07.09.2018

Bei der Umsetzung der Datenminimierung und Datensparsamkeit wird oft vernachlässigt, dass es nicht nur um die normgerechte Löschung und Entsorgung von elektronischen Datenträgern, sondern auch um den richtigen Umgang mit Papierdokumenten, geht. Die DSGVO erhält hierbei Unterstützung von der DIN-Norm 66399. Worauf ist bei der Vernichtung von Papierdokumenten zu achten? Benötigen Unternehmen nun einen neuen Aktenvernichter? 

Mit unserem Datenschutz Newsletter erhalten Sie aktuelle Informationen regelmäßig bequem in Ihr Postfach!

Jetzt anmelden

Um das Thema Datenentsorgung voll umfänglich abzudecken, umfasst die DIN-Norm 66399 zur Vernichtung von Datenträgern und Papier drei Schutzklassen, sechs Materialklassifizierungen und sieben Sicherheitsstufen.

 

Die Schutzklassen 

 

Die drei Schutzklassen ordnen die Art der anfallenden Daten nach den Kriterien des Schutzbedarfs der Daten, d.h. wie groß ist der Personenkreis, für den diese Daten zugänglich sind (oder sein müssen), und der möglichen Folgen für das Unternehmen bei einem Verlust der Daten.

 

Bei Schutzklasse 1 handelt es sich um die internen Daten eines Unternehmens, die für eine größere Gruppe bestimmt oder zugänglich sind, z.B. Mitarbeiterzeitungen, Kataloge, personalisierte Werbung oder Wurfsendungen, aber auch Notizen und nicht Knowhow-relevante Korrespondenz.

 

Bei einem Verlust der Daten und der unrechtmäßigen Offenlegung dieser vor oder durch Dritte halten sich folglich auch die negativen Konsequenzen für das betroffene Unternehmen in Grenzen. Allerdings muss dabei berücksichtigt werden, dass der Schutz personenbezogener Daten (zum Beispiel die Adressen der Mitarbeiter auf Mitarbeiterzeitungen) immer vollständig gewährleistet sein muss und damit nicht unter die Schutzklasse 1 fällt.

 

Denn Personaldaten fallen ebenso wie zum Beispiel Knowhow-relevante Korrespondenz, Angebote, Anfragen, und alle Daten, die einen hohen Schutzbedarf haben unter Schutzklasse 2. Diese Unternehmensdaten sind vertraulich und nur einem kleinen Personenkreis zugänglich. Insbesondere personenbezogene Daten fallen darunter. Die ungerechtfertigte Weitergabe oder Offenlegung dieser Daten hätten also erhebliche negative Auswirkungen auf das Unternehmen und es könnte damit sogar gegen vertragliche Verpflichtungen oder Gesetze verstoßen werden. Da in so gut wie jedem Unternehmen Personaldaten vorhanden sind, ist die Schutzklasse 2, die gängige Schutzklasse.

 

Unter Schutzklasse 3 fallen nur hochvertrauliche und/oder  Daten, zum Beispiel Unterlagen der Geschäftsleitung, Finanzdaten und Verschluss-Sachen. Sie sind nur einem kleinen und namentlich bekannten Kreis von Personen zugänglich und ihre unberechtigte Weitergabe hätte erhebliche und existenzbedrohende Folgen für das Unternehmen, gegebenenfalls würden damit sogar Berufsgeheimnisse offenbart oder/und gegen Gesetze oder Verträge verstoßen werden.

 

Vor der Anschaffung eines DSGVO-konformen Aktenvernichters sollte man also überprüfen oder sich beraten lassen, welchen Schutzbedarf die Daten haben, die im eigenen Unternehmen verarbeitet werden. Aber nicht nur die zu vernichtenden Daten, sondern auch in welcher Form sie vorliegen ist entscheidend. Dafür stehen die sechs Materialklassen in der DIN-Norm 66399.

 

 

Die Materialklassen

 

Die neue DIN-Norm berücksichtig, sowohl das vorliegende Material als auch die Größe der Informationsdarstellung auf den vorliegenden Datenträgern. Die Materialklassen werden mit Großbuchstaben gekennzeichnet.

 

So ergibt sich folgende Liste:

  • Materialklasse P: Informationsdarstellung in Originalgröße, z.B. Papier, Filme und Druckplatten.
  • Materialklasse F: Verkleinerte Informationsdarstellung, z.B. Mikrofilme und Folien.
  • Materialklasse O: Informationsdarstellung auf optischen Datenträger, z.B. CDs und DVDs.
  • Materialklasse T: Informationsdarstellung auf magnetischen Datenträgern, z.B. ID-Karten und Disketten.
  • Materialklasse H: Festplatten mit magnetischen Datenträgern.
  • Materialklasse E: Elektronische Datenträger, z.B. Speichersticks und Chipkarten.

 

Zusätzlich sieht die neue DIN-Norm zur Vernichtung von Daten sieben Sicherheitsstufen vor, die ebenfalls beim Kauf eines Aktenvernichters berücksichtig werden müssen.

 

 

Die Sicherheitsstufen 

 

Die DIN-Norm 66399 umfasst nach der neuen Datenschutzgrundverordnung sieben statt fünf Sicherheitsstufen, die beschreiben wie die Daten zerkleinert werden sollten, um sie sicher zu vernichten. Dies ist wiederrum abhängig von der Schutzklasse der Daten.

