Vernichten von Datenträgern

Wenn auf Datenträgern personenbezogene Daten gespeichert werden, fällt die Vernichtung dieser Datenträger in den Anwendungsbereich der Datenschutzgrundverordnung (vgl. Art. 4 Nr. 2 DSGVO). Das Vernichten von Datenträgern ist daher eine technisch-organisatorische Maßnahme zur Gewährleistung der Datensicherheit, insbesondere zur Verhinderung der Kenntnisnahme personenbezogener Daten durch unbefugte Dritte.

DIN-Norm 66399: Standard für das Vernichten von Datenträgern

Im Oktober 2012 wurde die DIN-Norm 66399 »Büro- und Datentechnik – Vernichten von Datenträgern« veröffentlicht. Der zuständige DIN-Ausschuss hat damit einen Standard erarbeitet, der den Stand der Technik in der Datenträgervernichtung abbildet. Die DIN 66399 verfolgt einen ganzheitlichen Ansatz, benennt Grundlagen und Begriffe (Teil 1, geschrieben DIN 66399-1) sowie Anforderungen an Maschinen zur Vernichtung von Datenträgern (Teil 2, geschrieben DIN 66399-2) und beschreibt einen sicheren Prozess der Datenträgervernichtung (Teil 3, geschrieben DIN 66399-3).

Vorgehen bei der Vernichtung von Datenträgern nach DIN-Norm 66399

Die DIN 66399 empfiehlt jeder verantwortlichen Stelle, die verarbeiteten personenbezogenen Daten bzw. die sie speichernden Datenträger zunächst hinsichtlich des Schutzbedarfs zu klassifizieren und definiert hierfür drei Schutzklassen:

• Schutzklasse 1 (Normaler Schutzbedarf): Es handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann. Schadensauswirkungen sind begrenzt und überschaubar und etwaig eingetretene Schäden für Betroffene relativ leicht durch eigene Aktivitäten zu heilen.
• Schutzklasse 2 (Hoher Schutzbedarf): Es handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann. Die Schadensauswirkungen werden für Betroffene als beträchtlich eingeschätzt („Ansehen“).
• Schutzklasse 3 (Sehr hoher Schutzbedarf): Es handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist. Die Schadensauswirkungen nehmen ein unmittelbar existenziell bedrohliches, katastrophales Ausmaß für Betroffene an („Existenz“).

Neben diesen Schutzklassen werden in der DIN 66399 sieben Sicherheitsstufen beschrieben, die jeweils bestimmte Anforderungen an die Wirksamkeit der Vernichtung formulieren. Vereinfacht lässt sich sagen: Je höher die Sicherheitsstufe, desto höher auch der erforderliche Aufwand für einen Angreifer, die vernichteten Datenträger bzw. die darauf gespeicherten personenbezogenen Daten wiederherstellen und zur Kenntnis nehmen zu können.

Nach der Vorstellung von Schutzklassen und Sicherheitsstufen empfiehlt die DIN 66399, Datenträger bestimmter Schutzklassen nur nach bestimmten Sicherheitsstufen zu vernichten und trägt so dem Prinzip der Angemessenheit Rechnung. Die Norm bestimmt für diverse Materialklassen (wie Papier, Mikrofilm, magnetische Festplatten, optische Datenträger, Halbleiterspeicher) Grenzwerte für Teilchengrößen (Partikelgrößen), die bei der Vernichtung eines Datenträgers eingehalten werden müssen, um die Wiederherstellung von Informationen aus dem nach der Vernichtung vorliegenden Restmaterial zu verhindern oder zumindest erheblich zu erschweren.

Wie die DIN 66399 in der Praxis umgesetzt werden kann, hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) in einem Ratgeber festgehalten, an deren Erstellung der BfDI beteiligt war.