Akten- und Datenträgervernichtung Berlin

Bedeutung von DIN 66399

Bis zum September 2012 galt zur Vernichtung von Datenträgern die DIN 32757. Diese war jedoch sehr unspezifisch und nicht eindeutig genug formuliert, sodass es innerhalb der DIN verschiedene Umsetzungsmöglichkeiten gab. Damit eine wirkliche Einheit geschaffen werden konnte, wurde sie überarbeitet und die DIN 32757 wurde durch die DIN 66399 ersetzt.

In der DIN 66399 finden sich nun klare Vorschriften und Regeln, sodass eine Einheitlichkeit geschaffen werden kann. Bei der Definition und Klassifizierung halfen verschiedenste Gruppen mit: so waren z.B. Maschinenhersteller, das Bundesamt für Sicherheit in der Informationstechnik und verschiedene Aktenvernichtungsdienstleister vertreten, um die neue DIN-Norm zu definieren. Im Oktober 2012 wurde dann die DIN 66399 veröffentlicht. Unter dem Kürzel ISO 21964 wurde sie außerdem zur internationalen Norm erhoben.

Jetzt Akten- & Datenträgervernichtung online bestellen!

 

  • Preiswert
  • Nachhaltig
  • Selbstanlieferung
  • Komfortabel
  • Regelmäßig

Zum Shop

Grundlagen der DIN 66399

Die Datenschutz-Grundverordnung betrifft nicht nur Daten, die sich bei Ihnen im Büro befinden, sondern eben auch diese, die Sie entsorgen wollen. Vertrauliche Daten finden sich überall und so muss jeder, der mit solchen Daten zu tun hat, für eine datenschutzkonforme Vernichtung sorgen.

Gemäß der DIN 66399 bedeutet das für die Vernichtung von Daten, dass Datenträger, welche personenbezogene Daten enthalten, so zu vernichten sind, dass deren Wiederherstellung entweder unmöglich oder nur mit besonderem Aufwand, also durch spezielle Hilfsmittel oder Personal möglich ist. Unterschieden wird hierbei nach dem Grad der Schutzbedürftigkeit der Informationen und den physikalischen Eigenschaften des Datenträgers. Je nachdem welche Art von Daten und Datenträger vorliegen, wird dann entschieden und es werden entsprechende Maßnahmen getroffen.

Haberling - DIN 66399


Schutzbedarf und Schutzklasse

Bei der Aktenvernichtung werden Daten in verschiedene Schutzklassen eingeteilt, um die Wirtschaftlichkeit und den Schutzbedarf dieser miteinzubeziehen. Der Grad der Schutzbedürftigkeit der Daten ist dabei bestimmend für die Auswahl der Schutzklasse und Sicherheitsstufe. Durch die Einstufung werden die organisatorischen Maßnahmen die im Bereich der Aktenvernichtung zu erfüllen sind, um die entsprechenden Schutzklassen einzuhalten, deutlich.

Die Festlegung von Schutzbedarf, Schutzklassen, Sicherheitsstufen und die genauen organisatorischen Maßnahmen legt hierbei immer die „verantwortliche Stelle", bzw. der Dateninhaber fest.
 


Die verschiedenen Schutzklassen

Schutzklasse 1 – Normaler Schutzbedarf für interne Daten

Diese Schutzklasse gilt für Informationen, die von Anfang an für größere Gruppen von Menschen bestimmt waren. Würde es bei dieser Art von Daten Datenschutzverletzungen geben, hätten diese nur begrenzt negative Auswirkungen auf das Unternehmen. Bei Datenschutzverletzungen könnte der Betroffene in seiner gesellschaftlichen Stellung und in seinen wirtschaftlichen Verhältnissen nur gering beeinträchtigt werden.

Schutzklasse 2 – Hoher Schutzbedarf für vertrauliche Daten

Gilt für Informationen, die von Anfang an nur für einen kleineren Personenkreis bestimmt sind. Wenn hier Datenschutzverletzungen begangen würden, hätten diese gravierende Auswirkungen auf das Unternehmen und könnten gegen Vertragspflichten oder Gesetze verstoßen. Der Betroffene würde also in seiner gesellschaftlichen Stellung und in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden.

Schutzklasse 3 – Sehr hoher Schutzbedarf für streng geheime Daten

Bei der Schutzklasse 3 handelt es sich um Informationen, die von Anfang an für einen sehr kleinen, namentlich bekannten Personenkreis bestimmt waren. Wenn hier Datenschutzverletzungen geschehen würden, hätten diese existenzbedrohende Auswirkungen oder würden gegen Berufsgeheimnisse, Gesetze und Verträge verstoßen.


