Die DIN 66399 in der Aktenvernichtung

Wenn Sie sich zum Thema Sicherheit in der Daten- und Aktenvernichtung informieren, stoßen Sie immer wieder auf den Begriff: DIN 66399.

Vielleicht fragen Sie sich: Was wird über diese DIN-Norm geregelt und warum ist sie so wichtig?

Bis zum September 2012 galt zur Vernichtung von Datenträgern die DIN 32757. Diese war jedoch sehr unspezifisch und nicht eindeutig genug formuliert. Daraus ergaben sich verschiedene Umsetzungsmöglichkeiten. Um die Regeln zu vereinheitlichen, wurde die bestehende Norm überarbeitet und schließlich durch die DIN 66399 ersetzt.

haberling aktenvernichtung und datentraegervernichtung

Was ist die DIN 66399?

Die DIN 66399 besteht aus drei Teilen. Die ersten beiden Teile sind bereits als Normen anerkannt. Im ersten Teil werden Begriffe und Grundlagen definiert; in Teil zwei die Anforderungen an Maschinen zur Daten- und Aktenvernichtung.

Teil drei der DIN 66399 (SPEC) gilt als „Vornorm“, was bedeutet, dass der Status als offizielle Norm noch aussteht. In diesem Teil der DIN 66399 werden die Prozesse im Rahmen der Datenträgervernichtung festgelegt. Daraus ergeben sich klar formulierte technische und organisatorische Maßnahmen.

Bei der Definition und Klassifizierung der neuen Norm halfen verschiedene Gruppen mit: So waren z. B. Maschinenhersteller, das Bundesamt für Sicherheit in der Informationstechnik und verschiedene Aktenvernichtungsdienstleister beteiligt.

Haberling - DIN 66399


Was bedeuten Schutzbedarf und Schutzklasse im Rahmen der Aktenvernichtung?

In der Aktenvernichtung werden Daten in verschiedene Schutzklassen eingeteilt, um Schutzbedarf und Fragen der Wirtschaftlichkeit zu berücksichtigen. Der Schutzbedarf richtet sich nach dem Ausmaß, mit dem Daten geschützt werden müssen. Personenbezogene Daten z. B. haben einen höheren Schutzbedarf als Werbeprospekte.

Der Grad der Schutzbedürftigkeit der Daten ist bestimmend für die Auswahl der Schutzklasse und Sicherheitsstufe. Aus dieser Einstufung ergeben sich unterschiedliche technische und organisatorische Maßnahmen, die im Bereich der Aktenvernichtung zu erfüllen sind.

Die Festlegung von Schutzbedarf, Schutzklassen, Sicherheitsstufen und die genauen organisatorischen Maßnahmen legt hierbei immer die „verantwortliche Stelle" fest. Die verantwortliche Stelle ist der Dateninhaber.


Die verschiedenen Schutzklassen

Schutzklasse 1 - Normaler Schutzbedarf für interne Daten
Diese Schutzklasse gilt für Informationen, die von Anfang an für größere Gruppen von Menschen bestimmt waren. Würde es bei dieser Art von Daten Datenschutzverletzungen geben, hätten diese nur begrenzt negative Auswirkungen auf das Unternehmen. Bei Datenschutzverletzungen könnte der Betroffene in seiner gesellschaftlichen Stellung und in seinen wirtschaftlichen Verhältnissen nur gering beeinträchtigt werden.

Schutzklasse 2 - Hoher Schutzbedarf für vertrauliche Daten
Gilt für Informationen, die von Anfang an nur für einen kleineren Personenkreis bestimmt sind. Datenschutzverletzungen hätten gravierende Auswirkungen auf das Unternehmen und könnten gegen Vertragspflichten oder Gesetze verstoßen. Der Betroffene könnte dadurch in seiner gesellschaftlichen Stellung und in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden.

Schutzklasse 3 - Sehr hoher Schutzbedarf für streng geheime Daten
Bei der Schutzklasse 3 handelt es sich um Informationen, die von Anfang an für einen sehr kleinen, namentlich bekannten Personenkreis bestimmt waren. Datenschutzverletzungen hätten existenzbedrohende Auswirkungen oder würden gegen Berufsgeheimnisse, Gesetze und Verträge verstoßen.


Die Sicherheitsstufen im Überblick

  • Sicherheitsstufe 1: Allgemeine Daten – Wiederherstellung mit einfachem Aufwand
  • Sicherheitsstufe 2: Interne Daten – Wiederherstellung mit besonderem Aufwand
  • Sicherheitsstufe 3: Sensible Daten – Wiederherstellung mit erheblichem Aufwand
  • Sicherheitsstufe 4: Besonders sensible Daten – Wiederherstellung mit außergewöhnlichem Aufwand
  • Sicherheitsstufe 5: Geheim zu haltende Daten – Wiederherstellung mit nicht definierbarem Aufwand
  • Sicherheitsstufe 6: Geheime Hochsicherheits-Daten – Wiederherstellung aktuell technisch nicht möglich
  • Sicherheitsstufe 7: Hochsicherheits-Daten – Wiederherstellung ausgeschlossen

Kombination von Schutzklassen und Sicherheitsstufen

Der nachfolgenden Tabelle können Sie entnehmen, welche Kombinationen aus Schutzklassen und Sicherheitsstufen der DIN -Ausschuss empfiehlt. Die Tabelle macht deutlich, dass die Kombination einer sehr niedrigen Schutzklasse mit einer sehr hohen Sicherheitsstufe aus der Sicht des Ausschusses nicht sinnvoll ist und umgekehrt. Für die korrekte Einstufung ist immer der Datenbesitzer (sog. „verantwortliche Stelle“) verantwortlich.


