Ein grauer Hintergrund mit weißen RautenEin grauer Hintergrund mit weißen Rauten

DIN 66399: Informationen zum Datenschutz

keyboard_arrow_up

Sichere Informationsträgervernichtung

Ob Patientendaten, Personalunterlagen oder interne Entwicklungspapiere – Dokumente sind ein fundamentaler Bestandteil unserer modernen Welt und der Schutz der in ihnen enthaltenen Informationen eine zunehmend wichtige Aufgabe. Insbesondere personenbezogene Daten sind aufgrund vielfältiger Missbrauchsmöglichkeiten besonders schutzwürdig und in Deutschland der Datenschutz-Grundverordnung unterworfen.

Um am Dokumenten-Lebensende die Vernichtung solcher Unterlagen zu standardisieren, erarbeiteten Anbieter und Behörden in enger Zusammenarbeit die DIN 66399 – sie löste die veraltete Norm DIN 32757 ab, die den veränderten Anforderungen zunehmend nicht mehr Rechnung trug.

Als zeitgemäßes und umfassendes Normenwerk ist die DIN 66399 ein vorbildlicher Standard für technische und organisatorische Maßnahmen. Sie umfasst drei Teile, die bei korrekter Umsetzung eine sichere und datenschutzkonforme Vernichtung schutzwürdiger Daten ermöglichen.

Der Normenanspruch in Kurzfassung und Ihre Verantwortung als „Herr der Daten“

Sie sind als „Verantwortlicher“ für die sichere und ordnungsgemäße Vernichtung schutzwürdiger Daten, die im Rahmen Ihrer Tätigkeit bzw. in Ihrem Unternehmen anfallen, zuständig. Zu deren Einstufung definiert die DIN 66399 drei Schutzklassen, die die Anforderungen an den Vernichtungsprozess festlegen und sich je nach Schutzwürdigkeit des Materials steigern. Der übliche und bewährte Vernichtungsprozess ist die mechanische Zerteilung in Partikel, deren Größe durch die jeweilige Schutzklasse und die mit diesen verbundenen Sicherheitsstufen vorgegeben ist. Die Sicherheit des gesamten Prozesses wird durch weitere Maßnahmen wie Zugangskontrollen und Zugriffsschutz erhöht, um auch höchste Anforderungen zu erfüllen.

Als unser Kunde sind Sie für die Einstufung des zu vernichtenden Materials in eine der drei Schutzklassen selbst verantwortlich. Hieraus ergeben sich konkrete Sicherungsmaßnahmen für den für die Vernichtung Verantwortlichen und alle am Prozess beteiligten Stellen.

Was müssen Sie als Herr der Daten entscheiden?

  • Was für Datenträger und Informationen sind schutzwürdig und in welche Schutzklasse einzuordnen?
  • Welche Sicherheitsstufe ist für die Vernichtung zu wählen?
  • Wer soll die Vernichtung durchführen (verantwortliche Stelle direkt oder externer Dienstleister)?
  • Wo ist die Vernichtung durchzuführen (vor Ort oder extern beim Dienstleister)?
  • Wie sind die technischen und organisatorischen Maßnahmen bei der Anfallstelle, beim Transport und beim Dienstleister definiert?

Rhenus bietet auf Basis der DIN 66399:

DIN 66399 - Teil 1: Grundlagen und Definitionen

Teil 1 der DIN 66399 definiert grundlegende Begriffe und Prinzipien der Datenträgervernichtung und führt die Veränderungen zur Vorgängernorm DIN 32757 auf. Dies umfasst den Anwendungsbereich, grundsätzliche Definitionen und Grundlagen (Kapitel 1), Fachtermini (Kapitel 2) sowie eine Richtlinie für die Ermittlung des notwendigen Schutzbedarfs und der geeigneten Sicherheitsstufe (Kapitel 3).

Die Einstufung des fraglichen Datenschutzmaterials durch den „Verantwortlichen“, also Sie als unseren Kunden, bestimmt das weitere Vorgehen und die Anforderungen an die Sicherheitsstufe.

Schutzklassen

Interne Daten mit normalem Schutzbedarf, wie z.B. Informationen, die von vornherein für eine große Gruppe von Personen bestimmt sind.

Vertrauliche Daten mit hohem Schutzbedarf, deren Kenntnis nur einem kleinen Personenkreis zugänglich gemacht wird.

