Bundeskanzlerin Brigitte Bierlein hat vergangene Woche klargestellt, dass die Datenvernichtung in der "Schredder-Affäre" im Kanzleramt keinen Verstoß gegen das Bundesarchivgesetz darstellt. Schließlich habe es sich bei den vernichteten Daten aus einem Drucker lediglich um temporäre Kopien gehandelt, die in Originalform ohnedies ein zweites Mal existieren (sollten).

Zu der auch für Unternehmen relevanten Frage der Strafbarkeit des Schredderns von elektronischen Datenträgern wurde jedoch keine Stellung genommen. Tatsächlich kann das Schreddern von Datenträgern sowohl eine gerichtlich strafbare Datenbeschädigung als auch eine Sachbeschädigung darstellen.

Doppelte Freigabe

Einer Datenbeschädigung macht sich strafbar, wer einem anderen dadurch einen Vermögensnachteil zufügt, dass er elektronische Daten, über die er nicht oder nicht allein verfügen darf, verändert, löscht oder sonst unbrauchbar macht oder unterdrückt (§ 126a Strafgesetzbuch). Wer eine Festplatte seines Arbeitgebers schreddert, sollte daher eine Freigabe bzw. Anweisung der Geschäftsleitung oder zumindest jener Geschäftsabteilungen haben, deren Daten sich auf der Festplatte befinden. Handelt ein Mitarbeiter hingegen auf eigene Faust und löscht Daten, die noch einen wirtschaftlichen Wert haben, macht er sich einer Datenbeschädigung schuldig und ist mit bis zu sechs Monaten Gefängnisstrafe zu bestrafen.

Selbst wenn man über die Freigabe zur Löschung der Daten verfügt, sollte man aber noch nicht zum Schredder schreiten. Denn durch das Schreddern würde auch die Festplatte selbst zerstört, was eine strafbare Sachbeschädigung darstellt, sofern man nicht über die Freigabe des Eigentümers der Festplatte verfügt (§ 125 Strafgesetzbuch). In manchen Fällen wird Hardware sogar nur gemietet bzw. geleast, sodass der eigene Arbeitgeber nicht einmal der Eigentümer ist. Wer in Kauf nimmt, ohne die Einwilligung des Eigentümers zu handeln und dennoch schreddert, macht sich daher der Sachbeschädigung strafbar und ist mit bis zu sechs Monaten Gefängnisstrafe zu bestrafen.

Keine Ausreden

Sich als Rechtfertigungsgrund auf den Schutz von Geschäftsgeheimnissen oder den Datenschutz zu berufen, hat keine Erfolgsaussichten. Es ist zwar richtig, dass die Datenschutzgrundverordnung eine sichere Datenentsorgung notwendig macht, sobald die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden. Nach der Rechtsprechung des OGH bedeutet dies, dass es dem Unternehmen nicht mehr möglich sein darf, auf die Daten zuzugreifen und sie zu rekonstruieren (6 Ob 107/12x). Löscht man beispielsweise eine Datei regulär (auch aus dem "Papierkorb"), wird nur die Referenz auf die Daten gelöscht. Die Daten selbst bleiben auf der Festplatte aber gespeichert, bis der Speicherplatz für neue Daten benötigt wird und es so zu einem Überschreiben der Daten kommt. Bis dahin könnte ein Systemadministrator die Daten jedoch wiederherstellen, weshalb ein normales "Löschen" nicht ausreicht.

Aus diesem Grund wird häufig behauptet, ein Schreddern von Festplatten sei rechtlich erforderlich. Ein schlichtes Überschreiben der Daten ist aber hinreichend: Werden Daten auf einer Festplatte mehrfach überschrieben, könnten sie nur noch in einem Labor Bit für Bit unter Verwendung eines Mikroskops wiederhergestellt werden. Nicht zuletzt aufgrund der damit verbundenen enormen Kosten handelt es sich hierbei jedoch nicht mehr um Mittel, die – wie es die DSGVO nennt – "nach allgemeinem Ermessen wahrscheinlich genutzt werden". Überschriebene Daten sind daher nicht mehr personenbezogen und damit effektiv gelöscht.

Interne Richtlinien

Auch um den rechtlichen Schutz von Geschäftsgeheimnissen aufrechtzuerhalten, sind nach dem Bundesgesetz gegen den unlauteren Wettbewerb nur "angemessene Geheimhaltungsmaßnahmen" erforderlich. Das Schreddern von Datenträgern ist daher für ein Unternehmen auch aus diesem Grund nicht rechtlich zwingend.

Um die mit der Datenentsorgung verbundenen Rechtsunsicherheiten zu beseitigen, sollte jedes Unternehmen interne Richtlinien zur Datenentsorgung erlassen. Diese sollten regeln, welche Daten wie lange aufzubewahren sind und wie die Daten gegebenenfalls zu löschen sind. Insbesondere wann Datenträger physisch zerstört werden dürfen bzw. sollen, ist notwendiger Inhalt einer solchen Richtlinie. Nur so kann für alle handelnden Personen die notwendige Rechtssicherheit hergestellt werden. Unterbleibt dies, werden einerseits viele Daten "aus Vorsicht" gar nicht gelöscht werden, was einen DSGVO-Verstoß darstellt. Andererseits wird es zu eigenmächtigen Löschungen und Schredder-Aktionen kommen, die für die betroffenen Mitarbeiter schwere rechtliche und für das Unternehmen zumindest schmerzliche wirtschaftliche Konsequenzen haben können.