Wie Entsorgen?
Wird ein privater Entsorgungsfachbetrieb durch ein Unternehmen beauftragt, seine sensiblen Daten zu vernichten, bleibt das Unternehmen auch weiterhin für die Einhaltung des Datenschutzes verantwortlich. Man spricht hierbei von einer sogenannten Auftragsdatenverarbeitung (§ 11 BDSG). Daher sollte hier Wert auf die Auswahl der Entsorger gelegt werden.
Das Unternehmen muss sich u.a. anhand geeigneter Unterlagen oder vor Ort davon überzeugen, dass der Entsorger wirklich auch in der Lage ist, die Entsorgung rechtskonform zu erledigen. Ein Auftrag ist hierzu schriftlich zu erteilen und muss insbesondere die in § 11 Absatz 2 BDSG genannten Aspekte enthalten.
Bei der Entsorgung personenbezogener Daten sollte das Unternehmen im Vertrag mit dem Entsorger auch regeln, um welche Datenträger und Daten es sich handelt (z.B. Rechnungen, Personalunterlagen) und wie die Schutzbedürftigkeit dieser Daten einzustufen ist.
Für die Entsorgung gibt die DIN 66399 Richtlinien für eine sichere Entsorgung von Datenträgern (darin ist u.a. geregelt, wie groß die Schnipsel sein dürfen, abhängig von der Schutzbedürftigkeit der Daten).
Entsorgungskonzept
Entsorgt das Unternehmen die Datenträger selbst, sollten sie keinesfalls im normalen Altpapier landen. Das Unternehmen sollte ein internes Entsorgungskonzept erstellen, wie sensible Daten entsorgt werden, dazu gehört dann in der Regel ein geeigneter Schredder, der zumindest den Anforderungen der DIN 66399 genügen sollte.