Anbieter zum Thema

DIN Deutsches Institut für Normung e.V.

ITZBund Dienstsitz Bonn

Kodak Alaris Germany GmbH

PDV GmbH

Governikus GmbH & Co. KG

Datenvernichtung nach DIN

Im Umgang mit unterschiedlichen Datenträgern bestimmen in Deutschland die Sicherheitsstufen nach DIN 66399, wie klein diese zerkleinert werden müssen, bevor man sie rechtlich sicher entsorgen darf.

Anders als die DSGVO umfasst diese jedoch auch Anforderungen beim Vernichten und Löschen von Daten, die auf digitalen oder elektronischen Datenträgern gespeichert sind.

• Produkte wie Papier in Originalgröße,

• Informationen in verkleinerter Form wie Mikrofilme oder Folien,

• optische Datenträger wie CDs, DVDs,

• magnetische Datenträger wie Ausweise,

• Festplatten mit magnetischen Datenträgern,

• elektronische Datenträger wie Chipkarten.

Die Normenreihe mit dem Namen „Büro- und Datentechnik – Vernichten von Datenträgern“ definiert die unterschiedlichen Schutzklassen, denen die jeweiligen Datenträger zugeordnet werden können, je nachdem, wie sensibel die enthaltenen Daten sind. Dabei unterscheidet sie in insgesamt drei Schutzklassen. Klasse 1 definiert den normalen Schutzbedarf für personenbezogene Daten, Klasse 2 einen hohen Schutzbedarf für vertrauliche Daten und Schutzklasse 3 sehr hohen Schutzbedarf für geheime Daten.

Das Deutsche Institut für Normung (DIN) erklärt: „Die Norm beschreibt, welche Vernichtungsstufen für die jeweiligen Schutzklassen geeignet sind. Zu jeder Vernichtungsstufe gibt es Vorgaben, abhängig davon, um welche Art Datenträger es sich handelt. Für den Datenträger Papier sind beispielsweise Teilchengrößen und Schnittart vorgegeben. Für den Datenträger Festplatte beispielsweise geht es von mechanisch unbrauchbar (z.B. durch eine Beule) bis zu mehrfach gestanzt (z.B. mit Löchern). Es bleibt aber laut Norm immer der Verantwortliche in der Pflicht, die passende Stufe für seine Datenträger zu bestimmen. Hier gilt: Je niedriger die Stufe, desto kostengünstiger, je höher die Stufe, desto sicherer. “

Insgesamt wurden sieben dieser Sicherheitsstufen definiert, die in ihrer Anwendung freiwillig sind:

• Sicherheitsstufe 1: Allgemeines Schriftgut (z.B. Kataloge oder Prospekte),

• Sicherheitsstufe 2: Internes, nicht besonders vertrauliches Schriftgut (z.B. Reiserichtlinien oder Formulare),

• Sicherheitsstufe 3: empfohlen für vertrauliches Schriftgut (z.B. Angebote oder Bestellungen mit Adressen),

• Sicherheitsstufe 4: geheimzuhaltendes Schriftgut (z.B. Personaldaten oder Steuerunterlagen),

• Sicherheitsstufe 5: bei maximalen Sicherheitsanforderungen (z.B. medizinische Berichte oder Strategiepläne),

• Sicherheitsstufe 6: geheimdienstliche Sicherheitsanforderungen (z.B. Forschungs- oder Entwicklungsunterlagen) und

• Sicherheitsstufe 7: Datenträger mit streng geheim zu haltenden Daten, wenn höchste Sicherheitsvorkehrungen einzuhalten sind (z. B. Daten aus geheimdienstlichen oder militärischen Bereichen).

Dabei erfordert Schutzklasse 1 die Dokumentenvernichtung der Sicherheitsstufen 1, 2 und 3, während es bei Schutzklasse 2 bereits der Vernichtung nach Stufe 3, 4 und 5 bedarf. Datenträger der Schutzklasse 3 fallen unter die Sicherheitsstufen 5, 6 und 7.

Die Sicherheitsstufen sind für alle Interessensgruppen ausgelegt. Verwaltungen können sie also nutzen, müssen das jedoch nicht. Dazu erklärt das Bundesverwaltungsamt mit Verweis auf DIN 66399: „Wenn Akten vernichtet werden sollen, wird aufgrund der Masse an Akten regelmäßig ein DSVGO-konformer Dienstleister mit der Vernichtung beauftragt. Grundsätzlich kann eine Behörde dies auch selbst erledigen.“ Die Crux: Beinhalten Akten personenbezogene Daten, müssen sie mindestens unter Sicherheitsstufe 3 vernichtet werden. Viele handelsübliche Schredder sind jedoch nur auf die Sicherheitsstufen 1 und 2 ausgelegt.

Zum Vergleich: Kleine elektrische Schredder, wie sie in vielen Haushalten zu finden sind, zerkleinern Dokumente meist in Streifen mit etwa 5,8 mm Breite. Ein Schredder mit höchster Sicherheitsstufe hingegen verarbeitet Dokumente in kleine Partikel mit Maßen von etwa 0,8 mal 5mm – das entspricht bei einem DIN-A4-Blatt ungefähr 15.000 Partikeln.

Digitalisierung, oder: Operation Papiermüll?

Das große Vorhaben Verwaltungsdigitalisierung verlangt die Verfügbarkeit digitaler Akten. Dazu muss, was bisher nur in Papierform vorhanden ist, digitalisiert werden. Doch was passiert mit den analogen Akten, sobald sie auch in digitaler Form vorhanden sind?

Das ITZBund erklärt: „Grundsätzlich bedeutet eine Digitalisierung, eine Kopie der Daten anzufertigen. Eine damit einhergehende doppelte Aktenführung ist im Rahmen der Datenminimierung nach DSGVO verboten. Insofern sind die Ursprungsakten nach erfolgreicher und vollständiger Digitalisierung grundsätzlich zu vernichten.“

(ID:49679653)