Vernichtung von Papierdokumenten - DSGVO und die DIN 66399

07.09.2018

Bei der Umsetzung der Datenminimierung und Datensparsamkeit wird oft vernachlässigt, dass es nicht nur um die normgerechte Löschung und Entsorgung von elektronischen Datenträgern, sondern auch um den richtigen Umgang mit Papierdokumenten, geht. Die DSGVO erhält hierbei Unterstützung von der DIN-Norm 66399. Worauf ist bei der Vernichtung von Papierdokumenten zu achten? Benötigen Unternehmen nun einen neuen Aktenvernichter? 

NOVIDATA Updates

Newsletter Datenschutz & IT-Sicherheit

Mit unserem Newsletter erhälst du aktuelle Informationen zu den Themen Datenschutz & IT-Sicherheit regelmäßig bequem in dein Postfach!

Jetzt anmelden

Um das Thema Datenentsorgung voll umfänglich abzudecken, umfasst die DIN-Norm 66399 zur Vernichtung von Datenträgern und Papier drei Schutzklassen, sechs Materialklassifizierungen und sieben Sicherheitsstufen.

 

Die Schutzklassen 

 

Die drei Schutzklassen ordnen die Art der anfallenden Daten nach den Kriterien des Schutzbedarfs der Daten, d.h. wie groß ist der Personenkreis, für den diese Daten zugänglich sind (oder sein müssen), und der möglichen Folgen für das Unternehmen bei einem Verlust der Daten.

 

Bei Schutzklasse 1 handelt es sich um die internen Daten eines Unternehmens, die für eine größere Gruppe bestimmt oder zugänglich sind, z.B. Mitarbeiterzeitungen, Kataloge, personalisierte Werbung oder Wurfsendungen, aber auch Notizen und nicht Knowhow-relevante Korrespondenz.

 

Bei einem Verlust der Daten und der unrechtmäßigen Offenlegung dieser vor oder durch Dritte halten sich folglich auch die negativen Konsequenzen für das betroffene Unternehmen in Grenzen. Allerdings muss dabei berücksichtigt werden, dass der Schutz personenbezogener Daten (zum Beispiel die Adressen der Mitarbeiter auf Mitarbeiterzeitungen) immer vollständig gewährleistet sein muss und damit nicht unter die Schutzklasse 1 fällt.

 

Denn Personaldaten fallen ebenso wie zum Beispiel Knowhow-relevante Korrespondenz, Angebote, Anfragen, und alle Daten, die einen hohen Schutzbedarf haben unter Schutzklasse 2. Diese Unternehmensdaten sind vertraulich und nur einem kleinen Personenkreis zugänglich. Insbesondere personenbezogene Daten fallen darunter. Die ungerechtfertigte Weitergabe oder Offenlegung dieser Daten hätten also erhebliche negative Auswirkungen auf das Unternehmen und es könnte damit sogar gegen vertragliche Verpflichtungen oder Gesetze verstoßen werden. Da in so gut wie jedem Unternehmen Personaldaten vorhanden sind, ist die Schutzklasse 2, die gängige Schutzklasse.

 

Unter Schutzklasse 3 fallen nur hochvertrauliche und/oder  Daten, zum Beispiel Unterlagen der Geschäftsleitung, Finanzdaten und Verschluss-Sachen. Sie sind nur einem kleinen und namentlich bekannten Kreis von Personen zugänglich und ihre unberechtigte Weitergabe hätte erhebliche und existenzbedrohende Folgen für das Unternehmen, gegebenenfalls würden damit sogar Berufsgeheimnisse offenbart oder/und gegen Gesetze oder Verträge verstoßen werden.

 

Vor der Anschaffung eines DSGVO-konformen Aktenvernichters sollte man also überprüfen oder sich beraten lassen, welchen Schutzbedarf die Daten haben, die im eigenen Unternehmen verarbeitet werden. Aber nicht nur die zu vernichtenden Daten, sondern auch in welcher Form sie vorliegen ist entscheidend. Dafür stehen die sechs Materialklassen in der DIN-Norm 66399.

