Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Vernichten von Datenträgern

Die Art und Weise, wie Datenträger vernichtet werden, kann nicht frei entschieden werden, sondern auch beim Vernichten von Datenträgern müssen die Anforderungen des Datenschutzes berücksichtigt werden. Welche technischen Voraussetzungen zu beachten sind, beschreibt die DIN 66399, deren Inhalte im August 2018 auch in die internationale Norm ISO/IEC 21964 übernommen wurden.

Die DIN 66399 und die ISO/IEC 21964 befassen sich beide mit dem Thema der Sicherheitsstufen von Datenvernichtung, speziell in Bezug auf die Vernichtung von Datenträgern, aber sie sind nicht identisch. DIN 66399 ist eine deutsche Norm, die in mehrere Teile untergliedert ist und die Anforderungen und Sicherheitsstufen für die Vernichtung von Daten auf verschiedenen Speichermedien (wie Papier, CDs, Festplatten etc.) beschreibt. Sie legt auch fest, wie hoch die Sicherheitsstufen für verschiedene Arten von Datenmaterial sein sollten, um den Schutz vor Datenmissbrauch zu gewährleisten.
Die ISO/IEC 21964 ist eine Norm, die ähnliche Themen behandelt, jedoch im internationalen Kontext. Sie ist speziell auf die Datenvernichtung von elektronischen Medien ausgerichtet und beschreibt Methoden, wie diese effektiv und sicher durchgeführt werden können.Die beiden Normen decken also ähnliche Themen ab, aber während DIN 66399 umfassend verschiedene Arten von Datenträgern und deren Vernichtung behandelt, könnte die ISO/IEC 21964 in ihrer Version spezifischere Anforderungen oder Methoden für elektronische Medien und deren Zerstörung beinhalten.
In der Praxis sind beide Normen jedoch oft miteinander verbunden und ergänzen sich in ihren Zielsetzungen, da sie im Wesentlichen den gleichen Zweck erfüllen: den sicheren Umgang mit und die Zerstörung von Datenträgern, um die Vertraulichkeit und Integrität der darauf gespeicherten Daten zu schützen.

Wenn auf Datenträgern personenbezogene Daten gespeichert werden, fällt die Vernichtung dieser Datenträger in den Anwendungsbereich der Datenschutzgrundverordnung (vgl. Art. 4 Nr. 2 DSGVO). Das Vernichten von Datenträgern ist daher eine technisch-organisatorische Maßnahme zur Gewährleistung der Datensicherheit, insbesondere zur Verhinderung der Kenntnisnahme personenbezogener Daten durch unbefugte Dritte.

DIN-Norm 66399: Standard für das Vernichten von Datenträgern

Im Oktober 2012 wurde die DIN-Norm 66399 »Büro- und Datentechnik – Vernichten von Datenträgern« veröffentlicht. Der zuständige DIN-Ausschuss hat damit einen Standard erarbeitet, der den Stand der Technik in der Datenträgervernichtung abbildet. Die DIN 66399 verfolgt einen ganzheitlichen Ansatz, benennt Grundlagen und Begriffe (Teil 1, geschrieben DIN 66399-1) sowie Anforderungen an Maschinen zur Vernichtung von Datenträgern (Teil 2, geschrieben DIN 66399-2) und beschreibt einen sicheren Prozess der Datenträgervernichtung (Teil 3, geschrieben DIN 66399-3).

Vorgehen bei der Vernichtung von Datenträgern nach DIN-Norm 66399

Die DIN 66399 empfiehlt jeder verantwortlichen Stelle, die verarbeiteten personenbezogenen Daten bzw. die sie speichernden Datenträger zunächst hinsichtlich des Schutzbedarfs zu klassifizieren und definiert hierfür drei Schutzklassen:

  • Schutzklasse 1 (Normaler Schutzbedarf): Es handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann. Schadensauswirkungen sind begrenzt und überschaubar und etwaig eingetretene Schäden für Betroffene relativ leicht durch eigene Aktivitäten zu heilen.
  • Schutzklasse 2 (Hoher Schutzbedarf): Es handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann. Die Schadensauswirkungen werden für Betroffene als beträchtlich eingeschätzt („Ansehen“).
  • Schutzklasse 3 (Sehr hoher Schutzbedarf): Es handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist. Die Schadensauswirkungen nehmen ein unmittelbar existenziell bedrohliches, katastrophales Ausmaß für Betroffene an („Existenz“).

