldepflicht nach Art. 33 DSGVO auslösen. Art. 5 Abs. 1 lit. f, Art. 32, 33 DSGVO; DIN 66399 Schutzklasse 2

Ebenso wichtig wie das, was in die Datenschutztonne gehört, ist das, was dort nicht hineingehört. Zwei Gruppen sind im Hochschulalltag besonders fehleranfällig:

1. Geräte mit Lithium-Ionen-Akkus Smartphones, Tablets, Powerbanks, Notebooks, kabellose Mäuse und Tastaturen, Bluetooth-Headsets, E-Zigaretten-Liquidzubehör, Akkuschrauber und alle sonstigen Geräte mit fest verbautem Lithium-Akku gehören nicht in die Datenschutztonne. Beim mechanischen Schreddern im Entsorgungsbetrieb besteht akute Brandgefahr; die Berufsfeuerwehren beobachten seit Jahren steigende Zahlen von Schredderbränden, die ganz überwiegend auf falsch entsorgte Akkus zurückgehen.
2. Elektronische Datenträger Festplatten (HDD), Solid-State-Drives (SSD), USB-Sticks, Speicherkarten (SD, microSD, CF), optische Medien (CDs, DVDs, Blu-Rays) sowie Plastikkarten mit Chip (Dienstausweise, Smartcards) gehören aus zwei Gründen nicht in die Papier-Datenschutztonne: Erstens sind sie abfallrechtlich Elektroschrott und müssen nach dem Elektro- und Elektronikgerätegesetz (ElektroG) separat entsorgt werden. Zweitens sind die Sicherheitsstufen P-Stufen für Papier nicht für die Vernichtung elektronischer Datenträger geeignet – dafür greifen die Stufen E, H, O und T der DIN 66399 (siehe Abschnitt 06).

Art. 32 DSGVO; ElektroG (Bundesgesetz); DIN 66399 (Sicherheitsstufen E, H, O, T)

Bei elektronischen Datenträgern stehen vor der physischen Vernichtung zwei Pfade zur Wahl, die sauber zu trennen sind: die logische Löschung bei beabsichtigter Weiterverwendung und die physische Vernichtung bei endgültiger Aussonderung.

Pfad A – Logische Löschung bei Weiterverwendung

Funktionsfähige Geräte mit fest verbauten Speichermedien (Notebooks, Workstations, Drucker mit Festplatte) sollten nach hier vertretener Auffassung vor einer endgültigen Vernichtung auf Möglichkeiten interner Weiterverwendung geprüft werden – Stichwort Nachhaltigkeit und Ressourcenschonung. Voraussetzung ist die nachweislich erfolgreiche Löschung sämtlicher personenbezogener und vertraulicher Daten nach dem aktuellen Stand der Technik:

• geeignete Löschverfahren nach dem Stand der Technik, insbesondere softwaregestützte Überschreibungsverfahren, kryptografische Löschung (Crypto-Erase) bei verschlüsselten Datenträgern sowie ATA-Secure-Erase bzw. NVMe-Format/Sanitize bei modernen SSD; maßgeblich sind die jeweils einschlägigen Anforderungen der BSI-Technischen Leitlinien BSI-TL 03420 („Richtlinien für das Löschen und Vernichten von schutzbedürftigen Informationen auf Datenträgern") und BSI-TL 03423 („Anforderungen zum Überschreiben von Datenträgern");
• dokumentierter Löschprotokollnachweis je Datenträger;
• Durchführung durch das Rechenzentrum oder autorisiertes IT-Fachpersonal, nicht durch den Endnutzer.

Pfad B – Physische Vernichtung bei endgültiger Aussonderung

Ist eine sichere logische Löschung technisch nicht zweifelsfrei möglich (Geräte am Lebenszyklusende, defekte Datenträger, ältere SSD ohne Sanitize-Unterstützung), ist die physische Vernichtung über die zentralen Aussonderungswege der Hochschule der einzig saubere Weg. Datenträger werden in dafür vorgesehenen Sicherheitsbehältern gesammelt und einer datenschutzkonformen physischen Zerstörung nach DIN 66399 zugeführt – für Schutzklasse 2 in der Regel mindestens nach Stufen H-4 (Festplatten) bzw. E-3 (elektronische Datenträger).

