DS-GVO und DIN 66399 – Vernichten von Datenträgern

DS-GVO und DIN 66399

Die Arbeit mit hoch sensiblen oder vertraulichen personenbezogenen Daten ist für die meisten Unternehmen fester Bestandteil. Aber was passiert mit den Daten, wenn sie nicht mehr benötigt bzw. entsorgt werden müssen? Sensible Daten einfach in den Papierkorb werfen wäre fatal, da Unternehmen die Pflicht bzw. natürlich auch ein Interesse daran haben, personenbezogene Daten oder andere sensible Daten zu schützen. Eine Orientierungshilfe bietet die DIN 66399. Hierbei gilt es jedoch einige Kriterien zu beachten, um Daten nach DIN 66399 ordnungsgemäß zu vernichten.

Ihr externer Datenschutzbeauftragter informiert Sie über die Bestandteile der DIN 66399 und erklärt, was Sie letztendlich beim Vernichten von Datenträgern beachten sollten.

Was ist die DIN 66399?

Die Datenträgervernichter-Norm DIN 66399 dient für Unternehmen als eine Art Hilfestellung für die ordnungsgemäße Vernichtung von Datenträgern, wie zum Beispiel Papier, Festplatten, Flashspeicher oder CDs und DVDs etc., und löst damit die vorherige DIN 32757 ab. Der wichtigste Grund für die Überarbeitung der Norm dürfte gewesen sein, dass sich die alte Norm vor allem auf die Entsorgung von Papier bezogen hat und damit nicht mehr zeitgemäß war. Es sollte berücksichtigt werden, dass Normen nicht als Rechtsvorschriften gelten und damit die Einhaltung freiwillig ist. Bindend werden DIN-Normen erst, wenn der Gesetzgeber die Einhaltung zwingend vorschreibt. Die DIN 66399 sieht Regelungen vor, wie vertrauliche oder sensible Daten ordnungsgemäß klassifiziert und – nach Einordnen des Schutzbedarfs und der Schutzklassen gemäß vordefinierter Sicherheitsstufen – vernichtet werden sollten.

In diesem Zusammenhang wäre zu klären, welche Schutzklassen bzw. Sicherheitsstufen für die Klassifizierung der Daten vorgesehen werden.

Schutzbedarf & Schutzklassen

Die Einteilung der Daten in die jeweiligen Schutzklassen und dem damit verbundenen Schutzbedarf ist notwendig, um bei der Vernichtung der Daten dem Angemessenheits- und Wirtschaftlichkeitsprinzip Rechnung zu tragen. Die DIN-Norm differenziert dabei zwischen drei verschiedenen Schutzklassen, welche einem unterschiedlichen Schutzbedarf zugeordnet sind.

Zur Schutzklasse 1 werden alle Dokumente und Daten gezählt, welche einen negativen Einfluss, bei einer unberechtigten Offenlegung oder Weitergabe, auf das Unternehmen haben. Man spricht bei dieser Schutzklasse auch von einem normalen Schutzbedarf für interne Daten. Weiterhin sind jegliche Daten und Dokumente der Schutzklasse 2 zuzuordnen, sofern diese – bei einer unberechtigten Weitergabe oder Offenlegung -erhebliche Auswirkungen auf das Unternehmen haben und an dieser Stelle schlimmstenfalls gegen vertragliche Verpflichtungen oder Gesetze verstoßen wird. Aus diesem Grund spricht man hier von einem hohen Schutzbedarf für vertrauliche Daten. Zuletzt wird in der DIN 66399 die Schutzklasse 3 spezifiziert. Dieser sind alle Unterlagen zuzuordnen, welche nach einer unberechtigten Weitergabe oder Offenlegung ernsthafte, sogar existenzbedrohende, Auswirkungen für das Unternehmen haben und im Zuge dessen gegen Verträge, Berufsgeheimnisse oder Gesetze verstoßen wird. Der Schutzbedarf wird in Schutzklasse 3 für besonders vertrauliche und geheime Daten als sehr hoch eingestuft. Die Einordnung der Schutzklassen ist eine notwendige Basis, um darauf aufbauend – anhand der Schutzklassen – die jeweilige Sicherheitsstufe klassifizieren zu können.