 

 

Die Materialklassen

 

Die neue DIN-Norm berücksichtig, sowohl das vorliegende Material als auch die Größe der Informationsdarstellung auf den vorliegenden Datenträgern. Die Materialklassen werden mit Großbuchstaben gekennzeichnet.

 

So ergibt sich folgende Liste:

  • Materialklasse P: Informationsdarstellung in Originalgröße, z.B. Papier, Filme und Druckplatten.
  • Materialklasse F: Verkleinerte Informationsdarstellung, z.B. Mikrofilme und Folien.
  • Materialklasse O: Informationsdarstellung auf optischen Datenträger, z.B. CDs und DVDs.
  • Materialklasse T: Informationsdarstellung auf magnetischen Datenträgern, z.B. ID-Karten und Disketten.
  • Materialklasse H: Festplatten mit magnetischen Datenträgern.
  • Materialklasse E: Elektronische Datenträger, z.B. Speichersticks und Chipkarten.

 

Zusätzlich sieht die neue DIN-Norm zur Vernichtung von Daten sieben Sicherheitsstufen vor, die ebenfalls beim Kauf eines Aktenvernichters berücksichtig werden müssen.

 

 

Die Sicherheitsstufen 

 

Die DIN-Norm 66399 umfasst nach der neuen Datenschutzgrundverordnung sieben statt fünf Sicherheitsstufen, die beschreiben wie die Daten zerkleinert werden sollten, um sie sicher zu vernichten. Dies ist wiederrum abhängig von der Schutzklasse der Daten.

 

  • Sicherheitsstufe P-1:
    • Datenträger mit allgemeinen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 2000 mm2
    • Streifenbreite ≤ 12 mm

 

  • Sicherheitsstufe P-2:
    • Datenträger mit internen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 800 mm2
    • Streifenbreite ≤ 6mm

 

  • Sicherheitsstufe P-3:
    • Datenträger mit sensiblen und vertraulichen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 320 mm2
    • Streifenbreite ≤ 2mm

 

  • Sicherheitsstufe P-4:
    • Datenträger mit besonders sensiblen und vertraulichen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 160 mm2
    • Streifenbreite ≤ 6mm

 

  • Sicherheitsstufe P-5:
    • Datenträger mit geheim zu haltenden Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 30 mm2
    • Streifenbreite ≤ 2mm

 

  • Sicherheitsstufe P-6:
    • Datenträger mit geheim zu haltenden Daten und außergewöhnlichen Sicherheitsvorkehrungen
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 10 mm2
    • Regelmäßige Partikel
    • Streifenbreite ≤ 1mm

 

  • Sicherheitsstufe P-7:
    • Datenträger mit streng geheimen Daten und höchsten Sicherheitsvorkehrungen
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 5 mm2
    • Regelmäßige Partikel
    • Streifenbreite ≤ 1mm

 

 

Fazit

 

Fügt man nun die Schutzklassen und Sicherheitsstufen in einer Übersicht zusammen, so ergibt sich folgende Aufstellung:

 

Schutzklasse 1:

 

  • Sicherheitsstufe 1 & 2: Ja, aber nicht für personenbezogene Daten
  • Sicherheitsstufe 3: Uneingeschränkt möglich, optimal
  • Sicherheitsstufe: 4, 5, 6 & 7: Möglich

 

 

Schutzklasse 2:

 

  • Sicherheitsstufe 1 & 2: Nein
  • Sicherheitsstufe 3, 4 & 5: Uneingeschränkt möglich, optimal
  • Sicherheitsstufe 6 & 7: Möglich

 

Schutzklasse 3:

 

  • Sicherheitsstufe 1, 2 & 3: Nein
  • Sicherheitsstufe 4,5,6 & 7: Uneingeschränkt möglich, optimal.

 

Fallen Daten unterschiedlicher Sicherheitsstufen im Unternehmen an, so muss immer die jeweils höhere Sicherheitsstufe gewählt werden oder es müssen unterschiedliche Aktenvernichter erworben werden.