Art. 32 DSGVO; DIN 66399 (Sicherheitsstufen E, H, O, T) bzw. ISO/IEC 21964 als internationale Nachfolgenorm; BSI-TL 03420 (Löschen und Vernichten schutzbedürftiger Informationen auf Datenträgern); BSI-TL 03423 (Anforderungen zum Überschreiben von Datenträgern); BSI IT-Grundschutz CON.6 „Löschen und Vernichten"

Mobile Arbeit und Telearbeit verschärfen die Vernichtungsproblematik, weil dienstliche Unterlagen in privater Umgebung anfallen, in der die zentralen Datenschutztonnen nicht zur Verfügung stehen. Die Pflichten aus Art. 32 DSGVO entfallen dadurch nicht; sie verlagern sich vielmehr auf die einzelnen Beschäftigten:

• Vertrauliche Unterlagen, Dokumente mit Personenbezug und Datenträger, die im Home-Office anfallen, dürfen nicht im privaten Hausmüll oder in der privaten Altpapiersammlung entsorgt werden.
• Unterlagen sind bis zur Rückführung in die Dienststelle in einem verschließbaren Behältnis aufzubewahren – Schreibtischschublade mit Schloss, abschließbarer Aktenschrank oder Trolley mit Sicherheitsschloss.
• Die Rückführung soll zeitnah erfolgen; das bedeutet in der Praxis bei der nächsten Anwesenheit in der Dienststelle, jedenfalls aber binnen weniger Wochen.
• Eine Vermischung mit privaten Unterlagen ist zu vermeiden, um die Trennung von dienstlicher und privater Sphäre zu wahren.
• Elektronische Datenträger werden nicht im Home-Office vernichtet – auch nicht durch eigene Schredder oder Bohrer; die Aussonderung erfolgt zentral.

Art. 5 Abs. 1 lit. f, Art. 32 DSGVO; § 69 Nr. 4 PersVG LSA (Auslagerung von Arbeitsplätzen zwecks Heimarbeit an technischen Geräten), ergänzend § 69 Nr. 5 PersVG LSA (Maßnahmen zur Änderung der Arbeitsorganisation) – jeweils umgesetzt über die zugrunde liegende Dienstvereinbarung

Der physische Standort einer Datenschutztonne entscheidet mit darüber, ob die Vernichtungslogistik datenschutzrechtlich trägt. Empfehlenswert sind:

• Bevorzugt zugangsbeschränkte Bereiche: Sekretariate, abgeschlossene Kopierräume, Büros mit Zugangskontrolle.
• In Verwaltungsbereichen ohne Publikumsverkehr ist eine Aufstellung in Fluren akzeptabel – das Restrisiko ist im Verarbeitungsverzeichnis zu dokumentieren und durch flankierende Maßnahmen (Sichtbarkeit, Bauart, Schließsystem) zu kompensieren.
• Nicht zulässig ist die Aufstellung in Bereichen mit hohem studentischem Publikumsverkehr (Foyers, vor Hörsälen, in Cafeterien); dort ist die unbefugte Mitnahme oder das Hineinfischen schwer zu kontrollieren.
• Außenbereich am Straßenrand – etwa zur Abholung über Nacht – ist nach hier vertretener Auffassung nicht der saubere Weg; Datenschutztonnen sollten regelmäßig im Innenbereich verbleiben und von dort durch den Dienstleister abgeholt werden.
• Bauart: Verwendet werden ausschließlich Sicherheitsbehälter mit Einwurfschlitz und Schließsystem; offene Sammelboxen oder umfunktionierte Papiermülltonnen scheiden aus.
• Sicherung gegen Mitnahme: Wo möglich, sind Tonnen in Fluren gegen unbefugtes Entfernen zu sichern – etwa durch Befestigung, Verkettung oder Aufstellung in einer Nische.

