Vernichten von Datenträgern

Welche technischen Voraussetzungen zu beachten sind, beschreibt die Norm DIN 66399, deren Inhalte im August 2018 auch in die internationale Norm ISO/IEC 21964 übernommen wurden. Als Folge dieser Übernahme wurde die nationale Norm DIN 66399 im Jahr 2023 vom DIN zurückgezogen und wird nicht mehr aktualisiert oder weiterentwickelt. Das in der Norm DIN 66399 beschriebene Konzept der Schutzklassen und Sicherheitsstufen ist jedoch über die Gültigkeit der Norm selbst hinaus wertvoll und kann auch dann weiter angewandt werden, wenn sich der Stand der Technik für die Vernichtung einzelner Medien oder die Anforderungen an die „Qualität der Vernichtung“, weiter entwickeln, denn insbesondere die Schutzklassen sind vom Stand der Technik unabhängig.

Schutzklassen und Sicherheitsstufen

Die folgenden drei Schutzklassen werden definiert:

Schutzklasse 1 (Normaler Schutzbedarf): Es handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann. Schadensauswirkungen sind begrenzt und überschaubar und etwaig eingetretene Schäden für Betroffene relativ leicht durch eigene Aktivitäten zu heilen.

Schutzklasse 2 (Hoher Schutzbedarf): Es handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann. Die Schadensauswirkungen werden für Betroffene als beträchtlich eingeschätzt („Ansehen“).

Schutzklasse 3 (Sehr hoher Schutzbedarf): Es handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist. Die Schadensauswirkungen nehmen ein unmittelbar existenziell bedrohliches, katastrophales Ausmaß für Betroffene an („Existenz“).

Neben diesen Schutzklassen wurden in der DIN 66399 sieben Sicherheitsstufen beschrieben, die jeweils bestimmte Anforderungen an die Wirksamkeit der Vernichtung formulieren. Vereinfacht lässt sich sagen: Je höher die Sicherheitsstufe, desto höher auch der erforderliche Aufwand für einen Angreifer, die vernichteten Datenträger bzw. die darauf gespeicherten personenbezogenen Daten wiederherstellen und zur Kenntnis nehmen zu können. Die Sicherheitsstufen sind jedoch vom Stand der Technik abhängig, denn beispielsweise würden sich Fortschritte im Bereich der „Datenrettung“ würden sich auf die Anforderungen an die Sicherheitsstufen auswirken.

Datenträgervernichtung durch Dienstleister

Es wird empfohlen, die Vernichtung von Datenträgern durch spezialisierte und zertifizierte Dienstleister durchführen zu lassen, die nach der jeweils aktuellen Version der gültigen Norm (seit 2023 also der Norm ISO/IEC 21964) zertifiziert sind. Die Einhaltung der datenschutzrechtlichen Anforderungen kann zwar gegebenenfalls auch auf andere Weise sichergestellt und nachgewiesen werden, eine aktuelle Zertifizierung kann hier jedoch helfen, den Aufwand zu reduzieren. Nach der Vernichtung muss der gesamte Prozess dokumentiert werden. Dies umfasst unter anderem den Datenträgertyp, das Datum der Vernichtung, die verwendeten Methoden und, wenn möglich, ein Zertifikat über die erfolgreiche Zerstörung.
Durch regelmäßige Audits, Überprüfungen und Schulung der Mitarbeitenden wird die Einhaltung der ISO/IEC 21964 sichergestellt. Zur Umsetzung der DIN 66399 in die Praxis hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) im Jahr 2019 einen Ratgeber veröffentlicht.
Zumindest so lange sich keine signifikanten Änderungen beim Stand der Technik ergeben, kann dieser Ratgeber auch nach dem Rückzug der Norm DIN 66399 noch wertvolle Hinweise liefern.