Die Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) verpflichtet Verantwortliche zur nachweisbaren Vernichtung personenbezogener Daten, sobald der Verarbeitungszweck entfällt — das schließt die IT-Aussonderung ausdrücklich ein. Art. 5 Abs. 1 lit. e verlangt Speicherbegrenzung; Art. 17 normiert das Recht auf Löschung; Art. 32 verlangt technische Schutzmaßnahmen; Art. 5 Abs. 2 verlangt den Nachweis der Erfüllung (Rechenschaftspflicht).
Wir liefern den vollständigen DSGVO-Erfüllungsnachweis für die IT-Entsorgung: Auftragsverarbeitungsvertrag (AVV) nach Art. 28, gerätegenaues Vernichtungszeugnis nach DIN 66399 / ISO 21964 , Vier-Augen-Protokoll und 10-jährige revisionssichere Ablage.
Relevante DSGVO-Artikel bei der IT-Aussonderung
- Art. 5 Abs. 1 lit. e — Speicherbegrenzung — Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es der Zweck erfordert. Mit der IT-Aussonderung endet die zulässige Speicherdauer — die Löschung ist damit rechtlich zwingend.
- Art. 5 Abs. 2 — Rechenschaftspflicht — Der Verantwortliche muss die Einhaltung von Art. 5 Abs. 1 nachweisen. Ohne Vernichtungszeugnis ist die Löschung rechtlich nicht vollzogen.
- Art. 17 — Recht auf Löschung — Das „Recht auf Vergessenwerden” gilt auch für Betriebsdaten auf ausgesonderten Geräten. Unsere Löschung per Software-Zertifizierung oder physische Vernichtung erfüllt diesen Anspruch mit Nachweis.
- Art. 25 — Datenschutz durch Technikgestaltung — Die Wahl eines zertifizierten ITAD-Dienstleisters ist ein konkretes Umsetzungsmittel von Privacy by Design: Datenschutz wird strukturell in den IT-Lebenszyklus eingebaut, nicht nachträglich ergänzt.
- Art. 28 — Auftragsverarbeiter (AVV) — Sobald ein Dienstleister personenbezogene Daten im Auftrag verarbeitet oder vernichtet, ist ein schriftlicher AVV Pflicht. Cyclotronix stellt einen vollständigen AVV bereit, der Auftragsumfang, technische Maßnahmen und Subauftragnehmer-Regelung enthält.
- Art. 32 — Sicherheit der Verarbeitung — Vernichtung nach DIN 66399 Schutzklasse 3, Sicherheitsstufe H-3 ist die technische Umsetzungsmaßnahme, die Art. 32 für personenbezogene Daten verlangt.
- Art. 83 — Bußgeldrahmen — Verstöße gegen Art. 5, 25, 28 oder 32 können mit bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Ein lückenloses Vernichtungszeugnis beseitigt dieses Risiko vollständig.
Der Auftragsverarbeitungsvertrag (AVV) nach Art. 28
Jeder ITAD-Auftrag bei Cyclotronix wird durch einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgesichert. Dieser AVV definiert Verarbeitungsumfang, technische und organisatorische Maßnahmen (TOMs), Subauftragnehmer-Regelung, Löschfristen für Verarbeitungsaufzeichnungen und Weisungsgebundenheit. Er ist Bestandteil jeder Rahmenvereinbarung und auf Anfrage für Einzelaufträge verfügbar.
- Verarbeitungsumfang und -zweck präzise definiert
- Technische und organisatorische Maßnahmen (TOMs) vollständig dokumentiert
- Subauftragnehmer-Regelung nach Art. 28 Abs. 4
- Weisungsgebundenheit und Vertraulichkeitsverpflichtung des Personals
- Unterstützungspflicht bei Auskunftsersuchen und Datenschutzverletzungen
Das DSGVO-konforme Vernichtungszeugnis
Das Vernichtungszeugnis ist das zentrale Nachweisinstrument für Art. 5 Abs. 2 DSGVO. Es dokumentiert den vollzogenen Löschvorgang mit allen für eine Datenschutzprüfung erforderlichen Angaben:
- Datum und Auftragsnummer
- Gerätetyp und Seriennummer (auf Anfrage für jedes Einzelgerät)
- Angewandte Methode: Software-Löschung nach NIST 800-88 / BSI TR-02102 oder physische Vernichtung nach DIN 66399
- Schutzklasse und Sicherheitsstufe nach DIN 66399
- Vier-Augen-Bestätigung mit zwei Unterschriften
- Verweis auf AVV-Vertragsnummer und DIN-66399-Zertifizierungsnummer
- 10-jährige revisionssichere Aufbewahrung, Nachausstellung in 48 h
Für wen die DSGVO-Konformität besonders kritisch ist
- Finanz- und Bankensektor — BaFin-Prüfungen verlangen lückenlose Dokumentation; DSGVO und MaRisk/BAIT müssen gleichzeitig erfüllt sein. Mehr: ITAD für Finanz & Banking .
- Gesundheitswesen — Patientendaten nach Art. 9 DSGVO (besondere Kategorien) und § 203 StGB (Schweigepflicht) erfordern höchste Sicherheitsstufen. Mehr: ITAD für das Gesundheitswesen .
- Öffentliche Einrichtungen — Revisionssichere Dokumentation für Rechnungshöfe und Datenschutzaufsicht nach BSI-Grundschutz CON.6. Mehr: ITAD für den öffentlichen Sektor .
- Alle Unternehmen ab 250 Mitarbeitern — Ab dieser Größe gilt die Pflicht zum Verzeichnis von Verarbeitungstätigkeiten nach Art. 30. IT-Entsorgung ist eine Verarbeitungstätigkeit — ohne ITAD-Dokumentation fehlt ein Pflichtbestandteil.
Technische Umsetzung in unseren Verfahren
- Software-Datenlöschung nach NIST 800-88 — zertifiziertes Überschreiben, Gerät bleibt für Wiederverwendung erhalten, DSGVO-konformes Löschprotokoll.
- Physische Vernichtung nach DIN 66399 — für Geräte mit erhöhtem Schutzbedarf oder wenn Software-Löschung nicht möglich ist.
- Vor-Ort-Vernichtung — wenn Datenträger das Gelände nicht verlassen dürfen; AVV für Vor-Ort-Einsätze auf Anfrage.
- Chain-of-Custody-Dokumentation — lückenlose Nachweiskette von der Abholung bis zum Vernichtungszeugnis.
Sprechen Sie uns an
AVV-Muster, Muster-Vernichtungszeugnis und TOMs-Dokumentation auf Anfrage. Wir unterstützen Datenschutzbeauftragte, Compliance-Teams und Rechtsabteilungen mit prüfungssicherer Dokumentation.
+49 342 0669 4832 · hello@cyclotronix.com