Daten- & Aktenvernichtung mit Schutzklasse 3 - das sollten Berufsgeheimnisträger wissen

Die Schutzklasse 3 (SK3) nach DIN 66399 / ISO 21964 bezeichnet den höchsten Schutzbedarf für personenbezogene Daten und ist für Berufsgeheimnisträger aus Medizin-, Rechts-, Steuerberufen und Behörden zwingend erforderlich. 

Daten, deren unbefugte Weitergabe gegen Berufsgeheimnisse, Verträge oder Gesetze verstößt und existenzbedrohende Auswirkungen haben kann, müssen nach diesen strengen Vorgaben vernichtet werden. 

Ein Verstoß gegen berufliche Schweigepflichten kann gemäß § 203 Strafgesetzbuch (StGB) mit Freiheitsstrafen bis zu einem Jahr oder Geldstrafe geahndet werden. 

Wir bieten Ihnen professionelle Datenvernichtung nach Schutzklasse 3 unter Einhaltung aller gesetzlichen und normativen Anforderungen - mit zertifizierten Prozessen und lückenloser Dokumentation.

Berufsgeheimnisträger nach § 203 StGB

Heilberufe & Gesundheitswesen

Ärzte, Zahnärzte, Apotheker, Tierärzte sowie weitere staatlich geregelte Heilberufe, Pflegefachkräfte, medizinische Assistenzberufe und psychologische Psychotherapeuten.

Rechts- & wirtschaftsberatende Berufe

Rechtsanwälte, Patentanwälte, Notare, Verteidiger, Steuerberater, Steuerbevollmächtigte, Wirtschaftsprüfer, vereidigte Buchprüfer sowie Angehörige entsprechender Berufsgesellschaften.

Sonstige mitwirkende Personen

Psychologen

Berufspsychologen mit staatlich anerkannter wissenschaftlicher Abschlussprüfung.

Anerkannte Beratungsstellen

Ehe-, Familien-, Erziehungs- und Jugendberatung, Suchtberatung sowie Beratungsstellen nach §§ 3 und 8 Schwangerschaftskonfliktgesetz.

Sozialberufe

Staatlich anerkannte Sozialarbeiter und Sozialpädagogen sowie vergleichbare Fachkräfte in öffentlichen oder freien Trägern, sofern ihnen beruflich Geheimnisse anvertraut werden.

Geistliche / Seelsorge

Geistliche und Religionsdiener, denen im Rahmen seelsorgerischer Tätigkeit Geheimnisse anvertraut werden.

Versicherungs- & Verrechnungsstellen

Angehörige privater Kranken-, Unfall- oder Lebensversicherer sowie privatärztliche, steuerberaterliche oder anwaltliche Abrechnungsstellen.

Sonstige mitwirkende Personen

Externe Dienstleister wie IT-Techniker, Wartungsfirmen, Schreib- oder Abrechnungsdienste, sofern sie in die Tätigkeit eines Berufsgeheimnisträgers einbezogen und zur Verschwiegenheit verpflichtet sind.

Was sind Schutzklassen und was bedeutet Schutzklasse 3?

Die internationale Norm ISO 21964 (in Deutschland bekannt als DIN 66399) definiert drei Schutzklassen, die den Schutzbedarf von Daten klassifizieren. 

Die Schutzklasse bestimmt, welche technischen und organisatorischen Maßnahmen bei der Datenträgervernichtung erforderlich ist. 

Die Einordnung in eine Schutzklasse obliegt dem Verantwortlichen (Datenbesitzer), der den Schutzbedarf der Daten unter Berücksichtigung von Datenschutzrecht, Geheimnisschutz sowie geschäftlichen und berufsrechtlichen Anforderungen festlegt.

Ergänzend zu den drei Schutzklassen definiert die Norm sieben Sicherheitsstufen, die die maximale Partikelgröße nach der Vernichtung festlegen. 

Je höher die Sicherheitsstufe, desto kleiner die verbleibenden Partikel und desto aufwendiger eine potenzielle Rekonstruktion der Informationen.

Schutzklassen und Sicherheitsstufen im Detail

 

Schutzklasse 3 im Detail

Schutzklasse 3 steht für einen sehr hohen Schutzbedarf und betrifft besonders vertrauliche und geheime Daten. Die ISO 21964 (DIN 66399) definiert diese Klasse wie folgt:

  • Eine unberechtigte Weitergabe hätte ernsthafte, existenzbedrohende Auswirkungen auf das Unternehmen und/oder würde gegen Berufsgeheimnisse, Verträge und Gesetze verstoßen.
  • Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein.
  • Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen.