Art. 32 Abs. 1 DSGVO; BSI IT-Grundschutz INF.1 „Allgemeines Gebäude" und INF.7 „Büroarbeitsplatz"

Im Regelfall werden Datenschutztonnen ausschließlich über den Einwurfschlitz befüllt. Dieser Pfad ist aus datenschutzrechtlicher Sicht der einfachste, weil eine Manipulation oder ein „Hineinfischen" der Inhalte praktisch ausgeschlossen ist. In Ausnahmefällen – etwa bei der Entsorgung vollständiger Aktenordner – ist eine direkte Öffnung der Tonne erforderlich. Hier hat sich die folgende organisatorische Regelung bewährt:

1. Schlüsselverantwortung benennen Für jede Datenschutztonne ist im jeweiligen Organisationsbereich (Dezernat, Institut, Lehrstuhl) eine schlüsselverantwortliche Person zu benennen. Vertretungsregelung sollte mitdokumentiert sein.
2. Vier-Augen-Prinzip Die Öffnung der Tonne erfolgt grundsätzlich durch die schlüsselverantwortliche Person im Beisein der entsorgenden Mitarbeiterin oder des entsorgenden Mitarbeiters. Der Einwurf erfolgt zügig und unmittelbar nach der Öffnung.
3. Sofortiges Wiederverschließen Im Anschluss verschließt die schlüsselverantwortliche Person die Tonne sofort und prüft die Verriegelung.
4. Verbot der Durchsicht Ein Durchsuchen der bereits in der Tonne befindlichen Altbestände ist im Rahmen dieses Vorgangs ausdrücklich untersagt – auch nicht zur Suche eines „versehentlich eingeworfenen" eigenen Dokuments. Wer einen Eintrag rückgängig machen will, hat den Vorgang zu dokumentieren und mit der Datenschutzfunktion abzustimmen.

Die maximale Befüllung sollte zwei Drittel des Gesamtvolumens nicht überschreiten – andernfalls drohen festklemmende Dokumente im Einwurfschlitz, die von außen zugänglich werden. Bei Erreichen dieser Füllgrenze ist die für die Abholung zuständige Stelle zeitnah zu informieren. Art. 32 Abs. 1 DSGVO; SDM v3.1a der DSK (Nichtverkettbarkeit, Intervenierbarkeit)

Die abschließende physische Vernichtung erfolgt im Hochschulalltag ganz überwiegend durch externe Entsorgungsunternehmen. Diese sind nach hier vertretener Auffassung in der Regel als Auftragsverarbeiter im Sinne von Art. 28 DSGVO einzuordnen – auch wenn der Begriff in der abfallwirtschaftlichen Praxis selten so verwendet wird. Im Einzelfall sollte die Rollenklärung sauber dokumentiert werden, weil bei rein entsorgungsrechtlich gesteuerten Konstellationen mit erheblicher Eigenverantwortlichkeit des Dienstleisters auch eine andere Einordnung in Betracht kommen kann. Daraus folgt:

• AVV nach Art. 28 DSGVO als sicherer Weg. Sofern Auftragsverarbeitung vorliegt, ist der AVV zwingend; in den übrigen Konstellationen ist er aus Risikogesichtspunkten gleichwohl zu empfehlen. Der Vertrag sollte die Pflichtinhalte des Art. 28 Abs. 3 DSGVO abdecken (Gegenstand, Dauer, Art und Zweck der Verarbeitung, Datenkategorien, Pflichten und Rechte des Verantwortlichen, Weisungsbindung, Vertraulichkeitsverpflichtung, TOMs, Subunternehmer- Genehmigung, Unterstützungspflichten, Lösch- und Rückgabepflichten, Auditrechte). Vertieft auf der Themenseite Auftragsverarbeitungsvertrag.
• Zertifizierung des Dienstleisters ist Stand der Technik. Üblich sind Zertifizierungen nach DIN 66399 i. V. m. DIN EN 15713, ergänzt durch eine ISO-9001-Zertifizierung des Qualitätsmanagements und ggf. ISO 14001 für die Umweltverträglichkeit.
• Sicherheitsstufe vertraglich fixieren. Für hochschultypische Schutzklasse-2-Daten empfiehlt es sich, organisationsintern mindestens P-4 (Papier), H-4 (Festplatten) und E-3 (elektronische Medien) als Mindestvorgabe vertraglich festzuschreiben. Die Norm lässt für Schutzklasse 2 zwar auch P-3 zu; das Marktangebot der Dienstleister bietet hier verschiedene Pakete an. Wer P-3 wählt, sollte das als bewusste Organisationsentscheidung dokumentieren.
• Vernichtungsprotokoll je Abholung. Der Dienstleister sollte verpflichtet werden, je Abholung ein Vernichtungszertifikat unter Angabe der Sicherheitsstufe, der vernichteten Menge und des Vernichtungsdatums auszustellen. Diese Protokolle gehören in die Aktenführung der zuständigen Stelle und sind nach Maßgabe der jeweils einschlägigen Aktenordnung oder Registraturrichtlinie revisionsfest aufzubewahren; soweit keine speziellere Frist greift, kann eine Aufbewahrung von zehn Jahren sachgerecht sein.
• Subauftragsverarbeitung. Wenn der Dienstleister Sub-Unternehmer einsetzt – etwa zur Tonnenabholung oder zum LKW-Transport –, ist deren Einsatz im AVV zu regeln und zu genehmigen.

