Datenschutz bei der Datenträgervernichtung richtig umsetzen

Datenträger müssen so entsorgt werden, dass die darauf gespeicherten personenbezogenen Daten nicht mehr lesbar sind. DIN 66399 macht dazu Vorgaben.

Dieser Artikel behandelt

Datenschutz

Immer wieder werden Akten, CDs und Festplatten mit sensiblen Inhalten im Müll gefunden, die Presseberichte dazu reißen nicht ab. Die falsche Entsorgung von Datenträgern gehört zu den großen Problemen im Datenschutz. Dabei gibt es eindeutige Vorgaben, wie es sich verhindern lässt, dass der Papierkorb zum Datenleck wird. Darunter ist die Norm DIN 66399, die die vorherige Norm DIN 32757 ersetzt hat.

Neben der Verwendung der richtigen Technik zur Entsorgung von Datenträgern darf auch die Organisation der Datenträgerentsorgung nicht fehlen. Oftmals sind zum Beispiel passende Papier-Schredder in den Unternehmen vorhanden, sie werden aber nicht genutzt. Unternehmen sollten sich deshalb ihren kompletten Prozess der Datenträgerentsorgung ansehen.

Vollständigen Überblick zu Datenträgern erlangen

Die organisatorische Herausforderung bei der Datenträgervernichtung beginnt bereits damit, einen vollständigen Überblick zu gewinnen, welche Arten von Datenträgern für personenbezogene Daten eingesetzt werden. Das Spektrum reicht hier von Papierdokumenten über CDs, DVDs und externen Festplatten bis hin zu Speicherkarten und den internen Speichern von Endgeräten, die auch als Massenspeicher genutzt werden.

Wird nicht genau festgelegt, welche Datenträger für vertrauliche Inhalte genutzt werden dürfen, kann es ohne weiteres passieren, dass Mitarbeiter die Speicherkarte ihres Smartphones für den Datentransport zum nächsten Kundentermin verwenden. In einem Entsorgungskonzept aber werden aber zum Beispiel die Speicherkarten der Smartphones oftmals fehlen.

Daten und Datenträger in Schutzklassen einteilen

Sind die betrieblich genutzten Typen von Datenträgern bekannt und ist sichergestellt, dass die Beschäftigten wissen, welche Datenträger zulässig sind? Dann kommt als nächster Schritt die Klassifizierung der verschiedenen Daten und Datenträger.

Ob ein bestimmter Datenträger einen geringen oder hohen Schutzbedarf hat, hängt von der Art der darauf gespeicherten Daten ab, nicht etwa vom Typ des Datenträgers. Die zuvor erwähnte Norm DIN 66399 unterscheidet drei Schutzklassen:

  1. weniger sensible Daten (etwa ein eingegangenen, personalisierter Werbebrief)
  2. personenbezogene Daten (wie Kundenadressdaten)
  3. Daten mit sehr hohem Schutzbedarf (beispielsweise Patientenakten)

Erforderliche Sicherheitsstufe bestimmen

Neben den drei Schutzklassen kennt die DIN 66399 noch sieben Sicherheitsstufen. Dabei reicht Sicherheitsstufe 1 für allgemeines Schriftgut ohne besonderen Schutzbedarf. Sicherheitsstufe 7 gilt dagegen zum Beispiel für die Datenträgervernichtung im militärischen Bereich.

Die sieben Sicherheitsstufen hängen mit der Qualität der Datenträgerentsorgung und letztlich mit der Größe der Partikel zusammen, die bei der Entsorgung eines Datenträgers entstehen. Bei Sicherheitsstufe 1 sind die erlaubten Partikel natürlich weitaus größer als etwal bei Sicherheitsstufe 4, die für Gesundheitsdaten gewählt werden soll.

DIN 66399-1 stellt eine Verbindung zwischen der Schutzklasse der Daten und der notwendigen Sicherheitsstufe bei der Datenträgerentsorgung her. Datenträger mit Daten der Schutzklasse 3 zum Beispiel müssen so vernichtet werden, dass mindestens die Sicherheitsstufe 4 erreicht wird.

Entsorgungsverfahren muss zu Schutzbedarf und Datenträgertyp passen

Die Norm DIN 66399-2 macht Vorgaben, die bei der Wahl der Methode und der Werkzeuge für die Datenträgerentsorgung zu beachten sind: Die Partikelgröße, ab der bestimmte Daten nicht mehr lesbar sind, hängt insbesondere von der Art des Datenträgers ab, unterscheidet sich also zum Beispiel bei Papier und CDs. Deshalb listet die Norm für verschiedene Datenträgertypen, wie groß Partikel maximal sein dürfen, wenn ein bestimmter Datenträgertyp genutzt wird und eine bestimmte Sicherheitsstufe erreicht werden soll.

Ob ein bestimmter Schredder für den Schutzbedarf, den Typ des Datenträgers und die zu erzielende Sicherheitsstufe und damit Partikelgröße geeignet ist oder nicht, sollten Unternehmen bei dem jeweiligen Anbieter hinterfragen. Das gilt insbesondere, wenn es kein entsprechendes Zertifikat gibt, das entsprechende Angaben zu dem Schredder macht.

Entsorgung im Eigenbetrieb oder beim Dienstleister regeln und überwachen

Die DIN SPEC 66399-3 befasst sich mit dem organisatorischen Prozess der Datenträgervernichtung und unterscheidet dabei die Datenträgervernichtung durch das Unternehmen selbst, durch einen Dienstleister am Ort des Auftraggebers und extern bei dem Dienstleister.

Das Sicherheitskonzept, das hierbei zugrunde gelegt werden muss, unterscheidet sich in diesen drei Fällen. Bei Einschaltung eines Dienstleisters an die Auftragskontrolle und bei externer Datenträgervernichtung auch an den sicheren Transport gedacht werden muss. Bei der Auswahl und Kontrolle des Dienstleisters ist zudem zu bedenken, welche Schutzklassen und Sicherheitsstufen bei der Datenträgervernichtung umzusetzen sind. Davon hängen die zu ergreifenden und die zu überprüfenden Sicherheitsmaßnahmen ab, um dem Datenschutz gerecht zu werden.

In jedem Fall aber verbleibt die Verantwortung für die Datenträgervernichtung bei dem Auftraggeber, so dass er die Einstufung in Schutzklassen und notwendige Sicherheitsstufen nicht einfach delegieren kann. Schließlich muss der Auftraggeber die Sicherheitsvorkehrungen des Dienstleisters prüfen, was nur geht, wenn die Anforderungen von dem Auftraggeber stammen oder zumindest genau nachvollzogen wurden.

Artikel wurde zuletzt im Januar 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Dem Gespräch beitreten

1 Kommentar

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

Unser Unternehmen bedient sich langjährig erfahrener Unternehmen zur Datenentsorgung. Wir haben hoch sensible Akten und andere Träger, die entsprechend entsorgt werden müssen. Zertifizierte Entsorger wie http://www.elektroschrott.de/ ist nur einer auf einer langen Liste an Entsorgungsunternehmen aber einen mit dem wir gute Erfahrungen gemacht haben. Wir möchten nicht dran denken, was passiert, wenn Informationen über Unternehmen und Kunden nach Außen gelangen. Daher finden wir den Artikel hier sehr schön und gut erklärt. Weiter so!
Abbrechen

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close