Die Einhaltung des Datenschutzes hat häufig mit dem richtigen Mindset zu tun. Deutlich wird dies unter anderem im Umgang mit zu entsorgenden Papierdokumenten.

Datenschutz: Gesetz in Revision

Das Thema Datenschutz ist in aller Munde. Zu Recht, denn persönliche Informationen verdienen besondere Sorgfalt im Umgang, seien es unsere eigenen, die unseres Unternehmens oder diejenigen seiner Kunden. Im digitalen Zeitalter, in dem wir leben, ist es sehr einfach geworden, Daten zu sammeln und abzuspeichern. Als Reaktion auf die neuen Möglichkeiten und die Aktivitäten vor allem sammelwütiger Tech-Giganten führte die EU am 25. Mai 2018 ihre Datenschutz-Grundverordnung (DSGVO) ein.

Diese gilt auch für Schweizer Unternehmen, falls sie personenbezogene Daten von Menschen in der EU verarbeiten und dabei die Absicht verfolgen, Waren oder Dienstleistungen anzubieten. Die damit verbundenen Pflichten finden Sie übersichtlich zusammengefasst auf dem KMU-Portal des Bundes. Da auch bei uns in der Schweiz gerade neues Bundesgesetz für den Datenschutz ausgearbeitet wird, werden in absehbarer Zeit alle Unternehmen von solchen Anforderungen betroffen sein.

Datenschutzkonzepte: sinnvolle Regeln und passende Infrastruktur

Um zu gewährleisten, dass die schon heute geltenden Gesetze und davon abgeleitete Datenschutzkonzepte auch umgesetzt werden, ist nicht zuletzt eine Sensibilisierung der Mitarbeitenden notwendig, ebenso wie eine Bereitstellung der notwendigen Mittel. Ein perfektes Beispiel dafür ist der Umgang mit Altpapier:

• Einerseits muss Mitarbeitenden bewusstwerden, dass häufig Dokumente entsorgt werden, die sensible Daten enthalten, von Unternehmenskennzahlen bis hin zu Kundenadressen – und dass diese Dokumente nichts im «normalen» Altpapier zu suchen haben. Besprechen Sie in einem Team-Meeting, welche Informationen respektive Unterlagen davon betroffen sind. Falls Sie die Regel definieren, nur Dokumente auszudrucken, die zwingend auf Papier benötigt werden, sinkt bereits das reine Volumen. Und damit auch die Anzahl Gelegenheiten und die Gefahr, dass vertrauliche Daten versehentlich sauber gebündelt auf dem Trottoir landen.

• Andererseits sollten Sie es Ihren Mitarbeitenden so einfach wie möglich machen, die Regeln für den Umgang mit entsorgungspflichtigen Dokumenten einzuhalten. Wenn an jedem Schreibtisch ein Behälter für «normales» Altpapier bereitsteht, der Sammelcontainer für vertrauliche Dokumente aber in einer Abstellkammer im zweiten Untergeschoss untergebracht wird, dürfte das Ergebnis offensichtlich sein. Stellen Sie deswegen Container an zentralen, gut zugänglichen Orten bereit. Mit abschliessbaren Behältnissen sorgen Sie nicht nur für angemessene Sicherheit, sondern demonstrieren Ihren Mitarbeitenden auch, dass es sich nicht nur um kosmetische Massnahmen für die Compliance handelt.

Wie bei vielen Massnahmen gilt auch für den Datenschutz: Umgesetzt wird nicht, was in einem Memo steht, sondern was die Geschäftsleitung vorlebt.

Ein spezialisierter Dienstleister für die fachgerechte Entsorgung von Altpapier wird Ihnen nicht nur abschliessbare Sammelbehälter zur Verfügung stellen, sondern den gesamten Vorgang bis hin zur vollständigen Vernichtung Ihrer Unterlagen dokumentieren. So haben Sie jederzeit die Gewissheit, dass alle gesetzlichen Vorschriften eingehalten werden und Ihre Daten den Schutz geniessen, den sie verdienen.

Wie lange sind Geschäftsdokumente aufzubewahren, bevor eine Archivräumung stattfinden darf? Erfahren Sie jetzt mehr über die rechtskonforme Entsorgung Ihrer Unterlagen!

Laut Gesetz müssen Unternehmen in der Schweiz nur zwei Dokumente in Papierform aufbewahren: Geschäftsbericht und den Revisionsbericht – beide im Original und mit Unterschrift. Alle anderen Unterlagen können digital archiviert werden. Im Alltag gibt es aber auch heute noch viele Dokumente auf Papier, was mit entsprechendem Platzbedarf verbunden ist. Laufen die gesetzlichen Aufbewahrungsfristen ab, ist eine Archivräumung möglich. Doch bevor die Dokumente endgültig entsorgt sind, haben Unternehmen noch eine letzte Aufgabe: den Datenschutz zu wahren. Denn viele Unterlagen, zu deren Aufbewahrung Unternehmen verpflichtet sind, enthalten höchst vertrauliche Angaben.

Sorgfalt bei der Archivräumung

Sehen wir uns einmal an, welche Dokumente neben dem Geschäfts- und Revisionsbericht der Aufbewahrungspflicht von zehn Jahren unterliegen. Geregelt ist dies unter anderem im OR, Art. 958f. Konkret betroffen sind:

•           Geschäftsbücher (Haupt- und Nebenbücher)
•           Buchungs- und Rechnungsbelege
•           Steuerunterlagen (im Kanton Zürich: 15 Jahre)
•           Dokumente mit rechtsverbindlicher Wirkung (z.B. Verträge)
•           Personalakten
•           Unterlagen der Sozialversicherungen und Lohndeklarationen

Häufig wird in dieser Aufzählung auch die Korrespondenz genannt, dabei fällt im Grunde nur ein kleiner Teil davon unter die Aufbewahrungspflicht: all jene Unterlagen, die im Zusammenhang mit einem einen geschäftlichen Vorgang stehen, für den es keinen anderen Buchungsbeleg gibt. Da diese Unterscheidung nicht immer ganz einfach zu treffen ist, entscheiden sich viele Unternehmen, die gesamte Korrespondenz zu archivieren.

Aufbewahrung dient der Rechtssicherheit

Die übliche Aufbewahrungsfrist beträgt in der Schweiz zehn Jahre. Auf den ersten Blick erscheint dies ein sehr langer Zeitraum. Grund dafür ist jedoch die in vielen Punkten festgelegte zehnjährige Verjährungsfrist. Vereinfacht ausgedrückt: Wenn jemand mit einer neun Jahre alten Forderung an Sie herantritt, sollten Sie dazu in der Lage sein, den Vorgang anhand Ihrer eigenen Unterlagen nachzuvollziehen. Bei einer zehn Jahre alten Forderung ist dies schlicht nicht mehr notwendig.

Archive enthalten sensible Daten

Wie eingangs erläutert könnten beinahe alle Dokumente in elektronischer Form aufbewahrt werden. Tatsächlich ist dies aber für viele Unternehmen noch nicht ohne Weiteres umsetzbar. Dies führt dazu, dass sich in den Archiven Papier-Dokumente sammeln, die sensible Daten enthalten: Geschäftszahlen, persönliche Angaben der Mitarbeitenden, Kundendaten, Verträge mit Lieferanten – dieses Wissen sollte auf keinen Fall in falsche Hände gelangen. Soll ein Archiv geräumt werden, empfiehlt sich die Zusammenarbeit mit einem spezialisierten Dienstleister. Der Experte übernimmt sowohl den Abtransport als auch die endgültige datenkonforme Vernichtung der Dokumente und gewährleistet durch zertifizierte Prozesse die Einhaltung des Datenschutzes. Denn nachdem Sie die Unterlagen zehn Jahre lang sicher aufbewahrten, möchten Sie die Gewissheit haben, dass auch der letzte Schritt in deren Lebenszyklus mit grösster Sorgfalt erfolgt.

Der Aktenvernichtung kommt eine hohe Bedeutung im Zusammenhang mit dem Datenschutz zu. Wie gehen Sie vor, wenn Sie Altpapier loswerden wollen?

