News + Aktuelles

aus dem Eventrecht
Konfetti-Choreo führt zu Datenschutz-Problem

Konfetti-Choreo führt zu Datenschutz-Problem

Von Thomas Waetke 26. September 2016

Ein städtischer Mitarbeiter war fleißig und hat jede Menge Altpapier zu Konfetti zerrissen und ebenso fleißig mit diesem Konfetti bei einem Fußballspiel um sich geworfen. Das wäre an sich nichts besonderes, wenn der Mann nicht ganz besonderes Altpapier dazu verwendet hätte: Es handelte sich dabei um Akten aus der Stadtverwaltung, die eigentlich hätten geschreddert werden sollen, aber versehentlich im normalen Altpapier landeten. Das heikle: Auf den Konfetti-Schnipseln waren teilweise personenbezogene Daten zu lesen. Verschiedene Zuschauer hatten die besonderen Konfetti gemeldet. Bei der betroffenen Stadt zeigt man sich reumütig und will nun neue Prozesse einrichten, um derlei Pannen künftig zu verhindern.

Entsorgung, aber wie?

Beauftragen Unternehmen private Entsorgungsfachbetriebe mit der Vernichtung ihrer sensiblen Daten, bleibt das jeweilige Unternehmen auch weiterhin für die Einhaltung des Datenschutzes verantwortlich. Man spricht hierbei von einer sog. Auftragsdatenverarbeitung (§ 11 BDSG. Update: Seit 25.05.2018 gilt die DSGVO und ein neues BDSG; die Auftragsverarbeitung ist in Art. 28 DSGVO geregelt). Daher sollte das Unternehmen auch hier Wert auf die Auswahl der Entsorger legen.

Das Unternehmen muss sich u.a. anhand geeigneter Unterlagen oder vor Ort davon überzeugen, daß der Entsorger wirklich auch in der Lage ist, die Entsorgung rechtskonform zu erledigen. Ein Auftrag ist hierzu schriftlich zu erteilen und muss insbesondere die in § 11 Absatz 2 BDSG genannten Aspekte enthalten.

Bei der Entsorgung personenbezogener Daten sollte das Unternehmen im Vertrag mit dem Entsorger auch regeln, um welche Datenträger und Daten es sich handelt (z.B. Rechnungen, Personalunterlagen) und wie die Schutzbedürftigkeit dieser Daten einzustufen ist.

Für die Entsorgung gibt die DIN 66399 Richtlinien für eine sichere Entsorgung von Datenträgern (darin ist u.a. geregelt, wie groß die Schnipsel sein dürfen, abhängig von der Schutzbedürftigkeit der Daten).

Entsorgungskonzept

Entsorgt das Unternehmen die Datenträger selbst, sollten sie keinesfalls im normalen Altpapier landen. Das Unternehmen sollte ein internes Entsorgungskonzept erstellen, wie sensible Daten entsorgt werden, dazu gehört dann in der Regel ein geeigneter Schredder, der zumindest den Anforderungen der DIN 66399 genügen sollte.

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Konfetti in Fußballstadion: © p!xel 66 - Fotolia.com