Vernichtung von Papierdokumenten - DSGVO und die DIN 66399

07.09.2018

Bei der Umsetzung der Datenminimierung und Datensparsamkeit wird oft vernachlässigt, dass es nicht nur um die normgerechte Löschung und Entsorgung von elektronischen Datenträgern, sondern auch um den richtigen Umgang mit Papierdokumenten, geht. Die DSGVO erhält hierbei Unterstützung von der DIN-Norm 66399. Worauf ist bei der Vernichtung von Papierdokumenten zu achten? Benötigen Unternehmen nun einen neuen Aktenvernichter? 

NOVIDATA Updates

Newsletter Datenschutz & IT-Sicherheit

Mit unserem Newsletter erhälst du aktuelle Informationen zu den Themen Datenschutz & IT-Sicherheit regelmäßig bequem in dein Postfach!

Jetzt anmelden

Um das Thema Datenentsorgung voll umfänglich abzudecken, umfasst die DIN-Norm 66399 zur Vernichtung von Datenträgern und Papier drei Schutzklassen, sechs Materialklassifizierungen und sieben Sicherheitsstufen.

 

Die Schutzklassen 

 

Die drei Schutzklassen ordnen die Art der anfallenden Daten nach den Kriterien des Schutzbedarfs der Daten, d.h. wie groß ist der Personenkreis, für den diese Daten zugänglich sind (oder sein müssen), und der möglichen Folgen für das Unternehmen bei einem Verlust der Daten.

 

Bei Schutzklasse 1 handelt es sich um die internen Daten eines Unternehmens, die für eine größere Gruppe bestimmt oder zugänglich sind, z.B. Mitarbeiterzeitungen, Kataloge, personalisierte Werbung oder Wurfsendungen, aber auch Notizen und nicht Knowhow-relevante Korrespondenz.

 

Bei einem Verlust der Daten und der unrechtmäßigen Offenlegung dieser vor oder durch Dritte halten sich folglich auch die negativen Konsequenzen für das betroffene Unternehmen in Grenzen. Allerdings muss dabei berücksichtigt werden, dass der Schutz personenbezogener Daten (zum Beispiel die Adressen der Mitarbeiter auf Mitarbeiterzeitungen) immer vollständig gewährleistet sein muss und damit nicht unter die Schutzklasse 1 fällt.

 

Denn Personaldaten fallen ebenso wie zum Beispiel Knowhow-relevante Korrespondenz, Angebote, Anfragen, und alle Daten, die einen hohen Schutzbedarf haben unter Schutzklasse 2. Diese Unternehmensdaten sind vertraulich und nur einem kleinen Personenkreis zugänglich. Insbesondere personenbezogene Daten fallen darunter. Die ungerechtfertigte Weitergabe oder Offenlegung dieser Daten hätten also erhebliche negative Auswirkungen auf das Unternehmen und es könnte damit sogar gegen vertragliche Verpflichtungen oder Gesetze verstoßen werden. Da in so gut wie jedem Unternehmen Personaldaten vorhanden sind, ist die Schutzklasse 2, die gängige Schutzklasse.

 

Unter Schutzklasse 3 fallen nur hochvertrauliche und/oder  Daten, zum Beispiel Unterlagen der Geschäftsleitung, Finanzdaten und Verschluss-Sachen. Sie sind nur einem kleinen und namentlich bekannten Kreis von Personen zugänglich und ihre unberechtigte Weitergabe hätte erhebliche und existenzbedrohende Folgen für das Unternehmen, gegebenenfalls würden damit sogar Berufsgeheimnisse offenbart oder/und gegen Gesetze oder Verträge verstoßen werden.

 

Vor der Anschaffung eines DSGVO-konformen Aktenvernichters sollte man also überprüfen oder sich beraten lassen, welchen Schutzbedarf die Daten haben, die im eigenen Unternehmen verarbeitet werden. Aber nicht nur die zu vernichtenden Daten, sondern auch in welcher Form sie vorliegen ist entscheidend. Dafür stehen die sechs Materialklassen in der DIN-Norm 66399.

