Aufräumarbeiten zum Jahresende?
Es dauert nicht mehr lange, dann neigt sich das Jahr 2018 schon wieder dem Ende zu. In diesem Endspurt ist oftmals die Zeit gekommen, sich den liegengebliebenen Pflichtaufgaben zuzuwenden. Meist steht dabei Aufräumen auf dem Programm. Hierbei ist nicht unbedingt das Ausmisten der Büroschränke und ‑schubladen gemeint, sondern primär geht es uns im Zuge dieses Blogs natürlich um die personenbezogenen Daten. Werfen wir beispielsweise einen Blick in deutsche Arztpraxen und die dortigen Pflichten:
Seit der Einführung der DSGVO im Mai 2018 hat die Speicherdauer von personenbezogenen Daten an Bedeutung gewonnen. Die Regelungen, wann welche Daten gelöscht werden müssen, sollten Sie bereits in einem Löschkonzept niedergeschrieben haben, denn dies ist Teil Ihres Datenschutz-Management Systems. Haben Sie hier noch offene Punkte, unterstützen wir Sie natürlich gerne bei der Einführung und Umsetzung der Vorgaben der DSGVO. Sprechen Sie uns einfach darauf an.
In einem Löschkonzept geht es unter anderem auch um die ordnungsgemäße Vernichtung von Datenträgern. Viele werden nun in sich gehen und überlegen, wie Daten bei Ihnen vernichtet werden, wenn die Speicherfristen abgelaufen sind und das ist gut so.
Papiere, Akten und die damit verbundenen Probleme
Gerade in Arztpraxen findet man häufig noch Papierunterlagen, die , in regelmäßigen Abständen, ausgedünnt werden müssen. Hierbei ist es aber bei weitem nicht genug, die Unterlagen zweimal zu zerreißen und dann in den Papiermüll zu werfen, das sollte soweit bereits jedem klar sein. Gerade im medizinischen Bereich ist der Umgang mit personenbezogenen Daten, und sehr häufig auch mit besonderen personenbezogenen Daten, unumgänglich. Ein entsprechendes Schutzniveau ist daher ein Muss und nicht ganz einfach herzustellen.
In einer normalen Arztpraxis können schnell ca. 2500 neue Patientenakten pro Jahr anfallen. In größeren Praxen oder medizinischen Versorgungszentren häufig auch ein Vielfaches hiervon. Die damit verbundenen Papierberge müssen bewältigt, geschützt und teilweise bis zu 30 Jahre aufbewahrt werden. Die Kosten der entsprechenden Lagerflächen für die Archivierung sind nicht unerheblich. Im Kontext des Datenschutzes muss hier auf das entsprechende Schutzniveau geachtet werden. Dies schließt selbstverständlich auch den Transport aus der Einrichtung in das Archiv mit ein.
Nicht nur für die Vernichtung von Papierakten ist hierbei die DIN-66399 relevant, sondern sie findet generell Anwendung bei der Zerstörung von Datenträgern.
Schutzklassen nach der DIN-66399
Die DIN-66399 definiert dabei 3 Schutzklassen
| Schutzklasse | Beschreibung |
| Schutzklasse 1 – interne Daten | Der Schutz von personenbezogenen Daten muss gewährleistet sein.
Andernfalls besteht die Gefahr, dass der Betroffene in seiner Stellung und seinen wirtschaftlichen Verhältnissen beeinträchtigt wird. |
| Schutzklasse 2 — vertrauliche Daten | Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird. |
| Schutzklasse 3 — geheime Daten | Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein.
Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen. |
In allen drei Schutzklassen werden personenbezogene Daten geschützt. Im Rahmen der DSGVO ist daher ein risikobasierter Ansatz zu verwenden, um den Daten eine entsprechende Schutzklasse zuzuordnen.
Die Sicherheitsstufen im Überblick
Neben den 3 Schutzklassen wurden in der DIN-66399 insgesamt sieben Sicherheitsstufen definiert. In diese Sicherheitsstufen sollen die Daten entsprechend einsortiert werden.
| Sicherheiststufe | Beschreibung |
| 1 | Allgemeine Daten |
| 2 | Interne Daten |
| 3 | Sensible Daten |
| 4 | Besonders sensible Daten |
| 5 | Daten, welche geheim gehalten werden sollen |
| 6 | Geheime Daten mit sehr hohen Sicherheitsanspruch |
| 7 | Top-Secret Daten der höchstmöglichen Geheimhaltung |
Sicherheitsstufen und Schutzklassen werden über eine Matrix miteinander verbunden und beschreiben damit das Schutzniveau der entsprechenden Daten.
| Sicherheitsstufen | |||||||
| Schutzklasse | 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 1 | X | X | X | ||||
| 2 | X | X | X | ||||
| 3 | X | X | X | X |
Für personenbezogene Daten muss mindestens die Sicherheitsstufe 3 verwendet werden.
Das Löschkonzept mit Bedacht und Sorgfalt erstellen
Wie man schon in diesem kurzen Abriss sieht, handelt es sich um ein sehr aufwändiges Thema und man kann schnell der Überblick verlieren. Daher ist es umso wichtiger ein solides Löschkonzept zu entwickeln und hier Sorgfalt walten zu lassen. Um überhaupt ein ausgereiftes Löschkonzept entwickeln zu können, muss im Unternehmen ein vollständiger Überblick über die Daten und Systeme vorhanden sein. Idealerweise braucht man hierzu nur das Verzeichnis der Verarbeitungstätigkeiten aufzuschlagen.
Falls Sie bei der Umsetzung der DSGVO noch nicht an diesem Punkt angelangt sind oder Fragen zur Umsetzung haben, treten Sie gerne mit uns in Kontakt. Unsere TÜV zertifizierten externen Datenschutzbeauftragten helfen Ihnen, individuell auf Ihr Unternehmen zugeschnitten. Neben den Themen Datenschutz beraten wir Sie gerne auch in den Bereichen IT-Security sowie in der Digitalisierung Ihres Unternehmens oder als externer CTO.
