Unternehmensplan zur PNRS-konformen Entsorgung von IT-Geräten

1. Zweck

Dieser Unternehmensplan zur PNRS-konformen Entsorgung von IT-Geräten definiert die Governance-Struktur, technischen Kontrollen, rechtlichen Verpflichtungen, Verantwortlichkeiten und operativen Abläufe, die notwendig sind, damit das Unternehmen das Lebensende von IT-Assets in Brasilien sicher, nachvollziehbar und im Einklang mit der Gesetzgebung steuert.

Der Plan stellt insbesondere die Einhaltung der brasilianischen Politik für nationale Abfallwirtschaft (PNRS – Gesetz Nr. 12.305/2010), der zugehörigen Durchführungsbestimmungen (Dekret Nr. 10.936/2022), der brasilianischen Datenschutz-Grundgesetzgebung (LGPD – Gesetz Nr. 13.709/2018), relevanter bundesstaatlicher und kommunaler Umweltvorschriften sowie interner Richtlinien zu Compliance, Informationssicherheit und ESG sicher.

Ziele des Plans sind: (i) umweltgerechte Behandlung von Elektro- und Elektronik-Altgeräten (Elektroschrott); (ii) sichere und unwiderrufliche Vernichtung aller Unternehmensdaten auf Datenträgern; (iii) durchgängige Nachverfolgbarkeit sämtlicher Entsorgungsprozesse; und (iv) Bereitstellung belastbarer Nachweise für interne und externe Audits sowie für ESG- und Governance-Berichte.

2. Geltungsbereich

Dieser Plan gilt für alle in Brasilien betriebenen Einheiten des Unternehmens: Unternehmenszentralen, Niederlassungen, Produktionsstandorte, Lager, Verwaltungs- und Serviceeinheiten, Rechenzentren sowie sämtliche Standorte, an denen IT-Geräte eingesetzt, gelagert, außer Betrieb genommen oder entsorgt werden.

Der sachliche Geltungsbereich umfasst unter anderem:

• Desktop-PCs, Laptops, Workstations und Thin Clients;
• Monitore und sonstige Peripheriegeräte;
• Server, Speichersysteme und Rechenzentrums-Komponenten;
• Netzwerkhardware (Switches, Router, Firewalls, Access Points);
• Sicherheits- und Telekommunikations-Appliances;
• Drucker, Scanner und Multifunktionsgeräte;
• Unterbrechungsfreie Stromversorgungen (USV), Stabilisatoren und zugehörige elektrische Betriebsmittel;
• sämtliche datenhaltigen Medien (HDD, SSD, Bänder, Module usw.).

3. Rechtliche Grundlagen

Der Plan basiert auf folgenden rechtlichen und normativen Grundlagen:

• PNRS – Nationale Politik für Abfallwirtschaft (Gesetz Nr. 12.305/2010);
• Dekret Nr. 10.936/2022 zur Umsetzung der PNRS;
• Umwelt- und Abfallvorschriften der brasilianischen Bundesstaaten und Gemeinden;
• LGPD – Allgemeines Datenschutzgesetz Brasiliens (Gesetz Nr. 13.709/2018);
• Regelungen zum Transport und zur Behandlung von Elektro- und Elektronikabfällen;
• interne Richtlinien zu Compliance, internen Kontrollen, Informationssicherheit und ESG;
• intern referenzierte internationale Standards (z. B. ISO 14001, ISO/IEC 27001).

4. Grundsätze

Die Entsorgung von IT-Geräten im Rahmen der brasilianischen Aktivitäten folgt diesen Grundsätzen:

• Rechtskonformität: strikte Einhaltung aller relevanten Umwelt- und Datenschutzvorgaben;
• Informationssicherheit: unwiderrufliche Datenvernichtung oder genehmigte Datenlöschung nach definierten Sicherheitsstandards;
• Umweltverantwortung: Behandlung von Elektroschrott ausschließlich über lizenzierte und konforme Kanäle;
• Nachvollziehbarkeit: lückenlose Dokumentation und Chain of Custody für alle Prozessschritte;
• Transparenz: Bereitstellung von Nachweisen und Kennzahlen für Audits und ESG-Reporting;
• Operative Integrität: standardisierte Prozesse, die durch qualifiziertes Personal und spezialisierte Partner ausgeführt werden;
• Kontinuierliche Verbesserung: jährliche Überprüfung und Anpassung der Prozesse, Kennzahlen und Kontrollen.

5. Rollen und Verantwortlichkeiten

5.1 Unternehmensleitung

• Genehmigung dieses Plans und seiner Aktualisierungen;
• Sicherstellung der personellen und finanziellen Ressourcen zur Umsetzung;
• Überwachung wesentlicher Kennzahlen und Risiken im Bereich IT-Entsorgung.

5.2 Informationstechnologie (IT)

• Planung und Durchführung der logischen Außerbetriebnahme von IT-Systemen;
• Klassifizierung von IT-Assets nach Datensensitivität und Gerätetyp;
• Freigabe von Geräten zur Abholung und Entsorgung mit entsprechender Dokumentation.

5.3 ESG / Umweltmanagement

• Überwachung der mengenmäßigen Entwicklung von Elektroschrott;
• Validierung von Berichten und Zertifikaten, die durch Ecobraz ausgestellt werden;
• Integration der gewonnenen Daten in ESG- und Nachhaltigkeitsberichte.