 

 

Die Materialklassen

 

Die neue DIN-Norm berücksichtig, sowohl das vorliegende Material als auch die Größe der Informationsdarstellung auf den vorliegenden Datenträgern. Die Materialklassen werden mit Großbuchstaben gekennzeichnet.

 

So ergibt sich folgende Liste:

  • Materialklasse P: Informationsdarstellung in Originalgröße, z.B. Papier, Filme und Druckplatten.
  • Materialklasse F: Verkleinerte Informationsdarstellung, z.B. Mikrofilme und Folien.
  • Materialklasse O: Informationsdarstellung auf optischen Datenträger, z.B. CDs und DVDs.
  • Materialklasse T: Informationsdarstellung auf magnetischen Datenträgern, z.B. ID-Karten und Disketten.
  • Materialklasse H: Festplatten mit magnetischen Datenträgern.
  • Materialklasse E: Elektronische Datenträger, z.B. Speichersticks und Chipkarten.

 

Zusätzlich sieht die neue DIN-Norm zur Vernichtung von Daten sieben Sicherheitsstufen vor, die ebenfalls beim Kauf eines Aktenvernichters berücksichtig werden müssen.

 

 

Die Sicherheitsstufen 

 

Die DIN-Norm 66399 umfasst nach der neuen Datenschutzgrundverordnung sieben statt fünf Sicherheitsstufen, die beschreiben wie die Daten zerkleinert werden sollten, um sie sicher zu vernichten. Dies ist wiederrum abhängig von der Schutzklasse der Daten.

 

  • Sicherheitsstufe P-1:
    • Datenträger mit allgemeinen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 2000 mm2
    • Streifenbreite ≤ 12 mm

 

  • Sicherheitsstufe P-2:
    • Datenträger mit internen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 800 mm2
    • Streifenbreite ≤ 6mm

 

  • Sicherheitsstufe P-3:
    • Datenträger mit sensiblen und vertraulichen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 320 mm2
    • Streifenbreite ≤ 2mm

 

  • Sicherheitsstufe P-4:
    • Datenträger mit besonders sensiblen und vertraulichen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 160 mm2
    • Streifenbreite ≤ 6mm

 

  • Sicherheitsstufe P-5:
    • Datenträger mit geheim zu haltenden Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 30 mm2
    • Streifenbreite ≤ 2mm

 

  • Sicherheitsstufe P-6:
    • Datenträger mit geheim zu haltenden Daten und außergewöhnlichen Sicherheitsvorkehrungen
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 10 mm2
    • Regelmäßige Partikel
    • Streifenbreite ≤ 1mm

 

  • Sicherheitsstufe P-7:
    • Datenträger mit streng geheimen Daten und höchsten Sicherheitsvorkehrungen
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 5 mm2
    • Regelmäßige Partikel
    • Streifenbreite ≤ 1mm

 

 

Fazit

 

Fügt man nun die Schutzklassen und Sicherheitsstufen in einer Übersicht zusammen, so ergibt sich folgende Aufstellung:

 

Schutzklasse 1:

 

  • Sicherheitsstufe 1 & 2: Ja, aber nicht für personenbezogene Daten
  • Sicherheitsstufe 3: Uneingeschränkt möglich, optimal
  • Sicherheitsstufe: 4, 5, 6 & 7: Möglich

 

 

Schutzklasse 2:

 

  • Sicherheitsstufe 1 & 2: Nein
  • Sicherheitsstufe 3, 4 & 5: Uneingeschränkt möglich, optimal
  • Sicherheitsstufe 6 & 7: Möglich

 

Schutzklasse 3:

 

  • Sicherheitsstufe 1, 2 & 3: Nein
  • Sicherheitsstufe 4,5,6 & 7: Uneingeschränkt möglich, optimal.

 

Fallen Daten unterschiedlicher Sicherheitsstufen im Unternehmen an, so muss immer die jeweils höhere Sicherheitsstufe gewählt werden oder es müssen unterschiedliche Aktenvernichter erworben werden.

