Die Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) regelt seit dem Inkrafttreten den einheitlichen Umgang mit personenbezogenen Daten. Schweizer Firmen, die Daten von Kunden aus den EU-Mitgliedsländern sammeln, müssen die Verordnung ebenfalls umsetzen. Gemäss dem süddeutschen Hersteller von Aktenvernichtern HSM arbeiten viele Organisationen noch immer daran, interne Richtlinien zu erstellen, um der Dokumentations- und Informationspflicht nachzukommen. Denn: Wer personenbezogene Daten erhebt, muss als Verantwortlicher eine lückenlose Dokumentation zu Zweck, Dauer, Speicherung und Löschung der Daten darlegen und gewährleisten. «Und bei der Löschung kommt dann HSM ins Spiel. Wir bekommen täglich Anfragen, wie man Daten DSGVO-konform vernichtet», so Jürgen Walker, Leitung Vertrieb Bürotechnik Europa bei HSM.
Welche Schritte umfasst die Stellplatzanalyse?
Zuerst wird der Schutzbedarf der zu vernichtenden Daten anhand der drei Schutzklassen eingeordnet. Dazu wird geprüft, welche Art von Daten verwaltet werden – daraus ergibt sich der Schutzbedarf und damit die Schutzklasse. Die ISO/IEC 21964 gruppiert die Datenträger in insgesamt sechs Kategorien, die das Datenformat definieren. Beispielsweise Informationen in Originalgrösse, wie Papier sowie optische, elektronische und magnetische Datenträger, Informationen in verkleinerter Form und Festplatten mit magnetischem Datenträger. Die Datenträger-Kategorien werden wiederum in sieben Sicherheitsstufen unterteilt. Je höher die Sicherheitsstufe, desto kleiner die Partikel. Nachdem Schutzklasse, Sicherheitsstufe und zu vernichtende Datenträger definiert sind, gilt es festzulegen, wo der Aktenvernichter eingesetzt wird und wie viele Personen ihn nutzen. Abschliessend sollte man sich über die benötigte Leistung Gedanken machen, d.h. wie viele Blätter Papier sollte der Aktenvernichter in einem Arbeitsgang schreddern können und wie gross muss der Auffangbehälter sein, um die Leerungsintervalle komfortabel zu halten.