Daten vernichten – Neuerungen

Seit Anfang des Jahres gelten neue Regeln bei der Datenträgervernichtung. Die bisherige DIN 32757 wurde durch die DIN 66399 abgelöst. Dabei wurden nicht nur technische Details wie Zerkleinerungsgrößen, sondern auch Prozessabläufe insgesamt geregelt. Zudem wird der Vernichtungsprozess nun nach Sicherheitsstufe und Schutzklasse ausgerichtet.

Die Sicherheitsstufe umschreibt  abstrakt den Aufwand, der (theoretisch) für die Wiederherstellung vernichteter Informationen zu treiben wäre. Sie enthält zudem Festlegungen zur maximalen Teilchengröße und zur sonstigen Behandlung (z.B.  Verbrennen zu Asche) geshredderter Dokumente/Datenträger. Es gibt sieben Sicherheitsstufen (bisher fünf bzw. sechs), wobei jedoch z.B. Sicherheitsstufe 1 und 2 für personenbezogene Daten von vorneherein nicht geeignet sind.

Vorausgelagert ist diesem die Ermittlung der Schutzklasse (im Sinne von  Wirtschaftlichkeitsüberlegungen zum Verfahren). Die Schutzklasse orientiert sich scheinbar an den Stufen der auch ansonsten verbreiteten dreistufigen Schutzbedarfsbemessung.

Die Schutzklassen werden anschließend in einer weiteren Abwägung den sieben Sicherheitsstufen zugeordnet.

In den weiteren Teilen der DIN werden die jeweiligen (Zerklerinerungs-) Anforderungen an die Sicherheitsstufen definiert. Dabei enthält der Teil 3 (endlich) auch Vorgaben zur sonstigen Datenträgervernichtung (Mikrofilme, CDs, Festplatten, Speichersticks, Speicherchips…) inklusive Vorgaben zu zugehörigen Prozessen.

Auch wenn Altverträge in der Regel weiter in der bisherigen Weise abgewickelt werden, ist seitens der abgebenden Stelle (in der Regel verantwortliche, datenverarbeitende Stelle im Sinne der Auftragstdatenverarbeitung) im Zweifel zu überprüfen, ob den nun aktuellen Vorgaben noch ausreichend entsprochen wird.

11. Februar 2013 | Veröffentlicht von Ansgar Heitkamp
Veröffentlicht unter Datenschutz allgemein
Verschlagwortet mit , ,

Schreiben Sie einen Kommentar