 

Des Weiteren sollte auch der Standort des Aktenvernichters und der direkte Zugriff des jeweils Verantwortlichen stets mitbedacht werden.


Datenschutz & IT-Sicherheit

Externer Datenschutzbeauftragter & Externer Informationssicherheitsbeauftragter

Schulungen & Workshops

Professionelle Inhouse und Online-Schulungen zu  
Datenschutz, IT-Sicherheit & Hinweisgeberschutz

Hinweisgeberschutzgesetz

Interne Meldestelle & Digitales 
Hinweisgebersystem NOVIBLOWER.PRO

Newsletter

Stets auf dem aktuellsten Stand mit 
unserem regelmäßigen Newsletter

Hinweis

Dieser Artikel wurde auf Basis der aktuell verfügbaren Literatur erstellt. Er dient als erste Einschätzung von potentiellen Problemen innerhalb der Datenschutzgrundverordnung (DSGVO). Es wird darauf hingewiesen, dass viele der hier behandelten Probleme noch nicht abschließend, insbesondere durch höchstrichterliche Rechtsprechungen, geklärt wurden und teilweise auch noch keine Stellungnahmen der Landesdatenschutzbehörden vorliegen, weshalb zu einigen Punkten unterschiedliche Auffassungen vertreten werden. Ich übernehme daher keine Haftung auf Richtigkeit und Vollständigkeit. Insbesondere ist darauf hinzuweisen, dass jeder Fall gesondert zu prüfen ist und keine individuelle Rechtsberatung ersetzt.


Weitere Artikel

29.02.2024

In unserer schnelllebigen Arbeitswelt, wo Sicherheit und Datenschutz ganz oben auf der Prioritätenliste stehen sollten, ist es unerlässlich, dass du als Mitarbeiter ein Grundverständnis für sicherheitsrelevante Protokolle hast. Das gilt besonders für den Umgang mit unbekannten Personen in deinem Büro. Von physischen Bedrohungen bis hin zum Datendiebstahl – die Gefahren sind vielfältig und erfordern klare Strategien, um sie effektiv zu bekämpfen. Im Folgenden Artikel geht es also um das Sicherheitsbewusstsein am Arbeitsplatz und die Frage, wie du dich bei Unbekannten richtig verhältst.

Mehr erfahren ...
16.02.2024

Die Europäische Union hat die NIS2-Richtlinie eingeführt, um die Cybersicherheit innerhalb ihrer Mitgliedstaaten zu stärken und die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber Cyberangriffen zu erhöhen. Diese aktualisierte Richtlinie erweitert den Anwendungsbereich der ursprünglichen NIS-Richtlinie (NIS1) erheblich und bringt neue Verpflichtungen und Anforderungen für eine breitere Palette von Unternehmen mit sich.

Mehr erfahren ...
05.02.2024

In der heutigen digital vernetzten Welt eröffnet der Fortschritt in der Künstlichen Intelligenz (KI) nicht nur bahnbrechende Möglichkeiten für Innovation und Effizienz, sondern birgt auch neuartige Risiken. Ein jüngstes Ereignis aus Hongkong illustriert, wie KI-gestützte Technologien, insbesondere Deepfakes, in die Hände von Cyberkriminellen geraten und zu beispiellosen Bedrohungen führen können.

Mehr erfahren ...
20.01.2024

Unter Phishing, einer Wortschöpfung aus den beiden Begriffen Password und Fishing, verstehen wir unterschiedliche Angriffsmethoden, die darauf abzielen, durch gefälschte E-Mails, Websites, Programme aber auch Telefonanrufe an Zugangsdaten zu gelangen.

Mehr erfahren ...

Externer Datenschutzbeauftragter

Sie benötigen einen externen Datenschutzbeauftragten für Ihr Unternehmen? Wir beraten Sie gerne. Kontaktieren Sie uns und fordern Sie ein unverbindliches Angebot an.

Unverbindliches Angebot anfordern
Inhalt wird geladen ...