Art. 28, Art. 32 DSGVO; DIN 66399 (Schutzklassen/Sicherheitsstufen, Nachfolgenorm ISO/IEC 21964:2018-08); DIN EN 15713:2024-07; vgl. Themenseite AVV

Sicherheitsvorfälle im Zusammenhang mit Datenschutztonnen sind keine Seltenheit. Typische Konstellationen sind: ein Aufbruchsversuch am Schließsystem, eine umgestoßene Tonne mit verstreuten Inhalten, eine während der Abholung verlorene Tonne, eine im Außenbereich vorgefundene und ggf. bereits durchsuchte Tonne, ein verschwundener oder gestohlener Behälter.

In allen diesen Fällen ist der Vorgang unverzüglich an die Datenschutzfunktion (Datenschutzmanager, Datenschutzbeauftragte) sowie an die für den Standort verantwortliche Stelle zu melden. Die Meldung dient dazu, die Risikobewertung nach Art. 33 DSGVO vornehmen zu können – einschließlich der innerhalb der 72-Stunden-Frist zu treffenden Entscheidung, ob der Vorfall der Aufsichtsbehörde zu melden ist und ob ggf. eine Benachrichtigung der Betroffenen nach Art. 34 DSGVO erforderlich wird (vgl. Themenseite Datenpannen).

Art. 33, 34 DSGVO; § 31 Abs. 2 Satz 1 DSAG LSA (Bußgeldausschluss für öffentliche Stellen, Meldepflicht bleibt unberührt); siehe Themenseite Datenpannen

