Die Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) verpflichtet Verantwortliche zur nachweisbaren Vernichtung personenbezogener Daten, sobald der Verarbeitungszweck entfällt — das schließt die IT-Aussonderung ausdrücklich ein. Art. 5 Abs. 1 lit. e verlangt Speicherbegrenzung; Art. 17 normiert das Recht auf Löschung; Art. 32 verlangt technische Schutzmaßnahmen; Art. 5 Abs. 2 verlangt den Nachweis der Erfüllung (Rechenschaftspflicht).

Wir liefern den vollständigen DSGVO-Erfüllungsnachweis für die IT-Entsorgung: Auftragsverarbeitungsvertrag (AVV) nach Art. 28, gerätegenaues Vernichtungszeugnis nach DIN 66399 / ISO 21964 , Vier-Augen-Protokoll und 10-jährige revisionssichere Ablage.

Relevante DSGVO-Artikel bei der IT-Aussonderung

  • Art. 5 Abs. 1 lit. e — Speicherbegrenzung — Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es der Zweck erfordert. Mit der IT-Aussonderung endet die zulässige Speicherdauer — die Löschung ist damit rechtlich zwingend.
  • Art. 5 Abs. 2 — Rechenschaftspflicht — Der Verantwortliche muss die Einhaltung von Art. 5 Abs. 1 nachweisen. Ohne Vernichtungszeugnis ist die Löschung rechtlich nicht vollzogen.
  • Art. 17 — Recht auf Löschung — Das „Recht auf Vergessenwerden” gilt auch für Betriebsdaten auf ausgesonderten Geräten. Unsere Löschung per Software-Zertifizierung oder physische Vernichtung erfüllt diesen Anspruch mit Nachweis.
  • Art. 25 — Datenschutz durch Technikgestaltung — Die Wahl eines zertifizierten ITAD-Dienstleisters ist ein konkretes Umsetzungsmittel von Privacy by Design: Datenschutz wird strukturell in den IT-Lebenszyklus eingebaut, nicht nachträglich ergänzt.
  • Art. 28 — Auftragsverarbeiter (AVV) — Sobald ein Dienstleister personenbezogene Daten im Auftrag verarbeitet oder vernichtet, ist ein schriftlicher AVV Pflicht. Cyclotronix stellt einen vollständigen AVV bereit, der Auftragsumfang, technische Maßnahmen und Subauftragnehmer-Regelung enthält.
  • Art. 32 — Sicherheit der Verarbeitung — Vernichtung nach DIN 66399 Schutzklasse 3, Sicherheitsstufe H-3 ist die technische Umsetzungsmaßnahme, die Art. 32 für personenbezogene Daten verlangt.
  • Art. 83 — Bußgeldrahmen — Verstöße gegen Art. 5, 25, 28 oder 32 können mit bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Ein lückenloses Vernichtungszeugnis beseitigt dieses Risiko vollständig.

Der Auftragsverarbeitungsvertrag (AVV) nach Art. 28

Jeder ITAD-Auftrag bei Cyclotronix wird durch einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgesichert. Dieser AVV definiert Verarbeitungsumfang, technische und organisatorische Maßnahmen (TOMs), Subauftragnehmer-Regelung, Löschfristen für Verarbeitungsaufzeichnungen und Weisungsgebundenheit. Er ist Bestandteil jeder Rahmenvereinbarung und auf Anfrage für Einzelaufträge verfügbar.

  • Verarbeitungsumfang und -zweck präzise definiert
  • Technische und organisatorische Maßnahmen (TOMs) vollständig dokumentiert
  • Subauftragnehmer-Regelung nach Art. 28 Abs. 4
  • Weisungsgebundenheit und Vertraulichkeitsverpflichtung des Personals
  • Unterstützungspflicht bei Auskunftsersuchen und Datenschutzverletzungen

Das DSGVO-konforme Vernichtungszeugnis

Das Vernichtungszeugnis ist das zentrale Nachweisinstrument für Art. 5 Abs. 2 DSGVO. Es dokumentiert den vollzogenen Löschvorgang mit allen für eine Datenschutzprüfung erforderlichen Angaben:

  • Datum und Auftragsnummer
  • Gerätetyp und Seriennummer (auf Anfrage für jedes Einzelgerät)
  • Angewandte Methode: Software-Löschung nach NIST 800-88 / BSI TR-02102 oder physische Vernichtung nach DIN 66399
  • Schutzklasse und Sicherheitsstufe nach DIN 66399
  • Vier-Augen-Bestätigung mit zwei Unterschriften
  • Verweis auf AVV-Vertragsnummer und DIN-66399-Zertifizierungsnummer
  • 10-jährige revisionssichere Aufbewahrung, Nachausstellung in 48 h

Für wen die DSGVO-Konformität besonders kritisch ist

  • Finanz- und Bankensektor — BaFin-Prüfungen verlangen lückenlose Dokumentation; DSGVO und MaRisk/BAIT müssen gleichzeitig erfüllt sein. Mehr: ITAD für Finanz & Banking .
  • Gesundheitswesen — Patientendaten nach Art. 9 DSGVO (besondere Kategorien) und § 203 StGB (Schweigepflicht) erfordern höchste Sicherheitsstufen. Mehr: ITAD für das Gesundheitswesen .
  • Öffentliche Einrichtungen — Revisionssichere Dokumentation für Rechnungshöfe und Datenschutzaufsicht nach BSI-Grundschutz CON.6. Mehr: ITAD für den öffentlichen Sektor .
  • Alle Unternehmen ab 250 Mitarbeitern — Ab dieser Größe gilt die Pflicht zum Verzeichnis von Verarbeitungstätigkeiten nach Art. 30. IT-Entsorgung ist eine Verarbeitungstätigkeit — ohne ITAD-Dokumentation fehlt ein Pflichtbestandteil.

Technische Umsetzung in unseren Verfahren

Sprechen Sie uns an

AVV-Muster, Muster-Vernichtungszeugnis und TOMs-Dokumentation auf Anfrage. Wir unterstützen Datenschutzbeauftragte, Compliance-Teams und Rechtsabteilungen mit prüfungssicherer Dokumentation.
+49 342 0669 4832 · hello@cyclotronix.com