Vertrauliche Botschaftsdokumente im Hausmüll
Geschrieben von Kemal Webersohn, veröffentlicht am 05.12.2019In Berlin sind vertrauliche Unterlagen deutscher Diplomaten im Hausmüll und anschließend in der Presse gelandet – wie Sie eine solche Datenpanne vermeiden.
In der Heiligendammer Straße in Berlin sind offensichtlich mehrere Seiten geheimer Dokumente deutscher Diplomaten einfach im Hausmüll entsorgt worden. Ein solcher Vorfall kann nicht nur eine Gefahr für Landes- oder Betriebsgeheimnisse bedeuten, sondern auch einen ganz konkreten Verstoß gegen geltendes Datenschutzrecht und somit hohe Bußgelder nach sich ziehen.
Was war passiert?
Drucksachen, offensichtlich der E-Mail-Verkehr deutscher Diplomaten, versehen mit dem Hinweis „Verschlusssache – nur für den Dienstgebrauch“, sind im Hausmüll gelandet. Wobei es sich bei Verschlusssachen um im öffentlichen Interesse geheimhaltungsbedürftige Tatsachen, Gegenstände oder Erkenntnisse handelt.
Inhalt der E-Mails waren jedenfalls Lageeinschätzungen, so etwa zur geostrategischen Lage der Ukraine, dem Abschuss der Malaysian Airlines Maschine MH 17 und persönliche Gespräche mit Kiews Bürgermeister Vladimir Klitschko. Die Unterlagen sollen von einer hochrangigen deutschen Botschaftsmitarbeiterin der Ukraine und vom deutschen Gesandten in Kiew, Dr. Betram von Moltke stammen. Ein Sprecher des Auswärtigen Amtes bestätigte nur, dass die Einhaltung von Sicherheitsvorschriften höchste Priorität habe und grundsätzlich allen Sicherheitsvorfällen nachgegangen werde. Genauere Angaben zum Konkreten Vorfall wurden aber nicht gemacht.
Zumindest bei dem E-Mail-Verkehr mit Vladimir Klitschko handelt es sich aber um personenbezogene Daten, schließlich sind mit personenbezogenen Daten alle Informationen gemeint, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Landen diese im Hausmüll, liegt zweifelsfrei ein Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO vor, denn personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust. Sanktioniert wird ein solches Fehlverhalten von der zuständigen Aufsichtsbehörde gem. Art. 83 Abs. 5 lit. a DSGVO ggf. mit einem Bußgeld von bis zu 20 Millionen Euro.
Einen erneuten Pressetermin zu einem etwaig verhängten Bußgeld muss der Sprecher des Auswärtigem Amtes aber nicht befürchten, denn gem. § 43 Abs. 3 BDSG/LDSG werden „Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Abs. 1 keine Bußgelder verhängt“.
Was hätte man besser machen können?
Zunächst einmal gilt, wie jeder weiß: E-Mails nicht ausdrucken. Denn sind diese erst einmal auf Papier gebracht, ist die Rohstoffverschwendung passiert und der Schriftverkehr hat die sichere Sphäre der (bestenfalls) verschlüsselten Festplatte verlassen. Will man jetzt auch eine DSGVO-konforme Vernichtung gewährleisten, wird es jedenfalls komplizierter als die Entsorgung im Hausmüll.
- Variante:Der Aktenvernichter
Seit Einführung der Datenschutz-Grundverordnung wird die DIN 66399 in Deutschland für die Sicherheitsstufen bei der Aktenvernichtung angewandt. Im oben genannten Anwendungsfall wäre bei der Vernichtung geheimer E-Mails mindestens P-5 anzuwenden (Materialteilchenfläche max. 30 mm²: Streifenbreite max. 2 mm). In den meisten fällen sollte die Sicherheitsstufe P-4 (für personenbezogene Daten, z.B. Personalunterlagen) ausreichen. Trotzdem empfiehlt sich immer zuerst ein Blick in unseren Leitfaden für Aktenvernichter. Dort finden Sie die notwendigen Informationen für eine sichere Auswahl. Diesen Leitfaden können Sie über Ihre persönliche Datenschutz-Plattform abrufen.
- Variante:Die Datentonne
Am häufigsten empfehlen wir aber eine Datentonne eines ausreichend zertifizierten (z.B. nach ISO 9901 und DIN 66399) Dienstleisters gegenüber einem Aktenvernichter.
Eine Datentonne ist verschlossen und wird, sobald diese voll ist, entleert und der Inhalt von Fachpersonal datenschutzkonform vernichtet. Datentonnen haben zudem den Vorteil, dass auch große Mengen an Papierdatenträgern schnell und sicher einer ordnungsgemäßen Vernichtung zugeführt werden können, ohne die Kollegen und damit den Betriebsablauf zu stören.
Nicht vergessen: Schließen Sie mit Ihrem Dienstleister einen Vertrag zur Auftragsverarbeitung, denn bei der Papierdatenvernichtung handelt es sich um eine Auftragsverarbeitung gem. Art. 28 DSGVO.
Anbieter sind hier z.B.:
- Berlin Recycling (https://www.berlin-recycling.de/entsorgung/datentraegervernichtung)
- Documentus (https://www.documentus-berlin.de)
- Shred-it (https://www.shredit.de/de-de/leistungen/aktenvernichtung)
- Sero (https://www.sero-aktenvernichtung.de)
Fazit
Auch wenn Sie nicht in Kontakt mit geheimen Botschaftsdokumenten kommen, müssen Sie bei der Vernichtung von Papierdatenträgern die personenbezogenen Daten enthalten, äußerste Vorsicht walten lassen. Wenn Sie sich für einen Aktenvernichter entscheiden, bietet Ihnen die DIN 66399 oder unser Leitfaden zu Aktenvernichtern einen guten ersten Anhaltspunkt.
Sollten Sie weitere Fragen zur datenschutzkonformen Vernichtung von Papierdatenträgern haben, stehen wir Ihnen gerne zur Verfügung.