Ein grauer Hintergrund mit weißen Rauten Ein grauer Hintergrund mit weißen Rauten

ISO 21964: Informationen zum Datenschutz

keyboard_arrow_up

Sichere Informationsträgervernichtung

Ob Patientendaten, Personalunterlagen oder interne Entwicklungspapiere – Dokumente sind ein fundamentaler Bestandteil unserer modernen Welt und der Schutz der in ihnen enthaltenen Informationen eine zunehmend wichtige Aufgabe. Insbesondere personenbezogene Daten sind aufgrund vielfältiger Missbrauchsmöglichkeiten besonders schutzwürdig und in Deutschland der Datenschutz-Grundverordnung unterworfen.

Um am Dokumenten-Lebensende die Vernichtung solcher Unterlagen zu standardisieren, erarbeiteten Anbieter und Behörden in enger Zusammenarbeit die ISO 21964 (DIN 66399) – sie löste die veraltete Norm DIN 32757 ab, die den veränderten Anforderungen zunehmend nicht mehr Rechnung trug.

Als zeitgemäßes und umfassendes Normenwerk ist die ISO 21964 (DIN 66399) ein vorbildlicher Standard für technische und organisatorische Maßnahmen. Sie umfasst drei Teile, die bei korrekter Umsetzung eine sichere und datenschutzkonforme Vernichtung schutzwürdiger Daten ermöglichen.

Sie möchten Ihre Unterlagen sicher vernichten lassen? – Besuchen Sie unseren Shop und bestellen Sie direkt online. 

Der Normenanspruch in Kurzfassung und Ihre Verantwortung als „Herr der Daten“

Sie sind als „Verantwortlicher“ für die sichere und ordnungsgemäße Vernichtung schutzwürdiger Daten, die im Rahmen Ihrer Tätigkeit bzw. in Ihrem Unternehmen anfallen, zuständig. Zu deren Einstufung definiert die ISO 21964 (DIN 66399) drei Schutzklassen, die die Anforderungen an den Vernichtungsprozess festlegen und sich je nach Schutzwürdigkeit des Materials steigern. Der übliche und bewährte Vernichtungsprozess ist die mechanische Zerteilung in Partikel, deren Größe durch die jeweilige Schutzklasse und die mit diesen verbundenen Sicherheitsstufen vorgegeben ist. Die Sicherheit des gesamten Prozesses wird durch weitere Maßnahmen wie Zugangskontrollen und Zugriffsschutz erhöht, um auch höchste Anforderungen zu erfüllen.

Als unser*e Kund*in sind Sie für die Einstufung des zu vernichtenden Materials in eine der drei Schutzklassen selbst verantwortlich. Hieraus ergeben sich konkrete Sicherungsmaßnahmen für den für die Vernichtung Verantwortlichen und alle am Prozess beteiligten Stellen.

Was müssen Sie als „Herr der Daten“ entscheiden?

  • Was für Datenträger und Informationen sind schutzwürdig und in welche Schutzklasse einzuordnen?
  • Welche Sicherheitsstufe ist für die Vernichtung zu wählen?
  • Wer soll die Vernichtung durchführen (verantwortliche Stelle direkt oder externer Dienstleister)?
  • Wo ist die Vernichtung durchzuführen (vor Ort oder extern beim Dienstleister)?
  • Wie sind die technischen und organisatorischen Maßnahmen bei der Anfallstelle, beim Transport und beim Dienstleister definiert?

Rhenus bietet auf Basis der ISO 21964:

ISO 21964 (DIN 66399) - Teil 1: Grundlagen und Definitionen

Teil 1 der ISO 21964 (DIN 66399) definiert grundlegende Begriffe und Prinzipien der Datenträgervernichtung und führt die Veränderungen zur Vorgängernorm DIN 32757 auf. Dies umfasst den Anwendungsbereich, grundsätzliche Definitionen und Grundlagen (Kapitel 1), Fachtermini (Kapitel 2) sowie eine Richtlinie für die Ermittlung des notwendigen Schutzbedarfs und der geeigneten Sicherheitsstufe (Kapitel 3).

Die Einstufung des fraglichen Datenschutzmaterials durch den „Verantwortlichen“, also Sie als unsere*n Kund*in, bestimmt das weitere Vorgehen und die Anforderungen an die Sicherheitsstufe.

Schutzklassen

Interne Daten mit normalem Schutzbedarf, wie z. B. Informationen, die von vornherein für eine große Gruppe von Personen bestimmt sind.