Vertrauliche Daten mit sehr hohem Schutzbedarf, die nur einem namentlich bekannten, eng umrissenen Personenkreis zugänglich gemacht werden dürfen, wie z.B. Patientendaten.

Nach DIN 66399-1 Kapitel 4 sind die Sicherheitsstufen wie folgt definiert:

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten ist zwar ohne besondere Hilfsmittel und Fachkenntnisse, aber nur mit erheblichem Zeit- und Arbeitsaufwand möglich.

Anwendungsbereich: Allgemeine Daten

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten erfordert besondere Hilfsmittel sowie erheblichen Zeit- und Arbeitsaufwand.

Anwendungsbereich: Interne Daten

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten erfordert maßgeblichen Einsatz spezieller Hilfsmittel sowie erheblichen Zeit- und Arbeitsaufwand.

Anwendungsbereich: Vertrauliche Daten

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten erfordert außergewöhnliche Hilfsmittel sowie außerordentlich hohen Zeit- und Arbeitsaufwand.

Anwendungsbereich: Besonders sensible Daten

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten erfordert „gewerbeunübliche Einrichtungen“, z.B. speziell für diesen Zweck konstruierte Geräte und Prozesse.

Anwendungsbereich: Geheime Daten

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten ist nach dem Stand der Technik unmöglich.

Anwendungsbereich: Geheime Daten mit außergewöhnlich hohem Schutzbedarf

Die Wiederherstellung der auf dem Vernichtungsgut befindlichen Daten ist nach dem Stand der Technik sowie nach dem Stand der Wissenschaft unmöglich.

Anwendungsbereich: Streng geheime Daten

Den definierten Schutzklassen ist jeweils eine Sicherheitsstufe als Mindeststandard zugewiesen. Dies bedeutet, dass für Material niedrigerer Schutzklassen auch eine höhere Sicherheitsstufe gewählt werden kann, um besonderen Schutz zu erreichen, Material höherer Schutzklassen jedoch nicht auf niedrigen Sicherheitsstufen als der angegebenen Mindeststufe vernichtet werden darf.

SchutzklasseSicherheitsstufen
  1234567
1 XXX    
2   XXX  
3    XXXX

Beachten Sie, dass personenbezogene Daten stets auf der Mindest-Sicherheitsstufe 3 vernichtet werden müssen; die Einstufung als Schutzklasse 1, Sicherheitsstufe 1 bis 2 ist somit hierfür nicht geeignet.

Durch verschiedene Maßnahmen können die im eigentlichen mechanischen Vorgang erzielten Sicherheitsstufen erhöht werden. Voraussetzungen hierfür sind:

  • generelle Zulässigkeit
  • die Zustimmung des Auftraggebers
  • eine Mindestmaterialmenge von 100 Kilogramm

Die Erhöhung umfasst die Vermischung und Verpressung des vernichteten Materials für Datenträger der Kategorie P* und F**; dieses Vorgehen ermöglicht die einmalige Anhebung auf die nächsthöhere Sicherheitsstufe bis zur maximal zulässigen Stufe 4. Somit würde die Sicherheitsstufe P-4 z. B. dadurch erreicht werden, dass die Informationsträger in der Sicherheitsstufe P-3 zerkleinert und die Partikel anschließend vermischt und verpresst werden.
Die Vernichtung der Datenträger durch den Verantwortlichen ist der Vernichtung durch externe Dienstleister vorzuziehen.

 

DIN 66399 - Teil 2: Technische Anforderungen

Auf Basis der Definitionen des ersten Teils erläutert der zweite Abschnitt der DIN 66399 (ebenfalls im Oktober 2012 veröffentlicht) konkrete technische Anforderungen an Maschinen, die zur Vernichtung von Datenschutzmaterial zum Einsatz kommen.
Zudem wird auf zulässige Prüfmethoden nach DIN 19054 sowie DIN EN ISO 216 verwiesen, deren Vorgaben die ordnungsgemäße Auditierung und Zertifizierung der verwendeten Technik ermöglichen.
Grundsätzlich müssen die verwendeten Maschinen über die für die jeweilige Materialart erforderliche Vernichtungsqualität verfügen, um die erforderliche Größe der Partikel zu erreichen.
Auf der mechanischen Ebene wird die Sicherheitsstufe durch Verwendung verschiedener Siebeinsätze erzielt, die die Größe der im Zerteilungswerk entstehenden Partikel beeinflussen. Hierzu ist für die vorgenannten Sicherheitsstufen jeweils eine Normgröße sowie eine Toleranzgröße definiert, wobei der Anteil an Vernichtungspartikeln, deren Größe die Normgröße übersteigt und höchstens die Toleranzgröße erreichen darf, 10 Prozent der gesamten Vernichtungsmenge beträgt.