 

Des Weiteren sollte auch der Standort des Aktenvernichters und der direkte Zugriff des jeweils Verantwortlichen stets mitbedacht werden.


Datenschutz & IT-Sicherheit

Externer Datenschutzbeauftragter & Externer Informationssicherheitsbeauftragter

Schulungen & Workshops

Professionelle Inhouse und Online-Schulungen zu  
Datenschutz, IT-Sicherheit & Hinweisgeberschutz

Hinweisgeberschutzgesetz

Interne Meldestelle & Digitales 
Hinweisgebersystem NOVIBLOWER.PRO

Newsletter

Stets auf dem aktuellsten Stand mit 
unserem regelmäßigen Newsletter

Hinweis

Dieser Artikel wurde auf Basis der aktuell verfügbaren Literatur erstellt. Er dient als erste Einschätzung von potentiellen Problemen innerhalb der Datenschutzgrundverordnung (DSGVO). Es wird darauf hingewiesen, dass viele der hier behandelten Probleme noch nicht abschließend, insbesondere durch höchstrichterliche Rechtsprechungen, geklärt wurden und teilweise auch noch keine Stellungnahmen der Landesdatenschutzbehörden vorliegen, weshalb zu einigen Punkten unterschiedliche Auffassungen vertreten werden. Ich übernehme daher keine Haftung auf Richtigkeit und Vollständigkeit. Insbesondere ist darauf hinzuweisen, dass jeder Fall gesondert zu prüfen ist und keine individuelle Rechtsberatung ersetzt.


Weitere Artikel

13.10.2024

Stell dir vor, du bekommst eine vertraute E-Mail von einem Geschäftspartner. Es geht um eine Überweisung, die dringend erledigt werden muss. Die Bankverbindung sieht neu aus, aber du machst dir nichts dabei und überweist das Geld. Ein paar Tage später erfährst du, dass das Geld auf einem fremden Konto gelandet ist. Willkommen in der Welt des modernen Cyberbetrugs – ein Problem, das immer häufiger wird, auch in Deutschland.

Mehr erfahren ...
11.09.2024

Datenschutz und IT-Sicherheit stellen hohe Anforderungen an Software. Oftmals werden diese Themen jedoch nur stiefmütterlich behandelt – sei es aus Unwissenheit, Zeitmangel oder fehlender Expertise. Ein gezieltes Audit kann dabei helfen, Schwachstellen zu identifizieren und gezielt zu beheben. In unserem Artikel erfährst du, wie ein Audit deine Webapplikation sicherer macht und welche Fragen dabei entscheidend sind. Plus: Lade dir unsere kostenlose Checkliste herunter und starte sofort!

Mehr erfahren ...
13.08.2024

Du hast sicher schon davon gehört, aber weißt du, warum das Double-Opt-In-Verfahren so wichtig ist? Wir zeigen dir, wann du es verwenden solltest, wie du deine Bestätigungs-E-Mails rechtlich einwandfrei gestaltest und warum eine einfache E-Mail-Bestätigung nicht ausreicht, wenn es um Telefon-, SMS- oder WhatsApp-Werbung geht.

Mehr erfahren ...
01.08.2024

Seit vielen Jahren stehe ich regelmäßig vor meinen Kunden, um ihnen die wichtigen Themen Datenschutz und IT-Sicherheit näherzubringen. Meistens findet das im Rahmen eines Weiterbildungstages statt. Da reiht sich der Datenschutz oft am Ende des Tages an die Vorträge über Arbeitssicherheit und Qualitätsmanagement. Und wenn ich dann vor meinen Zuhörern stehe, sehe ich häufig müde Augen und Gesichter, die bereits seit Stunden auf ihren Stühlen festgewachsen sind. Sie blicken mich an, als wollten sie sagen: “Bitte mach's kurz.”

Mehr erfahren ...

Externer Datenschutzbeauftragter

Sie benötigen einen externen Datenschutzbeauftragten für Ihr Unternehmen? Wir beraten Sie gerne. Kontaktieren Sie uns und fordern Sie ein unverbindliches Angebot an.

Unverbindliches Angebot anfordern
Inhalt wird geladen ...