Vertrauliche Daten mit hohem Schutzbedarf, deren Kenntnis nur einem kleinen Personenkreis zugänglich gemacht wird.

Vertrauliche Daten mit sehr hohem Schutzbedarf, die nur einem namentlich bekannten, eng umrissenen Personenkreis zugänglich gemacht werden dürfen, wie z. B. Patientendaten.

Nach ISO 21964-1 (DIN 66399-1) Kapitel 4 sind die Sicherheitsstufen wie folgt definiert:

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten ist zwar ohne besondere Hilfsmittel und Fachkenntnisse, aber nur mit erheblichem Zeit- und Arbeitsaufwand möglich.

Anwendungsbereich: Allgemeine Daten

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten erfordert besondere Hilfsmittel sowie erheblichen Zeit- und Arbeitsaufwand.

Anwendungsbereich: Interne Daten

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten erfordert maßgeblichen Einsatz spezieller Hilfsmittel sowie erheblichen Zeit- und Arbeitsaufwand.

Anwendungsbereich: Vertrauliche Daten

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten erfordert außergewöhnliche Hilfsmittel sowie außerordentlich hohen Zeit- und Arbeitsaufwand.

Anwendungsbereich: Besonders sensible Daten

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten erfordert „gewerbeunübliche Einrichtungen“, z. B. speziell für diesen Zweck konstruierte Geräte und Prozesse.

Anwendungsbereich: Geheime Daten

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten ist nach dem Stand der Technik unmöglich.

Anwendungsbereich: Geheime Daten mit außergewöhnlich hohem Schutzbedarf

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten ist nach dem Stand der Technik sowie nach dem Stand der Wissenschaft unmöglich.

Anwendungsbereich: Streng geheime Daten

Den definierten Schutzklassen ist jeweils eine Sicherheitsstufe als Mindeststandard zugewiesen. Dies bedeutet, dass für Material niedrigerer Schutzklassen auch eine höhere Sicherheitsstufe gewählt werden kann, um besonderen Schutz zu erreichen, Material höherer Schutzklassen jedoch nicht auf niedrigen Sicherheitsstufen als der angegebenen Mindeststufe vernichtet werden darf.

Schutzklasse Sicherheitsstufen
    1 2 3 4 5 6 7
1   X X X        
2       X X X    
3         X X X X

Beachten Sie, dass personenbezogene Daten stets auf der Mindest-Sicherheitsstufe 3 vernichtet werden müssen; die Einstufung als Schutzklasse 1, Sicherheitsstufe 1 bis 2 ist somit hierfür nicht geeignet.

Durch verschiedene Maßnahmen können die im eigentlichen mechanischen Vorgang erzielten Sicherheitsstufen erhöht werden. Voraussetzungen hierfür sind:

  • generelle Zulässigkeit
  • die Zustimmung des Auftraggebers
  • eine Mindestmaterialmenge von 100 Kilogramm

Die Erhöhung umfasst die Vermischung und Verpressung des vernichteten Materials für Datenträger der Kategorie P* und F**; dieses Vorgehen ermöglicht die einmalige Anhebung auf die nächsthöhere Sicherheitsstufe bis zur maximal zulässigen Stufe 4. Somit würde die Sicherheitsstufe P-4 z. B. dadurch erreicht werden, dass die Informationsträger in der Sicherheitsstufe P-3 zerkleinert und die Partikel anschließend vermischt und verpresst werden.
Die Vernichtung der Datenträger durch den Verantwortlichen ist der Vernichtung durch externe Dienstleister vorzuziehen.

 

ISO 21964 (DIN 66399) - Teil 2: Technische Anforderungen

Auf Basis der Definitionen des ersten Teils erläutert der zweite Abschnitt der ISO 21964 (DIN 66399) (ebenfalls im Oktober 2012 veröffentlicht) konkrete technische Anforderungen an Maschinen, die zur Vernichtung von Datenschutzmaterial zum Einsatz kommen.
Zudem wird auf zulässige Prüfmethoden nach DIN 19054 sowie DIN EN ISO 216 verwiesen, deren Vorgaben die ordnungsgemäße Auditierung und Zertifizierung der verwendeten Technik ermöglichen.
Grundsätzlich müssen die verwendeten Maschinen über die für die jeweilige Materialart erforderliche Vernichtungsqualität verfügen, um die erforderliche Größe der Partikel zu erreichen.
Auf der mechanischen Ebene wird die Sicherheitsstufe durch Verwendung verschiedener Siebeinsätze erzielt, die die Größe der im Zerteilungswerk entstehenden Partikel beeinflussen. Hierzu ist für die vorgenannten Sicherheitsstufen jeweils eine Normgröße sowie eine Toleranzgröße definiert, wobei der Anteil an Vernichtungspartikeln, deren Größe die Normgröße übersteigt und höchstens die Toleranzgröße erreichen darf, 10 Prozent der gesamten Vernichtungsmenge beträgt.

