Beim Thema Datenschutz wird gern vieles durcheinander gebracht – und die Materie ist für Laien tatsächlich unübersichtlich. Im Grunde geht es um zwei große Bereiche: Den Schutz von Daten vor unbefugter Einsichtnahme und Verwendung einerseits und den Schutz von Daten vor Verlust andererseits.
Der Umgang mit Daten wird von mehreren Gesetzestexten erfasst, was das Thema nicht einfacher macht. Praktisch heißt das: Im Zweifel sollte man sich an einen Rechtsanwalt oder eine andere zur rechtlichen Beratung befugte Stelle wenden. Dieser Beitrag soll in Unternehmen wie auch im Privatbereich für den sorgfältigen Umgang mit Daten sensibilisieren.
Bekannt sind etwa das Bundesdatenschutzgesetz, das Kunsturheberrechtsgesetz und die EU-Datenschutzgrundverordnung, bekannt als DSGVO. Nicht ganz so bekannt ist das Telekommunikation-Telemedien-Datenschutz-Gesetz (TDDSG), das den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation – zu den Stichworten gehört das Fernmeldegeheimnis – und bei Telemedien regelt.
Noch immer in aller Munde: die DSGVO
Jedoch bestehen besonders in Bezug auf die DSGVO nach wie vor viele Missverständnisse: Ihr Zweck ist es, die rechtlichen Vorgaben zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen in Europa zu vereinheitlichen, wobei durchaus länderspezifische Regelungen möglich sind. Obgleich es also im Grunde immer nur um die Verarbeitung von Daten geht, kann die Umsetzung der DSGVO für die datenverarbeitenden Stellen einen enormen Aufwand bedeuten.
Wenn also ein Arzt “wegen der DSGVO” Patienten im Wartezimmer nicht mehr mit Namen anspricht, dann stimmt das so nicht – die Anrede mit dem Namen ist jedenfalls keine Datenverarbeitung. Auch wer privat eine digitale Freundesliste führt, unterliegt nicht der DSGVO, wohl aber, wenn etwa ein privater E-Mail-Verteiler für einen Verein verwendet wird.
Unabhängig von gesetzlichen Regelungen ist beim Umgang mit Daten Vernunft gefragt, anders gesagt: An Verbote muss man sich halten, man braucht aber nicht alles zu tun, was erlaubt ist. Im Alltag sind häufig Situationen zu erleben, in denen eigentlich Datensparsamkeit und wie beispielsweise in einem Wartezimmer der Schutz vor unfreiwilligen Mithörern angesagt wäre.
Akten verwalten
Abgesehen von der digitalen Datenwelt sind immer wieder die Aufbewahrungsfristen von Akten interessant. Oft ist man schon aus Platzgründen daran interessiert, alte Unterlagen loszuwerden, andererseits gelten Aufbewahrungsfristen und bestimmte Dokumente sollte man lebenslänglich aufbewahren, auch wenn das nicht vorgeschrieben ist. Ohne Anspruch auf Vollständigkeit nachfolgend einige Beispiele.
Aktenaufbewahrung für Privatpersonen
Lebenslänglich aufbewahren sollten Privatpersonen etwa Geburts- und Heiratsurkunden, gegebenenfalls Scheidungsbeschlüsse, Zeugnisse, Nachweise über Beschäftigungszeiten und Rentenbescheide. Auch Kontoauszüge privater Konten sollten mindestens drei Jahre über den Ablauf des Jahres, in dem die Buchungen erfolgt sind, hinaus aufbewahrt werden, denn so lange läuft die Verjährungsfrist der meisten Alltagsgeschäfte. Im Erbfall gilt diese Empfehlung bei Privatpersonen ebenso.
Aktenaufbewahrung in Unternehmen und anderen Organisationen
Teils erheblich länger sind die Aufbewahrungsfristen im unternehmerischen Bereich. Die gemeinhin bekannte, seit dem Steueränderungsgesetz von 1998 geltende Zehn-Jahres-Frist für die Aufbewahrung steuerlich relevanter Unterlagen ist mit Vorsicht zu genießen, denn im Einzelfall können unter anderen Gesichtspunkten die vorgeschriebenen oder einfach nur zweckmäßigen Fristen teils erheblich länger sein.
