Die DIN-66399 ist da!

aktenordnerEine geschlossene Prozesssicherheit? Der Rahmen ist gesteckt. Die DIN-Norm zur Datenträgervernichtung ist da. Die DIN-66399 löst die Ihnen bekannte, DIN 32757 als Standard für die Vernichtung von Datenträgern, ab. Wir informieren Sie nachfolgend über wesentliche Änderungen und deren Auswirkungen auf Ihre Büroorganisation.

3 Teile, die DIN 66399-1, DIN 66399-2, DIN SPEC, ermöglichen dem Herrn oder der Dame der Daten die Sicherheitsstufe und die Schutzklasse zu bestimmen. Sie wählen bedarfsgerecht eine angemessene Verfahrenskette.

Die Festlegungen zur Informationsdatenträgervernichtung der DIN-Norm 66399 Teil 1 bis Teil 3 können als Anhaltswert für die datenschutzgerechte Beseitigung von Datenträgern herangezogen werden, auch wenn sie keine Rechtsnorm ist. Während die ersten beiden Teile der DIN 33699 offizielle Normen des Deutschen Instituts für Normung sind, handelt es sich bei dem Teil 3 lediglich um eine Spezifikation, die vom Arbeitsausschuss „Informationstechnik und Anwendungen (NIA)“ ausgearbeitet wurde.

Längst erfüllen wir die in der DIN geforderten Standards. Effektivität und Effizienz sparen Zeit und Kosten in Ihren Geschäftsabläufen. Daten und Ressourcen werden geschützt und geschont.

Die alte DIN 32757, die mehr für Hersteller von Kleinvernichtern stand, als eine Norm für Dienstleister, wurde im Oktober 2012 durch die ersten beiden Teile der neuen dreiteiligen Norm DIN 66399 (DIN 66399-1 und DIN 66399-2) abgelöst. Die neue DIN 66399, hier der Teil 3, die DIN SPEC, die seit Februar 2013 gültig ist, befasst sich erstmals mit dem Ablauf der während der Datenvernichtung zu beachtende Prozessschritte.

Alles in allem, eine Herausforderung für alle!

Längst hat sich die GENVER® Entsorgungskonsulting GmbH mit ihrem Bereich, Akten- und Datenvernichtung, mit diesem System identifiziert. Alle Partner der GENVER® Entsorgungskonsulting GmbH sind dabei fest integriert. Einfach erklärt sich die neue Norm nicht, oder doch?

Drei Schutzklassen

Die Ermittlung des Schutzbedarfs und die Zuordnung der Schutzklasse sowie der Sicherheitsstufen dienen der Klassifizierung der anfallenden Daten.

Sechs Materialklassifizierungen

Erstmals definiert die Norm unterschiedliche Materialklassifizierungen, die auch die Größe der Informationsdarstellung auf den Datenträgern berücksichtigt (Papierdokumente, optische, magnetische oder elektronische Datenträger und Festplatten).

Sieben Sicherheitsstufen

Statt bisher fünf Sicherheitsstufen definiert die neue DIN 66399 jetzt sieben Sicherheitsstufen. Ein wesentlicher Unterschied ist die neue Stufe P-4 (Teilchenfläche von max. 160 mm²), die bisherige Stufe 4 wird zur Stufe P-5 usw.

DIN 66399-1

In Teil 1 werden Begriffe und Faktoren erklärt:

• Schutzklasse 1 – 3

• Sicherheitsstufen 1 – 7

• Rekonstruktion von Informationen.

 

DIN-33699

 

 

 

 

 

 

 

 

Mit der Einteilung Ihrer Daten zur Vernichtung in die Schutzklassen, der Schutzbedarfsermittlung, tragen Sie dem Wirtschaftlichkeits- und Angemessenheitsprinzip Rechnung. Es folgt die Wahl in die richtige Sicherheitsstufe. Nur Sie und sonst niemand kennt seine Daten besser und können somit die beiden, Schutzklasse und Sicherheitsstufe, am besten zuordnen. Achtung, die sichere Vernichtung steht zwar an oberster Stelle, dennoch sollten Sie wissen, je höher die Schutzklasse, desto höher die Kosten der Aktenvernichtung. Evtl. ist es von Vorteil Ihre Akten und Daten mit unterschiedlichen Schutzklassen, vor der Vernichtung zu trennen.

Schutzklassen

Schutzklasse 1 – umfasst interne Daten mit normalem Schutzbedarf

Der Schutz von personenbezogenen Daten muss gewährleistet sein. Andernfalls besteht die Gefahr, dass der Betroffene in seiner Stellung und seinen wirtschaftlichen Verhältnissen beeinträchtigt wird. Beispiele: • Telefonlisten • Produktlisten • Lieferantendaten • Adressdaten

Schutzklasse 2 – umfasst vertrauliche Daten mit hohem Schutzbedarf

Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird. Beispiele: • Betriebswirtschaftliche Auswertungen • Interne Reportings • Finanzbuchhaltungsunterlagen • Bilanzen | Jahresabschlüsse

Schutzklasse 3 – umfasst vertrauliche Daten mit sehr hohem Schutzbedarf

Informationen, die auf eine namentlich bekannte kleine Gruppe an Personen beschränkt sind. Schutz personenbezogener Daten. Unbedingte Gewährleistung. Andernfalls, Gefahr für Leib und Leben bzw. für persönliche Freiheit des Betroffenen. Beispiele:

• Zeugenschutzprogramme

• Informationen aller Geheimhaltungsgrade des Bundes und der Länder

• Geheime | streng geheime Unterlagen aus Forschung und Entwicklung von Wirtschaftsunternehmen

Sicherheitsstufen-Genver

 

Sicherheitsklasse-Genver

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Vermischen und Verpressen nehmen Einfluss auf die Sicherheitsstufe. Diese Einflussgröße darf bei Papier und Mikrofilmen bis zur Erreichung der Sicherheitsstufe 4 als erhöhender Faktor berücksichtigt werden.