Die Materialarten sind wie folgt definiert:

Kategorie Beschreibung
P Informationsdarstellung in Originalgröße, z. B. Papier, Druckformen etc.
F Verkleinerte Informationsdarstellung, z. B. Microfiche, Folien etc.
O Informationsdarstellung auf optischen Datenträgern, z. B. CDs, DVDs oder BluRay-Discs
T Informationsdarstellung auf magnetischen Datenträgern, z. B. Disketten, ID-Karten etc.
H Informationsdarstellung auf Festplatten mit magnetischem Datenträger
E Informationsdarstellung auf elektronischem Datenträger, z. B. USB-Sticks, Chipkarten etc.

Für die jeweilige Kombination aus Materialart und Sicherheitsstufe sind verschiedene Partikelgrößen erforderlich – je höher die Stufe, desto kleiner der zulässige Partikel.

Sicherheitsstufe Zulässige Normgröße Zulässige Toleranzgröße (max. 10%)
P-1 2.000 mm2 3.800 mm2
P-2 800 mm2 2.000 mm2
P-3 320 mm2 800 mm2
P-4 160 mm2 480 mm2
P-5 30 mm2 90 mm2
P-6 10 mm2 30 mm2
P-7 5 mm2 oder zu Asche zerkleinert mit max. 5 mm2 keine
Sicherheitsstufe Anforderung Zulässige Normgröße Zulässige Toleranzgröße (max. 10%)
H-1 Datenträger mechanisch oder elektronisch funktionsuntüchtig gemacht Zerteilung nicht erforderlich  
H-2 Datenträger beschädigt Zerteilung nicht erforderlich  
H-3 Datenträger verformt Zerteilung nicht erforderlich  
H-4 Datenträger mehrfach verformt und/oder zerteilt 2000 mm2 3.800 mm2
H-5 Datenträger mehrfach verformt und/oder zerteilt 320 mm2 800 mm2
H-6 Datenträger mehrfach verformt und/oder zerteilt 10 mm2 30 mm2
H-7 Datenträger mehrfach verformt und/oder zerteilt ODER über Curie-Temperatur erhitzt 5 mm2 oder zu Asche zerkleinert mit max. 5 mm2 keine

Die verwendete Maschine muss geeignet sein, die Vernichtung des Materials vollständig und anforderungsgemäß durchzuführen, und die vollständige Vernichtung des Materials muss kontrollierbar sein.

Weitere Inhalte des zweiten Teils der ISO 21964 (DIN 66399) (in den Kapiteln 5-7) sind formelle Anforderungen an die Prüfkriterien wie

  • Umweltbedingungen
  • zu verwendendes Mustermaterial
  • Durchsatzleistung der Maschine
  • sowie formale Anforderungen an Prüfmethodik und Prüfdokumentation.

ISO 21964 (DIN 66399) - Teil 3: Varianten und Prozesse

In diesem Teil der Norm werden der Anwendungsbereich der eigentlichen Norm, die normativen Vorgaben der ersten beiden Teile sowie drei musterhafte Prozessabläufe für verschiedene Varianten der datenschutzkonformen Vernichtung zusammengefasst. Dazu kommen technische und organisatorische Maßnahmen zur Prozesssicherheit sowie Richtlinien für die Konzeption und Durchführung von Audits.

Durch diese Vorgaben für die konkrete Umsetzung der datenschutzkonformen Vernichtung stellt der dritte Teil der ISO 21964 (DIN 66399) de facto einen wichtigen, wenn nicht den wesentlichsten Teil der Norm dar – durch die konsequente Anwendung der beschriebenen Prozesse werden die technischen und organisatorischen Vorgaben in die Praxis überführt.

* Kategorie P: Datenträger mit Informationsdarstellung in Originalgröße, wie Papier, Röntgenbilder etc.

** Kategorie F: Datenträger mit verkleinerter Informationsdarstellung, wie Microfiches etc.

Haben Sie Fragen?

Wir stehen Ihnen bei allen Fragen gerne zur Verfügung.

Jetzt Kontakt aufnehmen!