Aus SK3 folgen erhöhte Anforderungen an den gesamten Vernichtungsprozess:

  • Datenvernichtung erfolgt mindestens mit Sicherheitsstufe 4.
  • Das Bedienpersonal darf grundsätzlich keinen Zugriff auf die zu vernichtenden Datenträger in Originalgröße haben.
  • Die Vernichtung muss am Tag der Übernahme erfolgen.
  • Verschlossene Sicherheitsbehälter und lückenlose Zugangskontrolle sind Pflicht.
  • Videoüberwachung des Vernichtungsvorgangs und die Möglichkeit zur Probenahme durch den Auftraggeber sind erforderlich.

Für welche Daten ist eine Aktenvernichtung mit Schutzklasse 3 angebracht?

Die Wahl der Schutzklasse hängt vom Schutzbedarf der zu vernichtenden Daten ab. Schutzklasse 3 ist angebracht, wenn:

  • Die Daten einem Berufsgeheimnis unterliegen (z. B. ärztliche Schweigepflicht, anwaltliches Mandatsgeheimnis, steuerberaterliche Verschwiegenheit).
  • Es handelt sich um besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO – etwa Gesundheitsdaten, biometrische Daten, Daten zur religiösen Überzeugung oder sexuellen Orientierung.
  • Die unbefugte Offenbarung existenzbedrohende wirtschaftliche oder rechtliche Folgen haben könnte.

Beispiele für Dokumententypen der Schutzklasse 3:

  • Patientenakten, Röntgenbilder und medizinische Befunde
  • Mandantenakten von Rechtsanwälten, Notaren und Steuerberatern
  • Personalakten mit sensiblen Informationen
  • Finanzielle Strategiepapiere und Forschungsunterlagen

Berufsgeheimnisträger müssen Daten, die ihrer Schweigepflicht unterliegen, grundsätzlich nach Schutzklasse 3 vernichten. Dies ergibt sich aus dem Zusammenspiel von § 203 StGB, den berufsrechtlichen Verschwiegenheitspflichten und den Anforderungen des Art. 32 DSGVO.

Was ist ein Berufsgeheimnisträger?

Berufsgeheimnisträger sind Personen, denen der Gesetzgeber aufgrund ihres besonderen Vertrauensverhältnisses zu ihren Klienten, Patienten oder Mandanten besondere Geheimhaltungspflichten auferlegt hat. Wer unbefugt ein ihm anvertrautes fremdes Geheimnis offenbart, macht sich nach § 203 StGB strafbar.

Die Rechtsgrundlagen ergeben sich primär aus:​

  • § 203 StGB (Verletzung von Privatgeheimnissen)
  • § 53 StPO (Zeugnisverweigerungsrecht)
  • Berufsrechtliche Vorschriften (z. B. BRAO, StBerG, ärztliche Berufsordnungen)

Berufsgeheimnisträger dürfen seit der Neuregelung des § 203 StGB im Jahr 2017 zwar externe Dienstleister einschalten, müssen jedoch bei der externen Vernichtung besondere Anforderungen einhalten, um sich nicht strafbar zu machen.

Was ist ein Berufsgeheimnisträger?

Das müssen Berufsgeheimnisträger bei der Beauftragung eines externen Dienstleisters beachten

Was muss der Geheimnisträger beachten?

Als Berufsgeheimnisträger tragen Sie die Verantwortung dafür, dass Privatgeheimnisse auch bei der Einschaltung Dritter geschützt bleiben. § 203 Abs. 3 StGB erlaubt zwar die Offenbarung gegenüber mitwirkenden Personen, jedoch nur unter strengen Voraussetzungen:

  • Erforderlichkeit prüfen: Die Offenbarung darf nur erfolgen, soweit dies für die Inanspruchnahme der Dienstleistung erforderlich ist. Bei der Datenvernichtung bedeutet dies: Der Dienstleister sollte keine Einsichtnahme in die Datenträger nehmen können.
  • Sorgfältige Auswahl des Dienstleisters: Gemäß Art. 28 Abs. 1 DSGVO dürfen nur Auftragsverarbeiter beauftragt werden, die hinreichende Garantien für geeignete technische und organisatorische Maßnahmen bieten.
  • Vertrag zur Auftragsverarbeitung: Ein schriftlicher Vertrag nach Art. 28 Abs. 3 DSGVO mit allen Mindestinhalten ist zwingend erforderlich.
  • Verschwiegenheitsverpflichtung: Der Dienstleister und seine Mitarbeiter müssen gemäß § 203 Abs. 4 StGB zur Geheimhaltung verpflichtet werden.
  • Regelmäßige Kontrolle: Die Einhaltung der vereinbarten Maßnahmen ist zu überwachen und zu dokumentieren.

Was muss ein Dienstleister erfüllen, um SK3 sicher umzusetzen?

