Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

Schritt für Schritt zur richtigen Datenvernichtung (DIN 66399)

5 5 Beurteilungen
Dokumente schreddern | Urheber: M. Schuppich - Fotolia

Von Sebastian Tausch,

Die Entsorgung von lesbaren Dokumenten oder Datenträgern ist sicherlich eine der häufigeren Datenschutzpannen in der Praxis. Im Gegensatz zu anderen Themen können wir Datenschutzbeauftragte hier allerdings auf genaue Vorgaben, die DIN 66399, zurückgreifen.

Das beschreibt die DIN 66399

Die Norm besteht aus 3 Teilen. Während der 1. Teil Definitionen und Grundlagen enthält, widmet sich der 2. Teil den Anforderungen an die Maschinen, die zur Vernichtung eingesetzt werden. Im 3. Teil geht es dann um den Prozess der Datenvernichtung. Wie Sie mit diesen 3 Teilen für eine ordnungsgemäße Entsorgung in Ihrem Unternehmen sorgen, zeige ich Ihnen kurz und bündig in diesem Artikel.

Einordnung in Schutzklassen

Jedes Dokument und bzw. jeder Datenträger muss einer der nachfolgenden 3 Schutzklassen zugeordnet werden. Aber keine Sorge, es gibt eine entsprechende Übersicht (Tipp-Kasten auf Seite 5), sodass Sie das Rad nicht neu erfinden müssen. 

SchutzklasseBeschreibung
Schutzklasse 1normaler Schutzbedarf für interne Daten, z.B. Telefonlisten
Schutzklasse 2hoher Schutz für vertrauliche Daten, z.B. Finanzdaten
Schutzklasse 3sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten, z.B. medizinische Unterlagen

Vernichtung nach Sicherheitsstufen

Nachdem für ein Dokument bzw. einen Datenträger die Schutzklasse festgelegt wurde, ist eine der 7 Sicherheitsstufen auszuwählen. Unterscheidungskriterium der Sicherheitsstufen ist, inwieweit eine Reproduktion möglich ist. Bei Stufe 1 ist dies ohne größeren Aufwand möglich, z.B. indem die in Streifen geschredderte Seite wieder zusammengesetzt wird. Der Aufwand für die Reproduktion steigert sich von Stufe zu Stufe, bis zur Stufe 7, bei der eine Reproduktion nach heutigem Stand nicht möglich ist. In der nachfolgenden Tabelle finden Sie die Zuordnung, welche Sicherheitsstufe je Schutzklasse mindestens vorgesehen ist. Wichtig dabei: Die Kombinationen der DIN 66399 (DIN) weichen von denen der Orientierungshilfe (OH) ab.

Zuordnung nach DIN und Orientierungshilfe (OH) 

SicherheitsstufeSchutzklasse 1Schutzklasse 2Schutzklasse 3
1Personenbezogene Daten müssen mindestens der Sicherheitsstufe 3 zugeordnet werden.
2Personenbezogene Daten müssen mindestens der Sicherheitsstufe 3 zugeordnet werden.
3OHDIN
4DIN/DIN
5DIN/DIN/
6OHDIN/
7DIN/

Die Anforderungen an die Maschinen

Die DIN-Norm berücksichtigt, dass es unterschiedliche Arten von Datenträgern gibt, also z. B. Papier, Festplatten. Entsprechend wurde für jede Art von Datenträger je Sicherheitsstufe festgelegt, welche Form der Datenträgervernichtung vorgesehen ist, z. B. wird Papier geschreddert, Datenträger werden geteilt, und wie groß die Endprodukte sein dürfen.

Für nachfolgende Datenträgerarten wurden Sicherheitsstufen definiert:

Materialklassifizierung 

DatenträgerartKürzel
Informationsdarstellung in Originalgröße, z. B. PapierP
Informationsdarstellung verkleinert, z. B. MikrofilmF
Informationsdarstellung auf optischen Datenträgern, z. B. CD, DVDO
Informationsdarstellung auf magnetischen Datenträgern, z. B. Disketten, BänderT
Informationsdarstellung auf Festplatten mit magnetischem Datenträger: FestplattenH
Informationsdarstellung auf elektronischen Datenträgern, z. B. USB-Sticks, ChipkartenE

Die Sicherheitsstufen werden entsprechend aus der Kurzbezeichnung der Datenträgerart und der Sicherheitsstufe zusammengesetzt. Die Norm gibt dann je Datenträgerart vor, wie groß die Teilchen nach der Vernichtung jeweils sein dürfen. 

Mit 3 bis 4 Schritten zur sicheren Entsorgung Ihrer Daten

Schritt 1: Bestandsaufnahme Ihrer Daten und Datenträger

Prüfen Sie zunächst, welche Daten und Datenträger es in Ihrem Unternehmen gibt, und ordnen Sie diese den Schutzklassen 1 bis 3 und den passenden Sicherheitsstufen zu.