Sicherheitsstufen für Daten

Bei den Sicherheitsstufen unterscheidet die DIN 66399, anders als ihr Vorgänger, zwischen 7, statt wie zuvor 6, Sicherheitsstufen. Die Sicherheitsstufen unterscheiden sich in der Mindestgröße der Partikel nach der Vernichtung und dem Streifen- oder Partikelschnitt. Differenziert wird zwischen allgemeinen Daten der Stufe 1, die unlesbar gemacht werden sollen, bis zu Hochsicherheitsdaten der Stufe 7.

Einordnung der Datenträger

Daneben findet eine Einordnung der Datenträger in Gruppen statt. Jeder Datenträger trägt ein Kürzel. Die Kürzel werden der jeweiligen Sicherheitsstufe vorangestellt, z. B. P-5

  • P – Informationen in Originalgröße, wie z. B. Papier
  • F – Informationen verkleinert, wie z. B. Film oder Negative
  • O – Informationen auf optischen Datenträgern, wie z. B. CD oder DVD
  • T – Informationen auf magnetischen Datenträgern, wie z. B. Disketten,
  • H – Informationen auf Festplatten mit magnetischem Datenträger
  • E – Informationen auf elektronischen Datenträgern, wie z. B. USB-Stick

Zuordnung der Sicherheitsstufe zu den Schutzklassen:

Jede Schutzklasse kann verschiedenen Sicherheitsstufen zugeordnet werden. Es gilt jedoch zu beachten, dass nur bestimmte Kombinationen innerhalb der Schutzklassen und Sicherheitsstufen möglich sind. Für die Zuordnung der Sicherheitsstufe zu der jeweiligen Schutzklasse sollte berücksichtigt werden, sofern Datenträger unterschiedlichen Sicherheitsstufen zugehörig sind, dass diese voneinander getrennt vernichtet werden sollten. Wenn dies für Unternehmen nicht möglich ist, sollte immer die höhere Sicherheitsstufe verwendet werden, um das Risiko einer unzureichenden Vernichtung der Daten so gering wie möglich zu halten.

Sofern eine Rekonstruktion der Daten aufgrund von Farben erleichtert wird, sollte ebenfalls eine höhere Sicherheitsstufe in Betracht gezogen werden.

Einsatz von Dienstleistern

Unternehmen, die die Vernichtung und Entsorgung nicht selbst durchführen möchten und stattdessen auf einen Dienstleister zurückgreifen, sollten beachten, dass diese i. d. R. Zugriff auf personenbezogene Daten erhält. Aus diesem Grund sollte dringend – vor dem Einsatz des Dienstleisters – der Datenschutzbeauftragte eingebunden, der Dienstleister geprüft und ein Vertrag zur Auftragsverarbeitung mit diesem Dienstleister abgeschlossen werden.

Fazit

Zusammenfassend lässt sich sagen, dass sich Unternehmen, gerade im Hinblick auf personenbezogene Daten und den damit verbundenen Schutz vor unberechtigter Weitergabe oder Offenlegung der Daten, an der DIN 66399 orientieren sollten, um eine ordnungsgemäße Vernichtung der Daten gewährleisten zu können. Zwar sind Normen -wie bereits erläutert – Empfehlungen, allerdings sieht die Datenschutz-Grundverordnung (DS-GVO) vor, dass technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergriffen werden. Für die Einordnung in die richtige Schutzklasse und bei der Auswahl der richtigen Sicherheitsstufe sollten Sie Ihren Datenschutzbeauftragten einbinden.

Haben Sie noch keinen Datenschutzbeauftragten oder haben Sie Fragen zu dieser Thematik, dann nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein auf Ihre Bedürfnisse abgestimmtes, unverbindliches und kostenloses Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:       

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. das Gesetz über den Kirchlichen Datenschutz (KDG)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen