Personalausweise auf der Straße: Wenn Papiermüll zum Datenschutz-Desaster wird
Blogbeitrag von Kilian Reich
Ein Vorfall mit teuren Konsequenzen
Was passiert, wenn personenbezogene Daten im gewöhnlichen Papiermüll landen? Ein Fall aus dem Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) zeigt es deutlich: Ein Entsorgungsfahrzeug verlor auf dem Weg zum Entsorgungshof Teile seiner Papierladung auf offener Straße. Unter den Dokumenten befanden sich Kopien von Personalausweisen, Führerscheinen und Verträge zu Probefahrten eines Automobilhändlers. Aufmerksame Bürger und die Polizei machten den Vorfall öffentlich. Das Ergebnis: ein Bußgeld in Höhe von 120.000 Euro.
Wo lag das Problem?
Das Unternehmen hatte intern zwar zwischen Papiermüll und Datenmüll unterschieden. An den Arbeitsplätzen standen zwei getrennte Behältnisse, und die finale Entsorgung des Datenmülls in einem zentralen Container war Aufgabe der Mitarbeitenden. Dennoch landeten die sensiblen Kundendaten im normalen Papiermüll – und damit bei einem Entsorgungsunternehmen, das ausschließlich für gewöhnlichen Papiermüll zuständig war, nicht jedoch für die datenschutzkonforme Vernichtung von Unterlagen.
Die datenschutzrechtliche Bewertung
Der LfDI stellte klar: Offene Müllbehältnisse an Arbeitsplätzen und ein einziger zentral gelegener Datencontainer mit langen Wegen für Beschäftigte stellen keine ausreichenden technisch-organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO dar. Eine bloße Dienstanweisung, die die Verantwortung auf einzelne Mitarbeitende überträgt, reicht nicht aus, um offensichtliche Lücken zu schließen. Das Unternehmen hat damit mindestens fahrlässig gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 Buchst. f) DSGVO verstoßen.
Checkliste: So entsorgen Sie Dokumente mit personenbezogenen Daten richtig
- Geschlossene Datenmüllbehälter direkt an jedem Arbeitsplatz bereitstellen – nicht nur an einer zentralen Stelle im Gebäude.
- Klare Kennzeichnung der Behälter für Datenmüll und normalen Papiermüll, damit Verwechslungen ausgeschlossen werden.
- Dokumente nach Möglichkeit direkt vor Ort mit einem Aktenvernichter, mindestens der Sicherheitsstufe P-4, vernichten.
- Alternativ: Zertifiziertes Entsorgungsunternehmen beauftragen, das auf die datenschutzkonforme Aktenvernichtung (z. B. nach DIN 66399) spezialisiert ist.
- Regelmäßige Schulungen für alle Mitarbeitenden durchführen, um das Bewusstsein für den korrekten Umgang mit Dokumenten zu schärfen.
- Technisch-organisatorische Maßnahmen dokumentieren und regelmäßig auf ihre Wirksamkeit überprüfen.
Fazit
Der Fall zeigt eindrücklich: Die fachgerechte Entsorgung von Dokumenten mit personenbezogenen Daten ist keine Nebensache, sondern eine datenschutzrechtliche Pflicht. Unternehmen dürfen sich nicht allein auf Dienstanweisungen und das Verantwortungsbewusstsein einzelner Beschäftigter verlassen. Vielmehr müssen praxistaugliche und leicht umsetzbare Maßnahmen geschaffen werden, die sicherstellen, dass sensible Kundendaten niemals im gewöhnlichen Papiermüll landen. Denn am Ende haftet das Unternehmen – auch für die Fehler Dritter in der Entsorgungskette.
Haben Sie Fragen zum Beschäftigtendatenschutz oder haben Sie allgemeine Fragen zum Datenschutz?
Regio Datenschutz – Ihr Ansprechpartner in der Regio, Lörrach, Freiburg, Basel und Umgebung.
Kontaktieren Sie uns – wir unterstützen Sie dabei, Ihre Daten zu schützen oder ihr Unternehmen zukunftssicher zu machen:
