07.09.2018

Bei der Umsetzung der Datenminimierung und Datensparsamkeit wird oft vernachlässigt, dass es nicht nur um die normgerechte Löschung und Entsorgung von elektronischen Datenträgern, sondern auch um den richtigen Umgang mit Papierdokumenten, geht. Die DSGVO erhält hierbei Unterstützung von der DIN-Norm 66399. Worauf ist bei der Vernichtung von Papierdokumenten zu achten? Benötigen Unternehmen nun einen neuen Aktenvernichter? 

Mit unserem Datenschutz Newsletter erhalten Sie aktuelle Informationen regelmäßig bequem in Ihr Postfach!

Jetzt anmelden

Um das Thema Datenentsorgung voll umfänglich abzudecken, umfasst die DIN-Norm 66399 zur Vernichtung von Datenträgern und Papier drei Schutzklassen, sechs Materialklassifizierungen und sieben Sicherheitsstufen.

 

Die Schutzklassen 

 

Die drei Schutzklassen ordnen die Art der anfallenden Daten nach den Kriterien des Schutzbedarfs der Daten, d.h. wie groß ist der Personenkreis, für den diese Daten zugänglich sind (oder sein müssen), und der möglichen Folgen für das Unternehmen bei einem Verlust der Daten.

 

Bei Schutzklasse 1 handelt es sich um die internen Daten eines Unternehmens, die für eine größere Gruppe bestimmt oder zugänglich sind, z.B. Mitarbeiterzeitungen, Kataloge, personalisierte Werbung oder Wurfsendungen, aber auch Notizen und nicht Knowhow-relevante Korrespondenz.

 

Bei einem Verlust der Daten und der unrechtmäßigen Offenlegung dieser vor oder durch Dritte halten sich folglich auch die negativen Konsequenzen für das betroffene Unternehmen in Grenzen. Allerdings muss dabei berücksichtigt werden, dass der Schutz personenbezogener Daten (zum Beispiel die Adressen der Mitarbeiter auf Mitarbeiterzeitungen) immer vollständig gewährleistet sein muss und damit nicht unter die Schutzklasse 1 fällt.

 

Denn Personaldaten fallen ebenso wie zum Beispiel Knowhow-relevante Korrespondenz, Angebote, Anfragen, und alle Daten, die einen hohen Schutzbedarf haben unter Schutzklasse 2. Diese Unternehmensdaten sind vertraulich und nur einem kleinen Personenkreis zugänglich. Insbesondere personenbezogene Daten fallen darunter. Die ungerechtfertigte Weitergabe oder Offenlegung dieser Daten hätten also erhebliche negative Auswirkungen auf das Unternehmen und es könnte damit sogar gegen vertragliche Verpflichtungen oder Gesetze verstoßen werden. Da in so gut wie jedem Unternehmen Personaldaten vorhanden sind, ist die Schutzklasse 2, die gängige Schutzklasse.

 

Unter Schutzklasse 3 fallen nur hochvertrauliche und/oder  Daten, zum Beispiel Unterlagen der Geschäftsleitung, Finanzdaten und Verschluss-Sachen. Sie sind nur einem kleinen und namentlich bekannten Kreis von Personen zugänglich und ihre unberechtigte Weitergabe hätte erhebliche und existenzbedrohende Folgen für das Unternehmen, gegebenenfalls würden damit sogar Berufsgeheimnisse offenbart oder/und gegen Gesetze oder Verträge verstoßen werden.

 

Vor der Anschaffung eines DSGVO-konformen Aktenvernichters sollte man also überprüfen oder sich beraten lassen, welchen Schutzbedarf die Daten haben, die im eigenen Unternehmen verarbeitet werden. Aber nicht nur die zu vernichtenden Daten, sondern auch in welcher Form sie vorliegen ist entscheidend. Dafür stehen die sechs Materialklassen in der DIN-Norm 66399.

 

 

Die Materialklassen

 

Die neue DIN-Norm berücksichtig, sowohl das vorliegende Material als auch die Größe der Informationsdarstellung auf den vorliegenden Datenträgern. Die Materialklassen werden mit Großbuchstaben gekennzeichnet.

 

So ergibt sich folgende Liste:

  • Materialklasse P: Informationsdarstellung in Originalgröße, z.B. Papier, Filme und Druckplatten.
  • Materialklasse F: Verkleinerte Informationsdarstellung, z.B. Mikrofilme und Folien.
  • Materialklasse O: Informationsdarstellung auf optischen Datenträger, z.B. CDs und DVDs.
  • Materialklasse T: Informationsdarstellung auf magnetischen Datenträgern, z.B. ID-Karten und Disketten.
  • Materialklasse H: Festplatten mit magnetischen Datenträgern.
  • Materialklasse E: Elektronische Datenträger, z.B. Speichersticks und Chipkarten.

 

Zusätzlich sieht die neue DIN-Norm zur Vernichtung von Daten sieben Sicherheitsstufen vor, die ebenfalls beim Kauf eines Aktenvernichters berücksichtig werden müssen.

 

 

Die Sicherheitsstufen 

 

Die DIN-Norm 66399 umfasst nach der neuen Datenschutzgrundverordnung sieben statt fünf Sicherheitsstufen, die beschreiben wie die Daten zerkleinert werden sollten, um sie sicher zu vernichten. Dies ist wiederrum abhängig von der Schutzklasse der Daten.

