r
Büroumzug·6 Min Lesezeit·

Aktentransport beim Büroumzug — DSGVO-konform und rechtssicher

Akten mit personenbezogenen Daten unterliegen der DSGVO — auch beim Transport. Wir zeigen, was im Auftragsverarbeitungsvertrag stehen muss und welche Bußgelder drohen.

Aktenordner gestapelt im Büro, DSGVO-konformer Aktentransport

Personalakten, Patientenakten, Mandantenakten, Kundendaten — all das fällt unter die DSGVO. Beim Büroumzug ist der Transport nicht "nur Logistik", sondern eine Verarbeitung personenbezogener Daten. Hier die Pflichten.

Rechtsgrundlage

Wenn ein externer Dienstleister Akten mit personenbezogenen Daten transportiert, gilt das datenschutzrechtlich als Auftragsverarbeitung nach Art. 28 DSGVO. Der Möbelspediteur wird zum Auftragsverarbeiter, der Auftraggeber bleibt Verantwortlicher im Sinne der DSGVO.

Folgen:

  • Vor dem Transport muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen sein.
  • Der Spediteur muss technische und organisatorische Maßnahmen (TOM) dokumentieren — versiegelte Behälter, Zugriffsschutz, Schulung der Mitarbeitenden.
  • Bei Datenpannen gilt die 72-Stunden-Meldepflicht nach Art. 33 DSGVO.

Bußgelder bei Verstößen

Verstöße gegen die DSGVO sind teuer. Die niedrigere Stufe (Art. 83 Abs. 4 DSGVO): "Geldbußen von bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist." (Quelle: Art. 83 Abs. 4 DSGVO).

Die höhere Stufe (Art. 83 Abs. 5 DSGVO) trifft besonders schwerwiegende Verstöße: "Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist." (Quelle: Art. 83 Abs. 5 DSGVO).

In der Praxis verhängen Aufsichtsbehörden Bußgelder am unteren Rand der gesetzlichen Spanne — aber sechsstellige Beträge sind regelmäßig dokumentiert.

Was im AVV stehen muss

Art. 28 Abs. 3 DSGVO listet die Pflicht-Inhalte. Praktisch musst du im AVV mindestens regeln:

  • Gegenstand und Dauer der Verarbeitung (Aktentransport am [Datum]).
  • Art und Zweck der Verarbeitung (Transport von [alte Adresse] nach [neue Adresse]).
  • Art der Daten (Personalakten, Kundenakten, Mandantenakten).
  • Kategorien der Betroffenen (Mitarbeitende, Kund:innen, Patient:innen).
  • Pflichten des Auftragsverarbeiters — Vertraulichkeit, Sicherheitsmaßnahmen, Unterstützung bei Anfragen.
  • Subunternehmer-Regelung — Spedition darf nicht ohne schriftliche Zustimmung Sub-Subunternehmer einsetzen.
  • Löschung / Rückgabe nach Auftragsende.

Technische und organisatorische Maßnahmen (TOM)

Beim Aktentransport sind folgende Maßnahmen Pflicht:

  • Verschlossene Behälter oder versiegelte Akten-Boxen, idealerweise nummeriert.
  • Übergabe-Protokoll mit Inventarliste am alten Standort.
  • Direkter Transport ohne Zwischenlagerung in unbeobachteten Räumen.
  • Zugangskontrolle während des Transports — keine fremden Personen am Fahrzeug.
  • Empfang-Protokoll am neuen Standort, Bestätigung der Vollständigkeit.
  • Geschulte Mitarbeitende — der Spediteur muss bestätigen, dass das Team auf Vertraulichkeit verpflichtet wurde.

Akten-Aussortierung vor dem Umzug

Ein Büroumzug ist die Gelegenheit, alte Akten zu prüfen. Aufbewahrungsfristen sind im Regelfall:

  • 10 Jahre für Buchungsbelege, Bilanzen, Geschäftsberichte (§ 257 HGB, § 147 AO).
  • 6 Jahre für empfangene Handels-/Geschäftsbriefe.
  • Personalakten typischerweise bis 10 Jahre nach Beendigung des Arbeitsverhältnisses, je nach Inhalt.
  • Patientenakten mindestens 10 Jahre nach Behandlungsende (§ 630f BGB).

Akten, deren Aufbewahrungsfrist abgelaufen ist, sollten vor dem Umzug DSGVO-konform vernichtet werden — Schredderfirmen mit Vernichtungsnachweis nach DIN 66399.

