Vernichtung von Informationsträgern nach DIN 66399

Die Mitarbeiter der Universität Rostock verarbeiten täglich in den unterschiedlichsten Bereichen personenbezogene Daten. Die Datenschutzgrundverordnung (DSGVO) verpflichtet alle Mitarbeiter der Universität, für die datenschutzgerechte Entfernung dieser Informationen zu sorgen. Das erfolgt in der Regel durch Löschung und/oder Vernichtung der Informationsträger, die die personenbezogenen Daten enthalten.

Informationsträger sind Schriftgut/Papierdokumente sowie sonstige (mobile) Datenträger, insbesondere elektronische Dokumente, USB-Sticks, Festplatten (auch optische Speicher), CD-ROMs, DVDs, (Mikro)Filme, Magnetbänder, Disketten.

Wie nun aber Löschen/Vernichten Sie sicher und datenschutzgerecht? Anhaltspunkte hierfür liefert die DIN 66399. Sie legt den Grad der Schutzwürdigkeit von Informationen fest und regelt deren gesicherte Vernichtung anhand der physikalischen Eigenschaften. Sie beinhaltet drei Schutzklassen, sieben Sicherheitsstufen sowie Materialklassifikationen.

Ich empfehle Ihnen, entsprechend der DIN 66399 wie folgt vorzugehen:

Schritt 1: Schutzbedarf der Daten normal, hoch oder sehr hoch?

Schritt 1: Schutzbedarf der Daten normal, hoch oder sehr hoch?

Zunächst ist von Ihnen zu ermitteln, wie schutzbedürftig die Daten auf dem zu vernichtenden Datenträger sind (Ermittlung der Risikostruktur). Der Schutzbedarf bestimmt sich grundsätzlich nach dem betroffenen Personenkreis und den Gefahren, die bei einer unberechtigten Offenlegung oder Weitergabe sowohl für die Universität als auch für den Betroffenen (derjenige, um dessen personenbezogene Daten es geht) entstehen können.

Die DIN 66399 enthält drei Schutzklassen – normal, hoch und sehr hoch. Mit ihnen wird der Bedarf an der Verhinderung von Datenmissbrauch eingeordnet.

Schutzklasse 1: normaler Schutzbedarf für interne Daten
Es handelt sich um die gebräuchlichste Einstufung von Informationen, die einem größeren Personenkreis zugänglich sind. Eine unberechtigte Offenlegung oder Weitergabe der fraglichen Informationen hätte nur begrenzte Auswirkungen auf die Universität. Der Schutz von personenbezogenen Daten muss gewährleistet sein. Andernfalls besteht die Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt wird.
Bsp.:

Schutzklasse 2: hoher Schutzbedarf für vertrauliche Daten
Hier geht es um Informationen, die nur einem kleinen Personenkreis zugänglich sind. Eine unberechtigte Offenlegung oder Weitergabe hätte erhebliche Auswirkungen auf die Universität und könnte gegen vertragliche Verpflichtungen oder Gesetze verstoßen. Der Schutz personenbezogener Daten muss hohen Anforderungen genügen. Andernfalls besteht die Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird.
Bsp.:

Schutzklasse 3: sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten
Hier geht es um Informationen, die nur einem sehr kleinen, namentlich bekannten Personenkreis zugänglich sind. Eine unberechtigte Offenlegung oder Weitergabe hätte ernsthafte (existenzbedrohende) Auswirkungen auf die Universität und/oder würde gegen Berufsgeheimnisse, Verträge und Gesetze verstoßen. Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein. Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen.
Bsp.:

Schritt 2: Sicherheitsstufe für Datenträger wählen

Schritt 2: Sicherheitsstufe für Datenträger wählen

Im zweiten Schritt ermitteln Sie die Sicherheitsstufe für den Datenträger, der gelöscht/vernichtet werden soll. Dafür ist der Grad der Schutzbedürftigkeit der darauf befindlichen Informationen auschlaggebend. Für jedes Material sieht die DIN sieben Sicherheitsstufen für deren Vernichtung vor. Die Vernichtung von Datenträgern mit personenbezogenen Daten der Schutzklasse 1, 2 oder 3 hat gemäß DIN 66399 stets mindestens nach Sicherheitsstufe 3 zu erfolgen.

In der Tabelle finden Sie Erläuterungen zur Art der Vernichtung in den Sicherheitsstufen 3-7, Empfehlungen zur Einordnung der Datenträger anhand der Schutzbedürftigkeit der auf ihnen vorhandenen Daten sowie Beispiele.

Schritt 3: Klassifizierung des zu vernichtenden Materials

Schritt 3: Klassifizierung des zu vernichtenden Materials

Nachdem die erforderliche Sicherheitsstufe ermittelt wurde, ist das Material von Ihnen zu klassifizieren. Die DIN 66399 kennt insgesamt sechs Materialklassen:

P: Informationsdarstellung in Originalgröße (bspw. Papier, Polylux-/Overhead-Folien)

F: Informationsdarstellung verkleinert (bspw. Filme [Negative], Mikrofilme, Mikrofiche)

O: Optische Datenträger (bspw. CD, DVD, BlueRay)

T: Magnetische Datenträger (bspw. Disketten, ID-Karten [Magnetstreifen], Magnetbandkassetten)

H: Festplatten mit magnetischem Datenträger (bspw. Festplatten(scheiben))

E: elektronische Datenträger (bspw. Chipkarten [SD-Karten], Halbleiterfestplatten [SSD], USB-Sticks)

Der Norm DIN 66399 lassen sich entsprechend des Materials und der Sicherheitsstufe die Anforderungen an Zustand, Form und Größe nach der Vernichtung entnehmen. Beschaffenheit, Datendichte und Wiederherstellungsmöglichkeiten bedingen unterschiedliche Partikelgrößen für die verschiedenen Datenträger.

Ein paar Beispiele:

Papier
Sicherheitsstufe P-3: <= 320qmm oder Streifen mit 2mm Breite
Sicherheitsstufe P-4: <= 160qmm
Sicherheitsstufe P-5: <= 30qmm

Festplatten
Sicherheitsstufe H-3: Datenträger verformt
Sicherheitsstufe H-4: <= 2000qmm
Sicherheitsstufe H-5: <= 320qmm

Elektronische Datenträger (SSD-Festplatten, USB-Sticks, SD-Karten)
Sicherheitsstufe E-3: <= 160qmm
Sicherheitsstufe E-4: <= 30qmm
Sicherheitsstufe E-5: <= 10qmm

Die vollständige Aufstellung der Datenträgerarten und der zugehörigen Sicherheitsstufen finden Sie in der DIN 66399 Teil 2.