5.4 Informationssicherheit

• Festlegung von Mindestanforderungen zur Datenvernichtung je nach Klassifizierung;
• Überprüfung von Vernichtungszertifikaten und Bewertung der Risikoreduktion;
• Begleitung von Audits zu IT-Security-Aspekten des Entsorgungsprozesses.

5.5 Compliance & Recht

• Sicherstellung der Übereinstimmung mit PNRS, LGPD und vertraglichen Verpflichtungen;
• Unterstützung bei Anfragen von Behörden, Auditoren und Geschäftspartnern;
• Bewertung von Haftungsrisiken im Umfeld der IT-Entsorgung.

5.6 Ecobraz – Technischer Spezialpartner

• Durchführung von Abholungen an den Unternehmensstandorten in Brasilien;
• Sicherstellung von Transport, Annahme und dokumentierter Chain of Custody;
• Durchführung physischer oder logischer Datenvernichtung gemäß Vorgaben;
• Demontage, Sortierung und Weiterleitung von Altgeräten an lizenzierte Recycler;
• Ausstellung von CDF (Certificates of Final Destination) und Vernichtungszertifikaten;
• Bereitstellung vollständiger Inventare und quartalsweiser Konsolidierungsberichte;
• Aufrechterhaltung der vollständigen Konformität mit PNRS und LGPD entlang des Prozesses.

6. Standardprozessablauf

6.1 Inventarisierung und Klassifizierung

• Identifikation von IT-Assets, die außer Betrieb genommen werden sollen;
• Klassifizierung nach Gerätetyp, Zustand und Datensensitivität;
• Erfassung der Geräte in den internen Asset- bzw. Anlagenverwaltungssystemen.

6.2 Logische Außerbetriebnahme

• Entzug von Zugriffsrechten, Konten, Schlüsseln und Zertifikaten;
• Entfernung von Monitoring-, Backup- und Management-Agenten;
• Dokumentation der finalen Abschaltung in internen IT-Systemen.

6.3 Freigabe und Abholung

• Erstellung eines formalen Abholauftrags durch die jeweilige Einheit;
• Abholung vor Ort durch Ecobraz mit Verwiegung, Versiegelung und Fotodokumentation;
• Ausstellung einer Abholbestätigung für die Unternehmensunterlagen.

6.4 Datenvernichtung

Die Datenvernichtung erfolgt gemäß der für das jeweilige Gerät definierten Kritikalität:

• Physische Vernichtung (Zerkleinerung/Zerstörung) von HDDs, SSDs, Bändern und Modulen;
• Sichere logische Löschung mit freigegebenen Verfahren, sofern zulässig;
• Erstellung von Datenvernichtungszertifikaten für jede Charge durch Ecobraz.

6.5 Behandlung und Recycling

• Demontage der Geräte in Materialfraktionen (Metalle, Kunststoffe, Leiterplatten usw.);
• Separierung und Sortierung von wiederverwertbaren Materialien;
• Weitergabe der Fraktionen an lizenzierte Recycler im Einklang mit der PNRS.

6.6 Abschlussdokumentation

Ecobraz stellt dem Unternehmen zur Verfügung:

• Certificates of Final Destination (CDF) pro Projekt oder Charge;
• Zertifikate über die Datenvernichtung für alle Datenträger;
• Vollständige Inventarlisten der behandelten Geräte;
• Quartalsweise konsolidierte Berichte für Governance und ESG.

7. Kennzahlen und Indikatoren

• Gesamtmenge (kg/Tonnen) an verarbeitetem Elektroschrott;
• Recyclingquote im Verhältnis zu nicht wiederverwertbaren Fraktionen;
• Anzahl der physisch oder logisch zerstörten Datenträger;
• Schätzung der vermiedenen CO₂-Emissionen (sofern verfügbar);
• Durchschnittliche Durchlaufzeit pro Entsorgungscharge.

8. Audits und Governance

Dieser Plan unterliegt mindestens einmal jährlich einer internen Überprüfung durch Internal Audit, Informationssicherheit, Compliance und ESG. Ecobraz unterstützt diese Audits, indem sämtliche erforderlichen Dokumente, Zertifikate, Prozessnachweise und Chain-of-Custody-Informationen zur Verfügung gestellt werden.

9. Dokumentenaufbewahrung

Folgende Dokumente sind mindestens fünf Jahre lang aufzubewahren:

• Certificates of Final Destination (CDF);
• Zertifikate zur Datenvernichtung;
• Abholbestätigungen und Fotodokumentation;
• Inventarlisten und Quartalsberichte;
• Auditberichte und regulatorische Schriftwechsel im Zusammenhang mit IT-Entsorgung.

10. Überprüfung des Plans

Dieser Plan wird mindestens einmal jährlich oder bei Bedarf aktualisiert, insbesondere wenn:

• sich relevante gesetzliche oder regulatorische Anforderungen ändern;
• signifikante Änderungen in Prozessen, Technologien oder Infrastruktur auftreten;
• neue Anforderungen aus Audits, Kundenverträgen oder Governance-Vorgaben entstehen.

11. Schlussbestimmungen

Der vorliegende Unternehmensplan zur PNRS-konformen Entsorgung von IT-Geräten stellt einen umfassenden, rechtssicheren und auditfähigen Rahmen für das Management von IT-Altgeräten in Brasilien dar. Durch die Zusammenarbeit mit Ecobraz als technischem Spezialpartner gewährleistet das Unternehmen rechtliche Konformität, sichere Datenvernichtung, nachvollziehbare Prozesse und eine solide Basis für ESG- und Compliance-Berichterstattung.

Weitere Informationen: https://ecobraz.org