Datenvernichtung nach DIN 66399 DS-GVO und ISO 27001 Konform

Unternehmen und Behördenmüssen regelmäßig nicht mehr benötigte Datenträger vernichten. Manche Datenträger sind in form von Papierakten oder Druckmedien. Bei Festplatten, DVD, USB Sticks, SSD und Bändern muss ebenso die Datenvernichtung nach DIN 66399 erfolgen. Die Vielfalt der Datenträger stellt in der Praxis die betroffenen Organisationen vor großen Herausforderungen. 

Folglich muss man systematisch vorgehen, um die DIN 66399 als auch die Anforderungen des Datenschutz (DS-GVO) zu erfüllen. Nach ISO 27001 zertifizierte Unternehmen müssen ihren Sicherheitsmaßnahmen entsprechend bei der Vernichtung der Informationsmedien vorgehen.

Folgende Arten von Datenträgern enthalten sensible Informationen:

  • Produkte wie Papier in verschiedenen Größen
  • Mikrofilme und Folien enthalten auch zu schützende Daten
  • Optische Datenträger (CD, DVD, BlueRay).
  • Magnetische Datenträger (Ausweise, Kreditkarten)
  • Festplatten mit mechanischen Scheiben
  • Elektronische Datenträger wie Chipkarten und Tokens

Schutzklassen nach DIN 66399

Die Norm DIN 66399 definiert die unterschiedlichen Schutzklassen zu denen Datenträger zugeordnet werden:

  • Sicherheitsstufe 1: Allgemeines Schriftgut (z.B. Prospekte, Kataloge)
  • Sicherheitsstufe 2: Internes nicht besonders vertrauliches Schriftgut (z.B. Formulare, Richtlinien, Reisekostenordnung)
  • Sicherheitsstufe 3: empfohlen für vertrauliches Schriftgut (z.B. Angebote, Bestellungen, Dokumente mit Adressen)
  • Sicherheitsstufe 4: geheim zu haltendes Schriftgut (z.B. Personaldaten, Steuerunterlagen)
  • Sicherheitsstufe 5: bei maximalen Sicherheitsanforderungen (z.B. medizinische Berichte, Strategiepläne)
  • Sicherheitsstufe 6: geheimdienstliche Sicherheitsanforderungen (z.B. Forschungs- und Entwicklungsunterlagen)
  • Sicherheitsstufe 7: Datenträger mit streng geheim zu haltenden Daten, wenn höchste Sicherheitsvorkehrungen einzuhalten sind (z.B. Daten aus geheimdienstlichen oder militärischen Bereichen)

Bei Papierakten und Datenträgern gelten die gesetzlichen Vorgaben der DS-GVO (und anderer Gesetze). Auch digitale daten müssen nach einer vorgeschriebenen Zeit gelöscht werden, entsprechend den Vorgaben der DSGVO. Unternehmen mit einem funktionierenden Informationssicherheits-Managementsystem (ISMS) sind gut beraten, diese Vorgaben übersichtlich und klar verständlich in den Richtlinien ihres Anhangs A zu hinterlegen. D.h. nach Ablauf der Aufbewahrungsfrist müssen diese digitalen Akten vollständig datenschutzkonform gelöscht werden.