 

  • Sicherheitsstufe P-1:
    • Datenträger mit allgemeinen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 2000 mm2
    • Streifenbreite ≤ 12 mm

 

  • Sicherheitsstufe P-2:
    • Datenträger mit internen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 800 mm2
    • Streifenbreite ≤ 6mm

 

  • Sicherheitsstufe P-3:
    • Datenträger mit sensiblen und vertraulichen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 320 mm2
    • Streifenbreite ≤ 2mm

 

  • Sicherheitsstufe P-4:
    • Datenträger mit besonders sensiblen und vertraulichen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 160 mm2
    • Streifenbreite ≤ 6mm

 

  • Sicherheitsstufe P-5:
    • Datenträger mit geheim zu haltenden Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 30 mm2
    • Streifenbreite ≤ 2mm

 

  • Sicherheitsstufe P-6:
    • Datenträger mit geheim zu haltenden Daten und außergewöhnlichen Sicherheitsvorkehrungen
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 10 mm2
    • Regelmäßige Partikel
    • Streifenbreite ≤ 1mm

 

  • Sicherheitsstufe P-7:
    • Datenträger mit streng geheimen Daten und höchsten Sicherheitsvorkehrungen
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 5 mm2
    • Regelmäßige Partikel
    • Streifenbreite ≤ 1mm

 

 

Fazit

 

Fügt man nun die Schutzklassen und Sicherheitsstufen in einer Übersicht zusammen, so ergibt sich folgende Aufstellung:

 

Schutzklasse 1:

 

  • Sicherheitsstufe 1 & 2: Ja, aber nicht für personenbezogene Daten
  • Sicherheitsstufe 3: Uneingeschränkt möglich, optimal
  • Sicherheitsstufe: 4, 5, 6 & 7: Möglich

 

 

Schutzklasse 2:

 

  • Sicherheitsstufe 1 & 2: Nein
  • Sicherheitsstufe 3, 4 & 5: Uneingeschränkt möglich, optimal
  • Sicherheitsstufe 6 & 7: Möglich

 

Schutzklasse 3:

 

  • Sicherheitsstufe 1, 2 & 3: Nein
  • Sicherheitsstufe 4,5,6 & 7: Uneingeschränkt möglich, optimal.

 

Fallen Daten unterschiedlicher Sicherheitsstufen im Unternehmen an, so muss immer die jeweils höhere Sicherheitsstufe gewählt werden oder es müssen unterschiedliche Aktenvernichter erworben werden.

 

Des Weiteren sollte auch der Standort des Aktenvernichters und der direkte Zugriff des jeweils Verantwortlichen stets mitbedacht werden.

Daniel Steffen ist zertifizierter Datenschutzbeauftragter (DSB-TÜV) und Auditor (DSA-TÜV) und berät deutschlandweit Unternehmen in den Bereichen Datenschutz und Informationssicherheit.

Über den Autor

Hinweis

Dieser Artikel wurde auf Basis der aktuell verfügbaren Literatur erstellt. Er dient als erste Einschätzung von potentiellen Problemen innerhalb der Datenschutzgrundverordnung (DSGVO). Es wird darauf hingewiesen, dass viele der hier behandelten Probleme noch nicht abschließend, insbesondere durch höchstrichterliche Rechtsprechungen, geklärt wurden und teilweise auch noch keine Stellungnahmen der Landesdatenschutzbehörden vorliegen, weshalb zu einigen Punkten unterschiedliche Auffassungen vertreten werden. Ich übernehme daher keine Haftung auf Richtigkeit und Vollständigkeit. Insbesondere ist darauf hinzuweisen, dass jeder Fall gesondert zu prüfen ist und keine individuelle Rechtsberatung ersetzt.


Weitere Artikel im Datenschutz-Blog

28.03.2023

In den letzten Jahren ist das Thema Whistleblowing immer wieder in den Fokus der öffentlichen Debatte gerückt. Whistleblower sind Personen, die auf Missstände innerhalb von Organisationen oder Unternehmen aufmerksam machen. Um diese Hinweisgeber besser zu schützen und ihren rechtlichen Status zu stärken, wurde kürzlich das neue Hinweisgeberschutzgesetz (HinSchG) in Deutschland verabschiedet. Der folgende Artikel gibt einen Überblick über die wichtigsten Neuerungen und Ziele dieses Gesetzes.

Mehr erfahren ...
20.03.2023

E-Mail-Verschlüsselung ist ein wichtiger Schutzmechanismus, der heutzutage von immer mehr Menschen genutzt wird, um die Vertraulichkeit ihrer E-Mails zu gewährleisten. Wir beschäftigen uns ausführlich mit der E-Mail-Verschlüsselung, erklären ihre Bedeutung und nehmen verschiedene Verschlüsselungstechnologien genauer unter die Lupe.

Mehr erfahren ...
02.01.2023

Backups sind für den Datenschutz von großer Bedeutung, da sie dazu beitragen, das Risiko von Datenverlust zu minimieren. Datenverlust kann auf viele Arten auftreten, zum Beispiel durch Hardwareausfälle, Virenangriffe oder menschliche Fehler. Ohne Backups sind wichtige Daten in solchen Fällen möglicherweise verloren und können nicht mehr wiederhergestellt werden.

Mehr erfahren ...
19.12.2022

Liebe Freunde des Datenschutzes und der Informationssicherheit,

 

Nun also haben wir auch das Jahr 2022 geschafft. Gemeinsam haben wir auch heuer viele Herausforderungen gemeistert. Dafür möchte ich mich bei Ihnen herzlichst bedanken. Umso mehr freue ich mich auf ein paar ruhige Tage im Kreise meiner Liebsten. Vom 21.12. bis einschließlich 06.01. sind wir im Weihnachtsurlaub. Ab dem 09.01. sind wir wieder für Sie da.

Mehr erfahren ...

Sie benötigen einen externen Datenschutzbeauftragten für Ihr Unternehmen?

 

Wir beraten Sie gerne. Kontaktieren Sie uns und fordern Sie ein unverbindliches Angebot an.

Unverbindliches Angebot anfordern