Haftung des Spediteurs

Bei beschädigten oder verlorenen Akten greift die Möbelspediteurs-Haftung: "Die Haftung des Frachtführers wegen Verlust oder Beschädigung ist auf 620 Euro je Kubikmeter Laderaum beschränkt, der zur Erfüllung des Vertrages benötigt wird." (Quelle: § 451e HGB). Der materielle Schaden ist meist gering — der DSGVO-Schaden (Bußgelder, Schadensersatz nach Art. 82 DSGVO) ist nicht über diese Sockel-Haftung abgedeckt. Eine eigene Cyber-/DSGVO-Versicherung ist sinnvoll.

Checkliste: rechtssicherer Aktentransport

  1. Aufbewahrungsfristen prüfen, abgelaufene Akten vorher vernichten.
  2. Auftragsverarbeitungsvertrag (AVV) mit Spediteur abschließen.
  3. TOM dokumentieren lassen — versiegelte Behälter, Zugriffsschutz.
  4. Übergabe-Protokoll am alten Standort, Empfang-Protokoll am neuen Standort.
  5. Datenschutzbeauftragten einbinden (intern oder extern).
  6. Bei Verlust oder Beschädigung: 72-Stunden-Meldepflicht prüfen (Art. 33 DSGVO).

Häufige Fragen

Brauche ich einen Auftragsverarbeitungsvertrag mit der Spedition?+
Ja, sobald die Spedition Akten mit personenbezogenen Daten transportiert (Personalakten, Kundenakten, Patientenakten), liegt eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Ohne AVV begeht der Auftraggeber selbst einen DSGVO-Verstoß — unabhängig davon, ob etwas passiert.
Wie hoch sind die Bußgelder bei DSGVO-Verstößen?+
Die DSGVO unterscheidet zwei Bußgeld-Stufen. Niedrigere Stufe (Art. 83 Abs. 4): "Geldbußen von bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist." (Art. 83 Abs. 4 DSGVO). Höhere Stufe (Art. 83 Abs. 5): "Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist." (Art. 83 Abs. 5 DSGVO). In der Praxis liegen verhängte Bußgelder oft am unteren Rand, sechsstellige Beträge sind aber regelmäßig.
Was passiert, wenn beim Transport Akten verloren gehen?+
Zwei Schadensebenen: 1. Materieller Schaden — Möbelspediteurs-Haftung greift mit dem gesetzlichen Sockel pro m³. 2. DSGVO-Schaden — Verlust personenbezogener Akten ist eine Datenpanne, 72-Stunden-Meldepflicht an die Aufsichtsbehörde nach Art. 33 DSGVO. Eine Cyber-/DSGVO-Versicherung ist sinnvoll.
Können wir alte Akten beim Umzug einfach mitnehmen?+
Möglich, aber meist unnötig. Ein Büroumzug ist die ideale Gelegenheit, abgelaufene Aufbewahrungsfristen zu prüfen und Akten DSGVO-konform vernichten zu lassen (DIN 66399). Das spart Volumen, reduziert Risiko und ist Pflicht-Bestandteil eines guten Datenschutz-Konzepts.
r
r. logistik Redaktion
Möbelspedition Ludwigsburg · RE36 GmbH

Das könnte auch interessant sein

Modernes Open-Space-Büro mit Schreibtischen, Büroumzug planen
Büroumzug·7 Min

Büroumzug planen — die 12-Wochen-Checkliste für reibungslosen Ablauf

Ein Büroumzug ohne Plan kostet Tage Produktivität. Mit zwölf Wochen Vorlauf bleibt der Umzug ein logistisches Projekt — kein Notfall.

Server-Rack mit blauen LEDs, IT-Umzug und Server-Migration
Büroumzug·8 Min

IT-Umzug & Server-Migration — ohne Datenverlust, ohne Ausfall

Server, Netzwerk, Telefonanlage — der IT-Teil eines Büroumzugs ist der riskanteste. Wir zeigen die Phasen einer kontrollierten Migration und welche Backup-Strategie Pflicht ist.

Leerer Bürotisch im Sonnenlicht, Wochenend-Büroumzug
Büroumzug·6 Min

Büroumzug am Wochenende — 0 Tage Betriebsausfall

Wer Freitag Abend startet und Sonntag fertig ist, hat Montag-Morgen keinen Stillstand. Wir zeigen den Stunden-Plan für ein Wochenende, das wirklich funktioniert.