Wenn wir von Datenschutz sprechen, denken in der heutigen Zeit die meisten von uns an digitale Daten. Aufgrund der immer wieder durchdringenden Meldungen zu Leaks und Pannen bei grossen Unternehmen sowie der schieren Menge ist das auch durchaus verständlich. Schätzungsweise sind derzeit zwischen 40 und 50 Zettabyte elektronisch gespeichert, wobei 1 Zettabyte einer Milliarde (!) Terabyte entspricht. Vor diesem Hintergrund vergisst man nur allzu leicht, dass es noch immer viele physische Dokumente gibt, die sensible Daten enthalten. Gerade Unternehmensverantwortliche sollten sich und ihren Mitarbeitenden deshalb immer wieder bewusst machen, dass nicht alle Unterlagen bedenkenlos im Altpapier entsorgt werden dürfen.

Unterschätzter Wert interner Daten

Für Unternehmen wie beispielsweise Anwaltskanzleien, Krankenhäuser oder Versicherungen liegt es auf der Hand: Beinahe alle Dokumente enthalten in irgendeiner Form Angaben, auf die Dritte keinesfalls Zugriff erlangen dürfen. Patienten oder Kunden verlassen sich darauf, dass ihre Daten mit höchster Vertraulichkeit behandelt und ebenso vernichtet werden, wenn die Zeit dafür gekommen ist. Doch auch wenn ein Unternehmen keine oder kaum sensible Kundendaten aufbewahrt (was äusserst selten geworden ist, aber noch immer vorkommt), darf man sich nicht einfach zurücklehnen und sämtliche Dokumente zu Altpapier-Stapeln bündeln. Schliesslich druckt man auch mal eine Kostenaufstellung aus oder bereitet schützenswertes Fertigungs- oder Prozesswissen für eine interne Präsentation auf.

Nicht zu vergessen die Daten der Mitarbeitenden: Schon eine simple Geburtstagsliste kann im fremden Händen einen Verstoss gegen Datenschutzgesetze bedeuten – von Lohnunterlagen oder PK-Zahlungen ganz zu schweigen. Jetzt mögen Sie denken: Wer interessiert sich schon für unser Altpapier? Bedenken Sie dabei: Die Bündel stehen oft über Nacht völlig unbeaufsichtigt am Strassenrand. Und wo Unternehmen zuhause sind (sprich: wo es sich lohnen könnte, das Altpapier zu durchstöbern), lässt sich für Angreifer leicht herausfinden.

Aktenvernichtung: unwiderrufliche Zerkleinerung

Um das Vertrauen aller Stakeholder wie Kunden, Geschäftspartner und Mitarbeitender zu rechtfertigen, sollten Dokumente mit sensiblen Inhalten deswegen zuverlässig geschreddert werden. Im Gegensatz zu den typischen Kleingeräten, die im Büro- und Elektrofachhandel erhältlich sind, kommen für die professionelle Aktenvernichtung Hochleistungsgeräte zum Einsatz. Diese gewährleisten, dass Dokumente so zerkleinert werden, dass sie selbst mit viel Mühe nicht nachträglich wieder zusammengesetzt werden können. Falls Sie Unterlagen in Ihrem Unternehmen sammeln, die anschliessend von einem spezialisierten Anbieter vernichten werden sollen, achten Sie darauf, dass die verwendeten Sammelbehälter abschliessbar sind. Ein professioneller Dienstleister holt die sensiblen Dokumente vor Ort ab und dokumentiert den gesamten Weg bis zu ihrer Zerstörung. So werden Sie auch strengsten Datenschutzanforderungen gerecht. Alternativ kann die Aktenvernichtung auch mit Mobilschreddern erfolgen. Diese Fahrzeuge erlauben, den Vernichtungsvorgang direkt an Ihrem Firmensitz auszuführen.

Bewusstsein wecken

Die vielleicht grösste Herausforderung im Umgang mit sensiblen Daten ist es, überhaupt das Bewusstsein dafür zu wecken. Wer schnell den Schreibtisch aufräumen möchte und einen Stapel ausgedruckter Blätter ins Altpapier gibt, handelt sicher nicht böswillig. Doch wenn die Unterlagen in den Besitz von Kriminellen gelangen, spielt das keine Rolle mehr. Deshalb können wir nur ausdrücklich empfehlen: Halten Sie sich selbst und Ihren Mitarbeitenden regelmässig vor Augen, dass ein sorgfältiger Umgang mit allen Dokumenten und deren spätere sichere und datenschutzkonforme Vernichtung allen Beteiligten zugutekommt.