Vernichtung von Papierdokumenten - DSGVO und die DIN 66399

Um das Thema Datenentsorgung voll umfänglich abzudecken, umfasst die DIN-Norm 66399 zur Vernichtung von Datenträgern und Papier drei Schutzklassen, sechs Materialklassifizierungen und sieben Sicherheitsstufen.

 

Die Schutzklassen 

Die drei Schutzklassen ordnen die Art der anfallenden Daten nach den Kriterien des Schutzbedarfs der Daten, d.h. wie groß ist der Personenkreis, für den diese Daten zugänglich sind (oder sein müssen), und der möglichen Folgen für das Unternehmen bei einem Verlust der Daten.

Bei Schutzklasse 1 handelt es sich um die internen Daten eines Unternehmens, die für eine größere Gruppe bestimmt oder zugänglich sind, z.B. Mitarbeiterzeitungen, Kataloge, personalisierte Werbung oder Wurfsendungen, aber auch Notizen und nicht Knowhow-relevante Korrespondenz.

Bei einem Verlust der Daten und der unrechtmäßigen Offenlegung dieser vor oder durch Dritte halten sich folglich auch die negativen Konsequenzen für das betroffene Unternehmen in Grenzen. Allerdings muss dabei berücksichtigt werden, dass der Schutz personenbezogener Daten (zum Beispiel die Adressen der Mitarbeiter auf Mitarbeiterzeitungen) immer vollständig gewährleistet sein muss und damit nicht unter die Schutzklasse 1 fällt.

Denn Personaldaten fallen ebenso wie zum Beispiel Knowhow-relevante Korrespondenz, Angebote, Anfragen, und alle Daten, die einen hohen Schutzbedarf haben unter Schutzklasse 2. Diese Unternehmensdaten sind vertraulich und nur einem kleinen Personenkreis zugänglich. Insbesondere personenbezogene Daten fallen darunter. Die ungerechtfertigte Weitergabe oder Offenlegung dieser Daten hätten also erhebliche negative Auswirkungen auf das Unternehmen und es könnte damit sogar gegen vertragliche Verpflichtungen oder Gesetze verstoßen werden. Da in so gut wie jedem Unternehmen Personaldaten vorhanden sind, ist die Schutzklasse 2, die gängige Schutzklasse.

Unter Schutzklasse 3 fallen nur hochvertrauliche und/oder  Daten, zum Beispiel Unterlagen der Geschäftsleitung, Finanzdaten und Verschluss-Sachen. Sie sind nur einem kleinen und namentlich bekannten Kreis von Personen zugänglich und ihre unberechtigte Weitergabe hätte erhebliche und existenzbedrohende Folgen für das Unternehmen, gegebenenfalls würden damit sogar Berufsgeheimnisse offenbart oder/und gegen Gesetze oder Verträge verstoßen werden.

Vor der Anschaffung eines DSGVO-konformen Aktenvernichters sollte man also überprüfen oder sich beraten lassen, welchen Schutzbedarf die Daten haben, die im eigenen Unternehmen verarbeitet werden. Aber nicht nur die zu vernichtenden Daten, sondern auch in welcher Form sie vorliegen ist entscheidend. Dafür stehen die sechs Materialklassen in der DIN-Norm 66399.

Die Materialklassen

Die neue DIN-Norm berücksichtig, sowohl das vorliegende Material als auch die Größe der Informationsdarstellung auf den vorliegenden Datenträgern. Die Materialklassen werden mit Großbuchstaben gekennzeichnet.

So ergibt sich folgende Liste:

• Materialklasse P: Informationsdarstellung in Originalgröße, z.B. Papier, Filme und Druckplatten.
• Materialklasse F: Verkleinerte Informationsdarstellung, z.B. Mikrofilme und Folien.
• Materialklasse O: Informationsdarstellung auf optischen Datenträger, z.B. CDs und DVDs.
• Materialklasse T: Informationsdarstellung auf magnetischen Datenträgern, z.B. ID-Karten und Disketten.
• Materialklasse H: Festplatten mit magnetischen Datenträgern.
• Materialklasse E: Elektronische Datenträger, z.B. Speichersticks und Chipkarten.