Neben diesen Schutzklassen werden in der DIN 66399 sieben Sicherheitsstufen beschrieben, die jeweils bestimmte Anforderungen an die Wirksamkeit der Vernichtung formulieren. Vereinfacht lässt sich sagen: Je höher die Sicherheitsstufe, desto höher auch der erforderliche Aufwand für einen Angreifer, die vernichteten Datenträger bzw. die darauf gespeicherten personenbezogenen Daten wiederherstellen und zur Kenntnis nehmen zu können.

Nach der Vorstellung von Schutzklassen und Sicherheitsstufen empfiehlt die DIN 66399, Datenträger bestimmter Schutzklassen nur nach bestimmten Sicherheitsstufen zu vernichten und trägt so dem Prinzip der Angemessenheit Rechnung. Die Norm bestimmt für diverse Materialklassen (wie Papier, Mikrofilm, magnetische Festplatten, optische Datenträger, Halbleiterspeicher) Grenzwerte für Teilchengrößen (Partikelgrößen), die bei der Vernichtung eines Datenträgers eingehalten werden müssen, um die Wiederherstellung von Informationen aus dem nach der Vernichtung vorliegenden Restmaterial zu verhindern oder zumindest erheblich zu erschweren.

Wie die DIN 66399 in der Praxis umgesetzt werden kann, hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) in einem Ratgeber festgehalten, an deren Erstellung die BfDI beteiligt war.

Vorgehen bei der Vernichtung von Datenträgern nach ISO/IEC 21964

  • Vor der Vernichtung der Datenträger findet eine Überprüfung statt, um festzustellen, welche Art von Daten er enthält (z.B. persönliche Daten, vertrauliche Unternehmensdaten).

    Nach der Überprüfung des Datenträgers (z.B. Festplatte, CD, USB-Stick) ist festzuhalten, welche Methoden zur Vernichtung am besten geeignet ist.
  • Auswahl der Vernichtungsmethode nach Auswahl des Medium

1. Physische Zerstörung: Zerschneiden, Schreddern, Zerstören oder Zertrümmern von Datenträgern, sodass keine Daten mehr wiederhergestellt werden können.
2. Magnetische Zerstörung: magnetische Datenträger wie Festplatten oder Magnetbänder können zerstört werden, indem sie einem starken Magnetfeld ausgesetzt sind. Dies löscht die Daten unwiderruflich.
3. Datenlöschung: In einigen Fällen kann auch die vollständige Löschung der Daten durch Softwarelösungen erfolgen. Dies ist vor allem bei Flash-Speichermedien (z.B. SSDs) von Bedeutung. Dabei müssen die Daten so gelöscht werden, dass sie nicht wiederhergestellt werden können (z.B. durch Überschreiben mit Zufallsdaten).

  • Vernichtung durch spezialisierte Dienstleister Es wird empfohlen, die Vernichtung von Datenträgern durch spezialisierte und zertifizierte Dienstleister durchführen zu lassen. Nach der Vernichtung muss der gesamte Prozess dokumentiert werden. Dies umfasst unter anderem den Datenträgertyp, das Datum der Vernichtung, die verwendeten Methoden und, wenn möglich, ein Zertifikat über die erfolgreiche Zerstörung.
  • Durch regelmäßige Audits, Überprüfungen und Schulung der Mitarbeitenden wird die Einhaltung der ISO/IEC 21964 sichergestellt.

Sowohl bei der DIN-Norm 66399 als auch bei der ISO/IEC 21964 ist eine Nachverfolgbarkeit der Datenlöschung wichtig, besonders wenn es sich um hochsensible Daten handelt.