Tipp: Falls Sie sich nicht selbst die Mühe machen wollen, eine Zuordnung vorzunehmen: Die Aufsichtsbehörde Bremen bietet ein entsprechendes Dokument mit der Zuordnung Dokumentenart/ Schutzklasse unter diesem Link an. 

Schritt 2: Praxistauglichste Lösung zur Datenvernichtung festlegen

Jetzt gilt es die praxistauglichste Lösung oder Kombination aus Lösungen für Ihr Unternehmen zu finden, damit Ihre Mitarbeiterinnen und Mitarbeiter diese auch nutzen.

So könnte es z. B. bei dem einen Unternehmen Sinn machen, bei den zentralen Druck- und Kopierstationen einen Schredder bereitzustellen. Dessen Sicherheitsstufe sollte dann so hoch sein, dass die Dokumente, die hier erzeugt werden, auch im Bedarfsfall fachgerecht entsorgt werden können.

In anderen Unternehmen ist dies vielleicht nicht möglich, da in den Räumen Kundentelefonate oder -gespräche geführt werden und ein Schredder viel zu laut ist. Hier bieten sich verschlossene Sammelboxen von Dienstleistern an, die dann abgeholt werden.

Möglicherweise passt für Ihr Unternehmen auch eine Kombination verschiedener Lösungen. So schreddern Ihre Mitarbeiter die üblichen Alltagsdokumente selbst, aber CDs, DVDs und Festplatten werden gut gesichert gesammelt und dann über einen Dienstleister entsorgt. Oder Ihr Unternehmen greift auf einen Dienstleister zurück, wenn das Archiv bereinigt wird, da Ihnen professionelle Anbieter nach Durchführung des Auftrags die Vernichtung gemäß der gewählten Sicherheitsstufe schriftlich bestätigen.

Wichtig: Ihr Unternehmen sollte eine praxistaugliche Lösung finden, die im Alltag auch Anwendung findet. Sonst landen trotz Sammelbox oder Schredder die lesbaren Dokumente im Müll.

Beispiel aus der Praxis: So haben z. B. die Verkäufer in einem Autohaus unter dem Schreibtisch, neben ihrem normalen Papiermüll, jeweils eine kleine Plastikwanne, die mit „muss geschreddert werden“ beschriftet ist. Das hat den Vorteil, dass der Verkäufer direkt eine Trennung vornehmen kann.

Schritt 3 (optional): Den richtigen Dienstleister für die Datenvernichtung finden

Wenn Ihr Unternehmen ganz oder teilweise auf einen Dienstleister setzen möchte, sollten Sie zuerst prüfen, welche Sicherheitsstufen dieser anbietet und ob Ihnen der beschriebene Leistungsumfang und Ablauf zusagt. So schreddern einige Anbieter z. B. direkt bei der Abholung die Datenträger, andere bringen die verschlossenen Container in überwachten Fahrzeugen in abgesicherte Hallen.

Da sehr sicher auch Datenträger mit personenbezogenen Daten durch den Dienstleister vernichtet werden, ist ein Vertrag zur Auftragsdatenverarbeitung erforderlich. Ein Muster finden Sie auf der Seite https://www.bsi.bund.de (Bundesamt für Sicherheit in der Informationstechnik) mit den Suchbegriffen „Vertrag Vernichtung“. Die Suche können Sie über die Lupe (oben) erreichen. 

Tipp: Da es sich oft um regionale Anbieter handelt, sollten Sie die Möglichkeit nutzen, sich vor Ort ein Bild von dem Dienstleister zu machen.

Zu guter Letzt sollte Ihr Dienstleister Ihnen einen schriftlichen Nachweis über die konforme Vernichtung aushändigen. Damit haben Sie auch einen Nachweis in Ihrer Datenschutzdokumentation.

Schritt 4: Prozesse zur Datenvernichtung dokumentieren

Im Anschluss sollten Sie die getroffenen Regelungen dokumentieren und in Ihrer Datenschutz-Schulung ansprechen sowie per Aushang oder Rundschreiben darauf aufmerksam machen.

Fazit: Die DIN 66399 hilft Ihnen bei der Datenvernichtung

Mit der DIN 66399 haben Sie, auch wenn Sie diese nicht vollumfänglich nutzen, ein gutes Werkzeug, um in Ihrem Unternehmen eine datenschutzkonforme Entsorgung zu etablieren. Gerade am Anfang sollten Sie die Einhaltung der getroffenen Regeln im Blick behalten.

Da sehr häufig falsch entsorgt wird, finden sich auch regemäßig entsprechende Berichte in der Tagespresse. Diese eigenen sich ideal, um Mitarbeiter immer wieder für das Thema und die intern getroffenen Regeln zu sensibilisieren.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Bei diesen Themen entscheiden Sie mit!

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Jobs