Die neue DIN-Norm zur Datenträgervernichtung

Die neue DIN-Norm zur Datenträgervernichtung gibt den Rahmen für eine geschlossene Prozess-Sicherheit. Sie besteht aus drei Teilen:

  • DIN 66399-1: Grundlagen und Begriffe
    Definition von Begriffen und Faktoren, die für die Vernichtung von Datenträgern relevant sind.
  • DIN 66399-2: Anforderung an Maschinen zur Vernichtung von Datenträgern
    Fragen zur Gebrauchstauglichkeit und Zuverlässigkeit werden geklärt.
  • DIN-SPEC-66399-3: Prozess der Datenträgervernichtung
    Beschreibung der technischen und organisatorischen Anforderungen.

Detaillierte Informationen zur DIN-Norm 66399

DIN 66399-1

  • Schutzklassen 1-3
  • Sicherheitsstufen 1-7
  • Zuordnung der Datenträger-Art

Definieren Sie Ihre Schutzklasse:

  • Schutzklasse 1: Normaler Schutz für interne Daten
    Datenträger der Schutzklasse 1 können den Sicherheitsstufen 1, 2 und 3 zugeordnet werden. Ausnahme: Handelt es sich um personenbezogene Daten, ist nur eine Zuordnung zur Sicherheitsstufe 3 erlaubt.

    Beschreibung: Der Schutz von personenbezogenen Daten muss gewährleistet sein. Andernfalls besteht die Gefahr, dass der Betroffene in seiner Stellung und seinen wirtschaftlichen Verhältnissen beeinträchtigt wird.
    Beispiele: Adressdaten, Produktdaten, Lieferantendaten, Telefonlisten

  • Schutzklasse 2: Hoher Schutzbedarf für vertrauliche Daten
    Datenträger der Schutzklasse 2 können den Sicherheitsstufen 3, 4 und 5 zugeordnet werden.

    Beschreibung: Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird.
    Beispiele: Interne Reportings, Bilanzen bzw. Jahresabschlüsse, Unterlagen Finanzbuchhaltung

  • Schutzklasse 3: Sehr hoher Schutz für besonders vertrauliche und geheime Daten
    Datenträger der Schutzklasse 3 können den Sicherheitsstufen 4, 5, 6 und 7 zugeordnet werden.

    Beschreibung: Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein. Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen.
    Beispiele: Zeugenschutzprogramm, Geheime und streng geheime Unterlagen aus Forschung und Entwicklung von Wirtschaftsunternehmen

Ordnen Sie die Sicherheitsstufe zu:

  • Sicherheitsstufe 1: Allgemeine Daten - Reproduktion mit einfachem Aufwand
  • Sicherheitsstufe 2: Interne Daten - Reproduktion mit besonderem Aufwand
  • Sicherheitsstufe 3: Sensible Daten - Reproduktion mit erheblichem Aufwand
  • Sicherheitsstufe 4: Besonders sensible Daten - Reproduktion mit außergewöhnlichem Aufwand
  • Sicherheitsstufe 5: Geheim zu haltende Daten - Reproduktion mit zweifelhaften Methoden
  • Sicherheitsstufe 6: Geheime Hochsicherheitsdaten - Reproduktion technisch nicht möglich
  • Sicherheitsstufe 7: Top Secret Hochsicherheitsdaten - Reproduktion ausgeschlossen

DIN 66399-2

Jede Datenträgerart ist durch ein Kürzel beschrieben (PFOTHE), das der jeweiligen Sicherheitsstufe vorangestellt wird:

  • P - Informationsdarstellung in Originalgröße: Papier, Film, Druckformen
  • F - Informationsdarstellung verkleinert: Film, Mikrofilm, Folie
  • O - Informationsdarstellung auf optischen Datenträgern: CD, DVD
  • T - Informationsdarstellung auf magnetischen Datenträgern: Disketten, ID-Karten, Magnetbandkassetten
  • H - Informationsdarstellung auf Festplatten mit magnetischem Datenträger: Festplatten
  • E - Informationsdarstellung auf elektronsichen Datenträgern: Speicherstick, Chipkarte, Halbleiterfestplatten, mobile Kommunikationsmittel

DIN-SPEC-66399-3

Seit Februar 2013 hat auch die DIN SPEC 66399-3 Gültigkeit erlangt. Der dritte Teil gibt in Form einer DIN SPEC erstmalig die während der Vernichtung zu beachtende Prozessschritte vor, um die Absicherung des Gesamtprozesses der Datenträgervernichtung zu gewährleisten und so auch die jeweiligen datenschutzrechtlichen Vorgaben zu erfüllen.

Übernahmeprotokoll – hier werden die Transfer-Informationen auf einen externen Dienstleister festgehalten: Name des Boten, Datenträgerkategorie, Datenträger- | Behältermenge oder -gewicht, wie – wann – wo zusammengestellt wurde.

Vernichtungsprotokoll – darin sind die Informationen zur Person, zum Gegenstand, zur Menge, zur Uhrzeit, zum Ort und zur Sicherheitsstufe nach DIN 66399-2 gelistet.