Die DSGVO regelt, wie Unternehmen personenbezogene Daten erheben und speichern. Was häufig übersehen wird: Sie regelt auch, wie diese Daten entsorgt werden müssen. In Luxemburg kann ein nachlässiger Umgang mit dem Lebensende von Daten ein Unternehmen ebenso gegenüber der CNPD exponieren wie ein aktives Datenleck.
Der Grundsatz der Speicherbegrenzung
Die DSGVO formuliert einen klaren Grundsatz: Personenbezogene Daten dürfen nicht länger gespeichert werden, als es nötig ist. Sobald der Zweck erfüllt ist — Vertragsende, Austritt eines Mitarbeiters, Ablauf einer gesetzlichen Pflicht — müssen die Daten sicher gelöscht werden. Das gilt für digitale Dateien ebenso wie für physische Datenträger: Festplatten, SSDs, Backups, ausgemusterte Rechner.
„Löschen" reicht nicht aus
Eine Datei zu löschen oder eine Festplatte zu formatieren vernichtet die Daten nicht — es macht sie lediglich weniger sichtbar. Gängige Werkzeuge können „gelöschte" Daten von einer weiterverwendeten oder verkauften Festplatte wiederherstellen. Um konform zu sein, muss die Vernichtung unumkehrbar sein. Bei Festplatten und vor allem bei SSDs bietet nur die physische Vernichtung diese Garantie.
Die Beweislast liegt bei Ihnen
Der Rechenschaftsgrundsatz (accountability) der DSGVO verpflichtet das Unternehmen, seine Konformität nachzuweisen. Im Fall einer Prüfung genügt es nicht zu behaupten, alte Festplatten seien vernichtet worden — es muss dokumentiert sein.
Genau das leistet das Vernichtungszertifikat. Bei Lëtzclean Data erzeugt jeder Einsatz ein Zertifikat mit den Seriennummern der vernichteten Datenträger und dem Vernichtungsdatum. Dieses Dokument ist der prüfbare Nachweis, den die CNPD oder ein Kunde verlangen kann.
Das Transportrisiko
Viele Unternehmen übergeben ihre Festplatten einem Dienstleister, der sie off-site und erst Tage später vernichtet. Während dieser Zeit bleiben die Daten intakt und außerhalb Ihrer Kontrolle — eine Exposition, die sich im Schadensfall schwer rechtfertigen lässt. Die Vor-Ort-Vernichtung unter Ihrer Aufsicht verkleinert diese Grauzone: Die Daten werden vernichtet, bevor sie Ihre Räume verlassen.
Bewährte Verfahren für ein Luxemburger Unternehmen
- Eine Richtlinie für Aufbewahrungsfristen und Datenvernichtung festlegen.
- Datenträger am Lebensende physisch vernichten, statt sie nur zu löschen.
- Vor-Ort-Vernichtung bevorzugen, um Übergaben zu reduzieren.
- Für jeden Vorgang ein Vernichtungszertifikat aufbewahren.
- Die Hardware über einen WEEE-konformen Weg recyceln.
Fazit
DSGVO-Konformität endet nicht beim Schutz aktiver Daten — sie umfasst deren Vernichtung. Eine unumkehrbare, dokumentierte und beaufsichtigte Vernichtung ist nicht nur bewährte Praxis, sondern eine Pflicht, die Ihr Unternehmen nachweisen können muss.
Sie benötigen eine DSGVO-konforme Datenvernichtung in Luxemburg? Fordern Sie ein Angebot bei Lëtzclean Data an.