 

  • Sicherheitsstufe P-1:
    • Datenträger mit allgemeinen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 2000 mm2
    • Streifenbreite ≤ 12 mm

 

  • Sicherheitsstufe P-2:
    • Datenträger mit internen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 800 mm2
    • Streifenbreite ≤ 6mm

 

  • Sicherheitsstufe P-3:
    • Datenträger mit sensiblen und vertraulichen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 320 mm2
    • Streifenbreite ≤ 2mm

 

  • Sicherheitsstufe P-4:
    • Datenträger mit besonders sensiblen und vertraulichen Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 160 mm2
    • Streifenbreite ≤ 6mm

 

  • Sicherheitsstufe P-5:
    • Datenträger mit geheim zu haltenden Daten
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 30 mm2
    • Streifenbreite ≤ 2mm

 

  • Sicherheitsstufe P-6:
    • Datenträger mit geheim zu haltenden Daten und außergewöhnlichen Sicherheitsvorkehrungen
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 10 mm2
    • Regelmäßige Partikel
    • Streifenbreite ≤ 1mm

 

  • Sicherheitsstufe P-7:
    • Datenträger mit streng geheimen Daten und höchsten Sicherheitsvorkehrungen
    • Größe zerkleinertes Material: Materialteilchenfläche ≤ 5 mm2
    • Regelmäßige Partikel
    • Streifenbreite ≤ 1mm

 

 

Fazit

 

Fügt man nun die Schutzklassen und Sicherheitsstufen in einer Übersicht zusammen, so ergibt sich folgende Aufstellung:

 

Schutzklasse 1:

 

  • Sicherheitsstufe 1 & 2: Ja, aber nicht für personenbezogene Daten
  • Sicherheitsstufe 3: Uneingeschränkt möglich, optimal
  • Sicherheitsstufe: 4, 5, 6 & 7: Möglich

 

 

Schutzklasse 2:

 

  • Sicherheitsstufe 1 & 2: Nein
  • Sicherheitsstufe 3, 4 & 5: Uneingeschränkt möglich, optimal
  • Sicherheitsstufe 6 & 7: Möglich

 

Schutzklasse 3:

 

  • Sicherheitsstufe 1, 2 & 3: Nein
  • Sicherheitsstufe 4,5,6 & 7: Uneingeschränkt möglich, optimal.

 

Fallen Daten unterschiedlicher Sicherheitsstufen im Unternehmen an, so muss immer die jeweils höhere Sicherheitsstufe gewählt werden oder es müssen unterschiedliche Aktenvernichter erworben werden.

 

Des Weiteren sollte auch der Standort des Aktenvernichters und der direkte Zugriff des jeweils Verantwortlichen stets mitbedacht werden.

Daniel Steffen ist zertifizierter Datenschutzbeauftragter (DSB-TÜV) und Auditor (DSA-TÜV) und berät deutschlandweit Unternehmen in den Bereichen Datenschutz und Informationssicherheit.

Über den Autor

Hinweis

Dieser Artikel wurde auf Basis der aktuell verfügbaren Literatur erstellt. Er dient als erste Einschätzung von potentiellen Problemen innerhalb der Datenschutzgrundverordnung (DSGVO). Es wird darauf hingewiesen, dass viele der hier behandelten Probleme noch nicht abschließend, insbesondere durch höchstrichterliche Rechtsprechungen, geklärt wurden und teilweise auch noch keine Stellungnahmen der Landesdatenschutzbehörden vorliegen, weshalb zu einigen Punkten unterschiedliche Auffassungen vertreten werden. Ich übernehme daher keine Haftung auf Richtigkeit und Vollständigkeit. Insbesondere ist darauf hinzuweisen, dass jeder Fall gesondert zu prüfen ist und keine individuelle Rechtsberatung ersetzt.


Weitere Artikel im Datenschutz-Blog

15.03.2021

In den letzten Tagen wurde bekannt, dass Microsoft Exchange Server durch mehrere Sicherheitslücken gegen Angreifer aus dem Internet nicht ausreichend gesichert sind. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) stuft die Gesamtsituation als kritisch ein, da bereits eine Kompromittierung zahlreicher Systeme stattfand.

Mehr erfahren ...
10.03.2021

Neben der DSGVO ist 2018 auch das Gesetz zum Kirchlichen Datenschutz (KDG) in Kraft getreten. Grundsätzlich weisen beide Gesetze viele Gemeinsamkeiten auf. In ein paar Punkten unterscheiden sie sich jedoch voneinander. Wir gehen auf Gemeinsamkeiten und Unterschiede ein.

Mehr erfahren ...
16.02.2021

Die europäischen Datenschutzbehörden haben 2020 Bußgelder in Höhe von fast 160 Millionen Euro verhängt - ein Anstieg von 60 Prozent im Vergleich zum Vorjahr.

Mehr erfahren ...
20.03.2020

In den vergangenen Tagen steigt die Zahl der mit COVID-19 infizierten Personen fast exponentiell. Betriebe werden aufgrund behördlicher Anordnungen geschlossen oder auf ein Minimum heruntergefahren. Wie können Arbeitgeber sich und Ihre Beschäftigten schützen und dürfen sie dazu Gesundheitsdaten ihrer Mitarbeiter verarbeiten?

Mehr erfahren ...

Sie benötigen einen externen Datenschutzbeauftragten für Ihr Unternehmen?

 

Wir beraten Sie gerne. Kontaktieren Sie uns und fordern Sie ein unverbindliches Angebot an.

Unverbindliches Angebot anfordern