Im September 2012 wurde die bis dahin gültige DIN 32757 zur Datenträgervernichtung durch die DIN 66399 ersetzt. Durch die spezifischen Reglungen in der DIN 66399 sind Zertifizierungen von Unternehmen mehr als nur ein Indiz für eine sichere Datenträgervernichtung.
Die Zertifizierung nach DIN 66399 sollte Vorraussetzung bei der Datenträgervernichtung sein
Eine Zertifizierung nach DIN-Norm sogt für die Einhaltung gewisser Prozesse und Abläufe. Durch einen solchen Prozess profitieren Kunden bei der Datenträgervernichtung. Das in vielerlei Hinsicht. So kann man sich z.B. sicher sein, dass Datenträger sicher und ordnungsgemäß vernichtet werden. Wie vom Gesetzgeber vorgeschrieben und durch die Aushändigung des Zertifikats sichergestellt werden soll. Schließlich wird man für solch ein Zertifikat geprüft und genau unter die Lupe genommen. Das sogar regelmäßig, damit tatsächlich von einem Standard die Rede ist. Wir möchten deswegen einmal auf die DIN 66399 eingehen. Diese regelt unteranderem eine gesetzteskonforme Datenträgervernichtung. So wird deutlich, dass einiges an Auflagen erfüllt werden muss. Das alles, damit bei Ihre Datenträgervernichtung alles mit rechten Dingen vorgeht.
Die DIN 66399 zur Datenträgervernichtung setzt sich aus drei Teilen zusammen. Der erste Teil sowie der zweite Teil sind die offiziellen Normen, die wir näher eklären. Bei dem dritten Teil handelt es sich um eine Vornorm, die noch nicht über einen offiziellen Norm-Status verfügt.
DIN 66399 erster Teil
In diesem Bereich werden die Begriffe und Grundlagen beschrieben, welche dann in den nächsten Teilen verwendet werden. Zu den Grundlagen gehört beispielsweise: Jeder, der beruflich mit personenbezogenen und vertraulichen Daten umgeht, für eine datenschutzkonformere und sichere Datenträgervernichtung verantwortlich ist.
In diesem Teil der DIN wird auch dargelegt, was unter einer datenkonformen Datenträgervernichtung zu verstehen ist. Datenträger mit personenbezogenen Daten sind so zu vernichten, dass eine Wiederherstellung der Daten nicht möglich ist. Oder nur durch umfangreichen Aufwand wiederhergestellt werden können. Dabei wird auch festgehalten, welche Hilfsmittel für die Wiederherstellung zulässig sind.
Desweitern wird hier eine Unterscheidung nach der Schutzbedürftigkeit gemacht. Dabei bezieht man sich auf die vorhandene Information und der Eigenschaften (physikalischer Natur) der Datenträger. Die verschiedenartigen Maßnahmen werden auch hier genauer erläutert. Ebenfalls werden die Sicherheitsstufen dargelegt. Diese regeln den Aufwand, der für eine Widerherstellung der Daten betrieben werden muss.
DIN 66399 zweiter Teil
In zweiten Teil sind die Anforderungen an die Maschinen festgelegt. Also welche Maschinen für die Datenträgervernichtung verwendet werden dürfen. Durch die genutzten Maschinen oder Vorrichtungen muss natürlich eine sichere Vernichtung der Datenträger gewährleistet sein.
Wenn betrifft die DIN 66399? Welche Fragen müssen firmenintern beantwortet und umgesetzt werden? Grundsätzlich muss sich jedes Unternehmen mit der Thematik Datenträgervernichtung auseinandersetzen, da der Bedarf bei nahezu jedem Unternehmen vorhanden ist.
Es muss unternehmensintern entschieden werden:
• welche Datenträger mit den personenbezogenen Daten (wie beispielsweise: Lieferanten- oder Kundendaten, Personaldaten oder Gesundheitsdaten) und weiteren vertraulichen firmeneigenen Daten entsorgt werden.
• Es muss die Zuständigkeit, also firmenintern oder extern (Dienstleister) geklärt sein.
• Es sollte festgelegt werden, welches Schutzniveau vorhanden ist. Dadurch wird sichergestellt, dass es zu keiner Wirtschaftsspionage oder anderen Datenpannen kommen kann.
• Es ist zu überprüfen, ob ein ausreichendes Datenträgervernichtungskonzept und ein Konzept für die sachgerechte Entsorgung zur Erfüllung der DIN 66399 vorhanden sind.
Wenn ein externer Dienstleister zum Einsatz kommt:
• Der Dienstleister muss in der Lage sein, die vom Gesetzgeber vorgesehenen Vorschriften nach DIN 66399 umzusetzen.
• Der Dienstleister muss die erforderlichen Compliance-Punkte erfüllen.
Die Folgen bei Nichteinhaltung der Vorschriften nach DIN 66399
Eine nicht ausreichende Sicherstellung der Datenschutzvorschriften bei der Vernichtung von Datenträgern nach DIN 66399 hat Konsequenzen. Dazu gehört zum Beispiel die Verhängung von Bußgeldern oder eine Schadenersatzpflicht. Die Geschäftsführung steht entsprechend in der Verantwortung.