Vielfalt der Datenträger unterteilt in Datenträgerarten

Die Datenträgerpartikelgröße wurde dem Stand der Technik angepasst.

Datenträgerarten-Genver

 

 

 

 

 

 

 

 

 

Beispiel: O-4 bedeutet die Gewährleistung der Sicherheitsstufe 4 bei der Datenspeicherung auf einer CD bzw. DVD Die DIN-SPEC-66399-3 Diese DIN, dient der Beschreibung der technischen und organisatorischen Anforderungen an den Prozess der Datenträgervernichtung.

Varianten der Datenträgervernichtung

Der Teil 3 der neuen DIN-Norm beschreibt erstmalig den kompletten Prozess der Datenträgervernichtung und die dabei erforderlichen technisch-organisatorischen Maßnahmen. Dabei wird zwischen drei Prozessvarianten bei der Datenträgervernichtung unterschieden:

• Externe Datenträgervernichtung durch einen Dienstleister in Form der Auftragsdatenverarbeitung

• Datenträgervernichtung durch einen Dienstleister in Form der Auftragsdatenverarbeitung vor Ort (z. B. im Hof des Auftraggebers)

• Eigenverantwortliche Datenträgervernichtung durch die betreffende speichernde Stelle selbst vor Ort.

Bestandteile der ordnungsgemäßen Datenträgervernichtung

Bestandteile einer ordnungsgemäßen Datenträgervernichtung sind gemäß DIN SPEC 66399-3:

• Festlegung der Zuständigkeiten, der Sicherheitsklasse und der Sicherheitsstufe

• Spezifizierung der gesetzlichen und betrieblichen Rahmenbedingungen (z. B. bezüglich der Anfallstelle, der Sammlung und Lagerung der Datenträger, eventuell des Transports sowie der Vernichtung)

• Beschreibung der Anforderungen an das eingesetzte Personal (z. B. Verpflichtung auf das Datengeheimnis)

• Sicherstellung der Kontrolle und Prüfung des Prozessablaufs (durch Personal der speichernden Stelle)

• Dokumentation des Ablaufs der Datenträgervernichtung

DIN EN 15713

Öffentliche und nicht-öffentliche Stellen werden dazu aufgefordert, bestimmte Qualitätskriterien zu beachten.

Die Norm gibt dazu Hinweise für die Durchführung und Überwachung der Vernichtung von vertraulichen Unterlagen, um Sorge dafür zu tragen, dass diese Unterlagen zuverlässig und sicher beseitigt werden. Die Norm will dabei sicherstellen, dass das beauftragte Unternehmen den anzuwendenden Anforderungen entspricht, der Abfall recycelt wird und dass Firmen und Kundendaten nicht in die falschen Hände geraten können.

So fordert die DIN-Norm z. B. bezüglich einer Datenträgervernichtung im Auftrag die Einhaltung folgender Kriterien:

• Bis zur Abholung des Entsorgungsgutes müssen die zu vernichtenden Unterlagen sicher aufbewahrt werden.

• So muss beispielsweise eine nach EN 501131-1 zugelassene Einbruchmeldeanlage in diesen Räumlichkeiten installiert und eine Alarmempfangszentrale vorhanden sein.

• Bezüglich der Datenträgervernichtung muss ein schriftlicher Vertrag zwischen Auftragnehmer und Auftraggeber existieren.

• Die zur Abholung der zu vernichtenden Datenträger eingesetzten Fahrzeuge müssen entweder über einen Kofferaufbau oder einen gesicherten Containeraufbau verfügen.

• Die Vernichtung der Datenträger sollte innerhalb eines Werktags nach Eintreffen beim Auftragnehmer erfolgen.

 

Hinweis: Die gegenwärtig parallel zur DIN 66399 gültige DIN EN 15713 wird häufig mit Ihrem teilweise wenig verbindlichen („sollte“) Charakter den deutschen Anforderungen an die verbindliche Gewährleistung von Datenschutz und Informationssicherheit nicht gerecht. Ein „Stand der Technik“, wie bei der DIN 66399, kann aus dieser daher nicht verbindlich abgeleitet werden. Somit ist der DIN 66399 der Vorzug zu geben. Außerdem ist zu bedenken, dass zwar ein alter – nach der DIN 32757 abgeschlossener – Vertrag weiter bestehen kann, besser ist es aber – zumindest beim Abschluss eines neuen Vertrages – diesen an die Gegebenheiten der DIN 66399 anzupassen.

Die DIN-Normen können vom Beuth Verlag GmbH, Burggrafenstr. 4 – 10, 10787 Berlin, bezogen werden.

Gerne senden wir Ihnen unseren Vertrag bzgl. der Übernahme und Vernichtung von Datenträgern (Auftragsdatenvereinbarung § 11 BDSG) zu.