Die Materialarten sind wie folgt definiert:

KategorieBeschreibung
PInformationsdarstellung in Originalgröße, z. B. Papier, Druckformen etc.
FVerkleinerte Informationsdarstellung, z. B. Microfiche, Folien etc.
OInformationsdarstellung auf optischen Datenträgern, z. B. CDs, DVDs oder BluRay-Discs
TInformationsdarstellung auf magnetischen Datenträgern, z. B. Disketten, ID-Karten etc.
HInformationsdarstellung auf Festplatten mit magnetischem Datenträger
EInformationsdarstellung auf elektronischem Datenträger, z. B. USB-Sticks, Chipkarten etc.

Für die jeweilige Kombination aus Materialart und Sicherheitsstufe sind verschiedene Partikelgrößen erforderlich – je höher die Stufe, desto kleiner der zulässige Partikel.

SicherheitsstufeZulässige NormgrößeZulässige Toleranzgröße (max. 10%)
P-12.000 mm23.800 mm2
P-2800 mm22.000 mm2
P-3320 mm2800 mm2
P-4160 mm2480 mm2
P-530 mm290 mm2
P-610 mm230 mm2
P-75 mm2 oder zu Asche zerkleinert mit max. 5 mm2keine
SicherheitsstufeAnforderungZulässige NormgrößeZulässige Toleranzgröße (max. 10%)
H-1Datenträger mechanisch oder elektronisch funktionsuntüchtig gemachtZerteilung nicht erforderlich 
H-2Datenträger beschädigtZerteilung nicht erforderlich 
H-3Datenträger verformtZerteilung nicht erforderlich 
H-4Datenträger mehrfach verformt und/oder zerteilt2000 mm23.800 mm2
H-5Datenträger mehrfach verformt und/oder zerteilt320 mm2800 mm2
H-6Datenträger mehrfach verformt und/oder zerteilt10 mm230 mm2
H-7Datenträger mehrfach verformt und/oder zerteilt ODER über Curie-Temperatur erhitzt5 mm2 oder zu Asche zerkleinert mit max. 5 mm2keine

Die verwendete Maschine muss geeignet sein, die Vernichtung des Materials vollständig und anforderungsgemäß durchzuführen, und die vollständige Vernichtung des Materials muss kontrollierbar sein.

Weitere Inhalte des zweiten Teils der DIN 66399 (in den Kapiteln 5-7) sind formelle Anforderungen an die Prüfkriterien wie

  • Umweltbedingungen
  • zu verwendendes Mustermaterial
  • Durchsatzleistung der Maschine
  • sowie formale Anforderungen an Prüfmethodik und Prüfdokumentation.

DIN 66399 - Teil 3: Varianten und Prozesse

Als dritter Teil der DIN 66399 wurde im Februar 2013 ein Spezifikationsdokument (DIN SPEC) veröffentlicht.

In dieser DIN SPEC werden der Anwendungsbereich der eigentlichen Norm, die normativen Vorgaben der ersten beiden Teile sowie drei musterhafte Prozessabläufe für verschiedene Varianten der datenschutzkonformen Vernichtung zusammengefasst. Dazu kommen technische und organisatorische Maßnahmen zur Prozesssicherheit sowie Richtlinien für die Konzeption und Durchführung von Audits.

Durch diese Vorgaben für die konkrete Umsetzung der datenschutzkonformen Vernichtung stellt der dritte Teil der DIN 66399 de facto einen wichtigen, wenn nicht den wesentlichsten Teil der Norm dar – durch die konsequente Anwendung der beschriebenen Prozesse werden die technischen und organisatorischen Vorgaben in die Praxis überführt.

* Kategorie P: Datenträger mit Informationsdarstellung in Originalgröße, wie Papier, Röntgenbilder etc.

** Kategorie F: Datenträger mit verkleinerter Informationsdarstellung, wie Microfiches etc.