Zusätzlich sieht die neue DIN-Norm zur Vernichtung von Daten sieben Sicherheitsstufen vor, die ebenfalls beim Kauf eines Aktenvernichters berücksichtig werden müssen.

Die Sicherheitsstufen 

Die DIN-Norm 66399 umfasst nach der neuen Datenschutzgrundverordnung sieben statt fünf Sicherheitsstufen, die beschreiben wie die Daten zerkleinert werden sollten, um sie sicher zu vernichten. Dies ist wiederrum abhängig von der Schutzklasse der Daten.

• Sicherheitsstufe P-1:
  • Datenträger mit allgemeinen Daten
  • Größe zerkleinertes Material: Materialteilchenfläche ≤ 2000 mm2
  • Streifenbreite ≤ 12 mm

• Sicherheitsstufe P-2:
  • Datenträger mit internen Daten
  • Größe zerkleinertes Material: Materialteilchenfläche ≤ 800 mm2
  • Streifenbreite ≤ 6mm

• Sicherheitsstufe P-3:
  • Datenträger mit sensiblen und vertraulichen Daten
  • Größe zerkleinertes Material: Materialteilchenfläche ≤ 320 mm2
  • Streifenbreite ≤ 2mm

• Sicherheitsstufe P-4:
  • Datenträger mit besonders sensiblen und vertraulichen Daten
  • Größe zerkleinertes Material: Materialteilchenfläche ≤ 160 mm2
  • Streifenbreite ≤ 6mm

• Sicherheitsstufe P-5:
  • Datenträger mit geheim zu haltenden Daten
  • Größe zerkleinertes Material: Materialteilchenfläche ≤ 30 mm2
  • Streifenbreite ≤ 2mm

• Sicherheitsstufe P-6:
  • Datenträger mit geheim zu haltenden Daten und außergewöhnlichen Sicherheitsvorkehrungen
  • Größe zerkleinertes Material: Materialteilchenfläche ≤ 10 mm2
  • Regelmäßige Partikel
  • Streifenbreite ≤ 1mm

• Sicherheitsstufe P-7:
  • Datenträger mit streng geheimen Daten und höchsten Sicherheitsvorkehrungen
  • Größe zerkleinertes Material: Materialteilchenfläche ≤ 5 mm2
  • Regelmäßige Partikel
  • Streifenbreite ≤ 1mm

Fazit

Fügt man nun die Schutzklassen und Sicherheitsstufen in einer Übersicht zusammen, so ergibt sich folgende Aufstellung:

Schutzklasse 1:

• Sicherheitsstufe 1 & 2: Ja, aber nicht für personenbezogene Daten
• Sicherheitsstufe 3: Uneingeschränkt möglich, optimal
• Sicherheitsstufe: 4, 5, 6 & 7: Möglich

Schutzklasse 2:

• Sicherheitsstufe 1 & 2: Nein
• Sicherheitsstufe 3, 4 & 5: Uneingeschränkt möglich, optimal
• Sicherheitsstufe 6 & 7: Möglich

Schutzklasse 3:

• Sicherheitsstufe 1, 2 & 3: Nein
• Sicherheitsstufe 4,5,6 & 7: Uneingeschränkt möglich, optimal.

Fallen Daten unterschiedlicher Sicherheitsstufen im Unternehmen an, so muss immer die jeweils höhere Sicherheitsstufe gewählt werden oder es müssen unterschiedliche Aktenvernichter erworben werden.

Des Weiteren sollte auch der Standort des Aktenvernichters und der direkte Zugriff des jeweils Verantwortlichen stets mitbedacht werden.