Auch im unternehmerischen Bereich sollten bestimmte Dokumente unbedingt über etwaige Aufbewahrungsfristen hinaus aufbewahrt werden. So ist es etwa für GmbH-Gesellschafter wichtig, jeden Kontoauszug über die Einzahlung von Stammkapital aufzuheben, es könnte sonst im Insolvenzfall eine Nachzahlung drohen. Ebenso sollten beispielsweise die Nachweise über freiwillige Rentenzahlungen beziehungsweise die zur Handwerkerpflichtversicherung im Original archiviert werden. Um im Falle eines Falles Nachweise zu haben, sollten Geschäftsführer und angestellte Angehörige ihre Gehaltsnachweise dauerhaft aufbewahren.
Im Zweifel sollte man sich grundsätzlich an den jeweils längeren Fristen orientieren. Beispielsweise müssen zwar bestimmte dokumentierte Arbeitszeiten nur zwei Jahre lang aufbewahrt werden, da sie aber steuerlich relevant sein können, empfiehlt sich dennoch die Archivierung für mindestens zehn Jahre. Wer unsicher ist, sollte die Fristen mit dem Steuerberater abklären.
Tipp:
Die Aufbewahrungsfrist beginnt im Folgejahr nach der letztmaligen Erstellung, dem Erhalt oder der Bearbeitung eines Dokuments. Wer etwa den Jahresabschluss für 2020 im Januar 2022 erstellt hat, für den beginnt die Aufbewahrungsfrist für alle damit im Zusammenhang bestehenden Unterlagen, also auch die Belege, mit dem Jahr 2023 und endet mit dem Jahr 2032.
Bestimmte Aufbewahrungfristen gelten für Spezialbereiche, etwa beim Umgang mit bestimmten Gefahrstoffen: Hier muss das Beschäftigtenverzeichnis für 40 Jahre erhalten werden. Fördermittel können gegebenenfalls eine 25-jährige Aufbewahrungsfrist von Unterlagen zur Auflage machen. Eine Reihe weiterer Aufbewahrungsfristen nennt die Webseite handwerk.com.
Wohin mit den Akten?
Je nach Umfang der Geschäftstätigkeit kann die Aufbewahrung von Unterlagen zum Platzproblem werden. Zwar dürfen die Unterlagen grundsätzlich auch auf Datenträgern gespeichert werden, doch verunsichert viele das Risiko des Datenverlustes. Wer hier auf Nummer sicher gehen will, sollte zwei Kopien an unterschiedlichen Orten aufbewahren und die Daten außerdem auf einem Cloudserver in Deutschland hinterlegen. Weitere Anforderungen an die digitale Aufbewahrung bespricht man am besten mit seinem Steuerberater.
Allerdings macht auch das nachträgliche Scannen von Unterlagen viel Arbeit, weshalb so mancher Betrieb gleich bei der Papierform bleibt. Inzwischen haben sich zudem Dienstleister etabliert, die aufbewahrungspflichtige Unterlagen einlagern und den Zugriff gewährleisten.
Papierakten richtig entsorgen
Was aber entsorgt werden kann, sollte normgerecht entsorgt werden. Immerhin fand sich vor Jahren die betriebswirtschaftliche Auswertung eines Autohauses mit allen Details bis hin zum Krankenstand der Beschäftigten in einem Görlitzer Altpapiercontainer; alles ordentlich zusammengeheftet. Das Beispiel spricht für den Wert der Norm DIN 66399, die Daten nach ihrer Schutzbedürftigkeit klassifiziert und Sicherheitsstufen zuordnet. Die Sicherheitsstufen sagen aus, wie sicher die Daten nach der Vernichtung vor einer Wiederherstellung sind.
Da für Unternehmen und andere Organisationen die sichere Aktenvernichtung von Datenbeständen auf Papier oder Datenträgern regelmäßig zu aufwändig ist, übernehmen spezialisierte Dienstleister die Abholung und ordnungsgemäße Vernichtung der Datenbestände.
Sicherheit im Büro
Im Alltag, im Privatbereich, im Home Office oder im Unternehmen, kann man sich gut an den hier verkürzt wiedergegebenen Sicherheitsklassen der DIN 66399 orientieren:
- Klasse 1: normale Sicherheit, die Daten sind nicht für die Öffentlichkeit bestimmt
- Klasse 2: vertrauliche Daten mit Schadenspotential bei Bekanntwerden
- Klasse 3: geheime Daten mit schwerem Schadenspotential bei Bekanntwerden
Für Daten auf Papier sollte generell ein Schredder verfügbar sein. Die geringste Sicherheitsstufe P-1 verkörpern Geräte, die maximal zwölf Millimeter breite Papierstreifen von höchstens 2.000 Quadratmillimetern Fläche schneiden. In der höchsten Stufe P-7 sind die Streifen bis zu einem Millimeter breit und maximal fünf Millimeter lang.