Die Zuordnung von Schutzklassen und Sicherheitsstufen

Mit der folgenden Tabelle ist es möglich, die Zuordnung der drei Schutzklassen und Sicherheitsstufen vorzunehmen. Die Zuordnung sollte in jedem Fall individuell mithilfe einer Risikoanalyse erfolgen. Können Ihre Daten unterschiedlichen Schutzklassen zugeordnet werden, kann es unter Umständen wirtschaftlicher sein, diese den Sicherheitsstufen und Schutzklassen entsprechend zu trennen. Liegen die Daten in gemischter Form vor, müssen die Datenträger gemäß der entsprechend höchsten Schutzklasse und Sicherheitsstufe vernichtet werden.

Zuordnung
Schutzklassen/Sicherheitsstufen

S1 S2 S3 S4 S5 S6 S7
Schutzklasse 1 x x x        
Schutzklasse 2     x x x    
Schutzklasse 3     x x x x x

Erhöhung der Sicherheitsstufen

Das Vernichten von Akten in Großanlagen und die Vermischung und Verpressung großer Mengen unterschiedlicher Daten bietet eine weitere deutliche Sicherheitserhöhung. Die DIN 66399 ermöglicht in solchen Fällen bei gleichbleibender Partikelgröße eine Sicherheitsstufenerhöhung.

Die Erhöhung der Sicherheitsstufe kann bei Informationsdarstellung in Originalgröße jedoch nur um einen Schritt und maximal bis zur Sicherheitsstufe 4 erfolgen. Da wir in unserer modernen Vernichtungsanlage hohen Materialmengen vernichten, erfüllen wir dieses Kriterium.


Prozess der Datenträgervernichtung nach DIN 66399 SPEC

Teil 3 der DIN 66399 (DIN 66399-3) ist zurzeit noch eine "Vor-Norm" (SPEC). Das bedeutet, dass es sich hierbei noch nicht um eine vollumfängliche DIN-Norm handelt. Aber auch ohne diesen Status wird sie im gewerblichen Umfeld bereits wie eine verbindliche Norm umgesetzt.

Die Vernichtung von Datenträgern wird als Gesamtprozess verstanden. In diesem werden die einzelnen Prozessabschnitte untersucht, gesichert und umgesetzt. Bis zum Abschluss der Datenvernichtung bleibt formal der Datenbesitzer, also die verantwortliche Stelle, verantwortlich. Nach Erreichen der vereinbarten Sicherheitsstufe gelten die Daten als gelöscht.

Im Normalfall verläuft der gesamte Prozess arbeitsteilig zwischen den verantwortlichen Stellen und externen Dienstleistern ab. Dabei gilt es vor allem, die Aufgabenabgrenzung zu betrachten und die technischen und organisatorischen Maßnahmen zu definieren.

Dabei gibt 3 mögliche Prozessvarianten:

Variante 1:  Datenträgervernichtung durch die verantwortliche Stelle selbst
Variante 2:  Datenträgervernichtung durch einen Dienstleister vor Ort
Variante 3:  Datenträgervernichtung durch einen externen Dienstleister

Ermittlung der Risikostruktur

Nach Ermittlung einer Prozessvariante ist es nötig, im Vorfeld zu überprüfen, ob die technischen und organisatorischen Anforderungen der entsprechenden Schutzklasse und Sicherheitsstufe erfüllt werden. Möchte man die Schutzklasse und Sicherheitsstufe definieren, sollte die verantwortliche Stelle folgende Fragen beantworten:

  • Welche Informationen sind in welche Schutzklassen zu klassifizieren?
  • Welche Sicherheitsstufe soll angesetzt werden?
  • Welche der 3 Varianten soll und kann man wählen?
  • Welche technischen und organisatorischen Maßnahmen sind für den Gesamtprozess zu definieren?

Zertifizierung nach DIN 66399

Die DIN definiert sehr genau, welche Voraussetzungen ein Unternehmen erfüllen muss, um die entsprechenden Schutzklassen und Sicherheitsstufen garantieren zu können. Entsprechende Zertifizierungsstellen ermöglichen, eine Zertifizierung des Betriebes vorzunehmen und die Einhaltung der verschiedenen Vorgaben zu bestätigen.

Selbstverständlich haben wir ein solches Zertifikat.

Hier finden Sie dieses und weitere Zertifikate: Haberling Zertifikate

haberling teaser qualitaet

Hier können Sie unsere Leistung direkt bestellen:

Zum Webshop


Hier finden Sie weitere hilfreiche Informationen:

Anfrageformular Icon Nachricht senden Rückrufservice Icon Nachricht senden
haberling ansprechpartner team aktenvernichtung
Ihr Kontakt
HABERLING TEAM

Akten- und Datenträgervernichtung

In Kooperation mit

Kooperation Mammut