1. Papiermüll für Personalunterlagen: Personalakten oder Bewerbungsunterlagen landen im blauen Papiercontainer – mit der Folge einer Vertraulichkeitsverletzung nach Art. 5 Abs. 1 lit. f DSGVO und häufig auch einer Meldepflicht nach Art. 33 DSGVO.
2. Lithium-Akkus in der Papier-Tonne: Smartphones, Tablets und Powerbanks lösen beim Schreddern immer wieder Brände aus – einer der häufigsten und am einfachsten vermeidbaren Fehler.
3. USB-Sticks und Festplatten in der Papier-Tonne: Falsche Sicherheitsstufe (P statt H/E) und abfallrechtliche Trennung verletzt.
4. Außenbereich-Lagerung: Datenschutztonnen werden für die Abholung über Nacht an den Straßenrand gestellt – nach hier vertretener Auffassung ein Vertraulichkeitsrisiko mit einer aufklärungspflichtigen Konstellation.
5. P-3 als Mindestmaßstab gewählt, ohne dies organisatorisch zu reflektieren: P-3 ist nach DIN 66399 zwar für Schutzklasse 2 zugelassen (zulässiger Korridor P-3 bis P-5). In der Beratungspraxis hat sich für hochschultypische personenbezogene Daten jedoch P-4 als hausinterner Mindeststandard etabliert. Wer P-3 nutzt, sollte das als bewusste Organisationsentscheidung dokumentieren und das Restrisiko in der TOM-Beschreibung und im Verarbeitungsverzeichnis ausweisen.
6. Selbst-Löschung von Datenträgern durch Endnutzer: Werksreset, „löschen und Papierkorb leeren" oder einmaliges Überschreiben sind in der Regel nicht ausreichend; maßgeblich sind Verfahren nach dem Stand der Technik (BSI-TL 03420 / 03423, Crypto-Erase, ATA-Secure-Erase, NVMe-Sanitize).
7. Fehlende Rollenklärung und – bei Auftragsverarbeitung – fehlender AVV: Externe Entsorgungsunternehmen sind datenschutzrechtlich häufig als Auftragsverarbeiter einzuordnen. Die Rollenverteilung sollte jedoch im Einzelfall sauber geprüft und dokumentiert werden. Liegt Auftragsverarbeitung vor, ist ein Vertrag nach Art. 28 DSGVO erforderlich; auch in Zweifelsfällen kann ein AVV aus Risikogesichtspunkten der sicherere Weg sein.
8. Kein Vernichtungsprotokoll: Ohne Zertifikat lässt sich die ordnungsgemäße Vernichtung in einer Aufsichtsprüfung nicht nachweisen.
9. Tonne im Hörsaalfoyer: Hohe Publikumsfrequenz, kaum Sichtkontrolle – eine Aufstellung an solchen Orten ist nicht der saubere Weg und sollte zumindest dokumentiert begründbar sein.
10. Vier-Augen-Prinzip umgangen: Eine schlüsselverantwortliche Person öffnet die Tonne allein und befüllt sie selbst – damit ist der entscheidende organisatorische Schutz gegen Manipulation aufgehoben.

Rechtsquellen

• Verordnung (EU) 2016/679 (DSGVO) – insb. Art. 4 Nr. 2 (Verarbeitung); Art. 5 Abs. 1 lit. e (Speicherbegrenzung) und lit. f (Integrität); Art. 17 (Recht auf Löschung); Art. 32 (Sicherheit); Art. 33, 34 (Meldepflichten); Art. 82 (Schadensersatz).

Rechtsprechung

• EuGH, Urteil v. 04.05.2023 – C-300/21 (Österreichische Post) – Voraussetzungen des immateriellen Schadensersatzes, einschlägig bei mangelhafter Vernichtung.
• EuGH, Urteil v. 25.01.2024 – C-687/21 (Saturn) – einschränkender Maßstab des Art. 82 DSGVO: ein Schadensersatzanspruch setzt einen konkreten materiellen oder immateriellen Schaden voraus; ein rein hypothetisches Missbrauchsrisiko nach unbeabsichtigter Datenweitergabe genügt nicht.

Aufsichtspraxis und Standards

• DIN 66399-1:2012-10 – Vernichtung von Datenträgern, Teil 1: Grundlagen und Begriffe sowie DIN 66399-2:2012-10 – Teil 2: Anforderungen an Maschinen (DIN-Reihe 2023 zurückgezogen, fortgeführt als ISO/IEC 21964:2018).
• DIN EN ISO/IEC 27555:2025-09 – Information security, cybersecurity and privacy protection: Guidelines on personally identifiable information deletion – Anforderungen an die Konzeption und Dokumentation von Löschvorgängen (Nachfolgenorm zu DIN 66398).
• BSI, IT-Grundschutz-Baustein CON.6 „Löschen und Vernichten" (Edition 2023, PDF) sowie Baustein ORP.4 „Identitäts- und Berechtigungsmanagement" (Edition 2022, PDF) – einschlägige Umsetzungshinweise des IT-Grundschutz-Kompendiums.
• LfD Sachsen-Anhalt, Orientierungshilfen und Hinweisdokumente – aufsichtsbehördliche Praxis im Land Sachsen-Anhalt.

Querverweise auf eigene Themenseiten

• Technisch-organisatorische Maßnahmen (TOMs) – Datenträgervernichtung als TOM nach Art. 32 DSGVO.
• Datenpannen und Meldepflicht – fehlerhafte Vernichtung als typische Pannenursache.
• Anonymisierung und Pseudonymisierung – Anonymisierung als Alternative zur Löschung.