Die Sicherheitsstufen im Überblick

Sicherheitsstufe 1: Allgemeine Daten – Wiederherstellung mit einfachem Aufwand

Sicherheitsstufe 2: Interne Daten – Wiederherstellung mit besonderem Aufwand

Sicherheitsstufe 3: Sensible Daten – Wiederherstellung mit erheblichem Aufwand

Sicherheitsstufe 4: Besonders sensible Daten – Wiederherstellung mit außergewöhnlichem Aufwand

Sicherheitsstufe 5: Geheim zu haltende Daten – Wiederherstellung mit nicht definierbarem Aufwand

Sicherheitsstufe 6: Geheime Hochsicherheits-Daten – Wiederherstellung aktuell technisch nicht möglich

Sicherheitsstufe 7: Hochsicherheits-Daten – Wiederherstellung ausgeschlossen

Die Kombination von Schutzklassen und Sicherheitsstufen

In der nachfolgenden Tabelle können Sie sehen, welche Kombinationen aus Schutzklassen und Sicherheitsstufen der Ausschuss der DIN empfiehlt. Die Tabelle macht deutlich, dass die Kombination einer sehr niedrigen Schutzklasse mit einer sehr hohen Sicherheitsstufe aus der Sicht des Ausschusses nicht sinnvoll ist und umgekehrt. Die korrekte Einstufung nimmt immer der Datenbesitzer, also die verantwortliche Stelle vor.


Die Zuordnung von Schutzklassen und Sicherheitsstufen

Mit der folgenden Tabelle ist es möglich die die Zuordnung der drei Schutzklassen und den Sicherheitsstufen vorzunehmen, jedoch sollte jeder Fall individuell mithilfe einer Risikoanalyse ermittelt werden. Hat man es mit Daten unterschiedlicher Schutzklassen zu tun, kann man die Sicherheitsstufen und Schutzklassen danach trennen, wie sie anfallen. Wenn dies nicht möglich ist, dann müssen die Datenträger gemäß der höchsten Schutzklasse und Sicherheitsstufe vernichtet werden.

Haberling DIN 66399 - Sicherheitsstufen und Schutzklassen


Erhöhung der Sicherheitsstufen

Das Vernichten von Akten in Großanlagen und die Vermischung und Verpessung von großen Mengen unterschiedlicher Daten bietet eine deutliche Sicherheitserhöhung. Die DIN ermöglicht in solchen Fällen bei gleichbleibender Partikelgröße eine Sicherheitsstufenerhöhung. Die Erhöhung der Sicherheitsstufe kann jedoch nur bei Informationsdarstellung in Originalgröße, nur um einen Schritt und maximal bis zur Sicherheitsstufe 4 erfolgen. Dank unserer modernen Vernichtungsanlage und hohen zu verarbeitenden Mengen erfüllen wir dieses Kriterium.


Prozess der Datenträgervernichtung nach DIN 66399 SPEC

Teil 3 der DIN 66399 (DIN 66399-3) ist lediglich noch eine "Vor-Norm" (SPEC). Das bedeutet, dass es sich hierbei noch um keine vollumfänglich DIN Norm handelt. Trotz allem wird sie im gewerblichen Umfeld bereits wie eine Norm behandelt.

Die Vernichtung von Datenträgern wird als Gesamtprozess verstanden, in welchem die einzelnen Prozessabschnitte zu untersuchen, zu sichern und umzusetzen sind. Bis zum Abschluss der Datenvernichtung ist der Datenbesitzer, also die verantwortliche Stelle verantwortlich. Nach Erreichen der vereinbarten Sicherheitsstufe gelten die Daten als gelöscht.

Im Normalfall verläuft der gesamte Prozess arbeitsteilig zwischen den verantwortlichen Stellen und externen Dienstleistern ab. Dabei gilt es vor allem die Aufgabenabgrenzung zu betrachten und die organisatorischen Maßnahmen zu definieren.

Dabei gibt 3 mögliche Prozessvarianten:

Variante 1:  Datenträgervernichtung durch die verantwortliche Stelle selbst
Variante 2:  Datenträgervernichtung durch einen Dienstleister vor Ort
Variante 3:  Datenträgervernichtung durch einen externen Dienstleister

Ermittlung der Risikostruktur

Nach Ermittlung einer Prozessvariante ist es nötig im Vorfeld zu überprüfen, ob die technischen und organisatorischen Anforderungen der entsprechenden Schutzklasse und Sicherheitsstufe erfüllt werden. Möchte man die Schutzklasse und Sicherheitsstufe definieren, sollte die verantwortliche Stelle folgende Fragen beantworten:

  • Welche Informationen sind in welche Schutzklassen zu klassifizieren?
  • Welche Sicherheitsstufe soll angesetzt werden?
  • Welche der 3 Varianten soll und kann man wählen?
  • Welche technischen und organisatorischen Maßnahmen für den Gesamtprozess sind zu definieren?


Zertifizierung nach DIN 66399

Die DIN definiert sehr genau, welche Voraussetzungen in einem Unternehmen vorhanden sein müssen, um die entsprechenden Schutzklassen und Sicherheitsstufen garantieren zu können. Durch entsprechende Zertifizierungsstellen ist es möglich, eine Zertifizierung des Betriebes vorzunehmen und die Einhaltung der verschiedenen Vorgaben bestätigen zu lassen. Wir haben ein solches Zertifikat, welches Sie hier finden.

haberling teaser qualitaet
Anfrageformular Icon Nachricht senden Rückrufservice Icon Nachricht senden
haberling ansprechpartner team aktenvernichtung
Ihr Kontakt
HABERLING TEAM

Akten- und Datenträgervernichtung

In Kooperation mit

Kooperation Mammut