Ein Dienstleister für Datenvernichtung nach Schutzklasse 3 muss folgende Voraussetzungen erfüllen:

  • Zertifizierter Vernichtungsprozess: Nachweis der Einhaltung von ISO 2196 (DIN 66399)Teil 3 durch unabhängige Prüfstellen.
  • Geeignete Vernichtungsanlagen: Maschinen müssen für die geforderte Sicherheitsstufe zertifiziert sein, mit Prüfzeugnis des Herstellers.
  • Geschlossene Prozesskette: Von der Übernahme über den Transport bis zur Vernichtung darf kein unbefugter Zugriff möglich sein.
  • Ausschluss der Kenntnisnahme: Das Bedienpersonal darf keinen Zugriff auf Datenträger in Originalgröße haben – die Zuführung erfolgt direkt oder über gesicherte Einrichtungen.
  • Redundanz und Verfügbarkeit: Bei Anlagenausfall muss eine taggleiche Vernichtung vor Ort sichergestellt werden können.
  • Dokumentation und Nachweis: Vernichtungszertifikate, Videoüberwachung und Probenahme-Möglichkeit für den Auftraggeber.

Anforderungen an die Datenvernichtung für juristische und wirtschaftsberatende Berufe

Rechtsanwälte, Notare, Steuerberater und Wirtschaftsprüfer arbeiten täglich mit hochsensiblen Informationen: Mandatsunterlagen, Finanzdaten, vertrauliche Verträge und personenbezogene Daten Dritter. 

Die verschiedenen berufsrechtlichen, steuerrechtlichen und handelsrechtlichen Vorgaben greifen hier ineinander und bestimmen exakt, wie lange solche Daten aufzubewahren sind und wann ihre Vernichtung zulässig oder sogar verpflichtend wird.

Für Kanzleien und wirtschaftsberatende Berufe ist eine sichere, dokumentierte und nachvollziehbare Datenvernichtung mit Schutzklasse 3 daher unverzichtbar – sowohl für die Einhaltung gesetzlicher Pflichten als auch für den Schutz der anvertrauten Informationen.

Confident banker reading financial papers while sitting in cafe

Berufsgruppen, die Akten & Daten immer mit Schutzklasse 3 vernichten sollten

Bestimmte Berufsgruppen unterliegen von Gesetzes wegen einer strafrechtlich sanktionierten Schweigepflicht gemäß § 203 StGB. 

Die ihnen anvertrauten Informationen genießen einen besonderen Schutz, der über die allgemeinen datenschutzrechtlichen Anforderungen hinausgeht. 

Für diese Berufsgruppen ist die Vernichtung nach Schutzklasse 3 nicht optional, sondern zwingende Voraussetzung für einen rechtskonformen Umgang mit Altdaten und digitalen Daten.

Berufsgruppen, die Daten immer mit Schutzklasse 3 vernichten sollten

Juristen – Wirtschaftsberufe

Zu den schweigepflichtigen Berufsgruppen im juristischen und wirtschaftlichen Bereich zählen insbesondere:​

  • Rechtsanwälte und Kammerrechtsbeistände
  • Notare
  • Steuerberater und Steuerbevollmächtigte
  • Wirtschaftsprüfer und vereidigte Buchprüfer
  • Patentanwälte

Diese Berufsgruppen verarbeiten hochsensible Informationen wie Mandantenakten, Finanzunterlagen, Verträge und strategische Dokumente. Die Verschwiegenheitspflicht erstreckt sich bereits auf den Umstand, dass überhaupt ein Mandatsverhältnis besteht.

Juristen – Wirtschaftsberufe

Warum ist SK3 erforderlich, um juristische Daten sicher zu vernichten?

  • Rechtsanwälte unterliegen der Verschwiegenheitspflicht nach § 43a Abs. 2 BRAO (Bundesrechtsanwaltsordnung), konkretisiert durch § 2 BORA (Berufsordnung für Rechtsanwälte). Die Pflicht bezieht sich auf alles, was dem Rechtsanwalt in Ausübung seines Berufes bekannt geworden ist – zeitlich unbegrenzt, auch nach Beendigung des Mandats.
  • Steuerberater sind nach § 57 Abs. 1 StBerG (Steuerberatungsgesetz) verpflichtet, ihren Beruf verschwiegen auszuüben. Diese Pflicht wird durch § 5 BOStB (Berufsordnung der Steuerberater) ergänzt und erstreckt sich auf alles, was in Ausübung des Berufes oder bei Gelegenheit der Berufstätigkeit bekannt geworden ist.
  • Notare unterliegen der Verschwiegenheitspflicht nach § 18 BNotO (Bundesnotarordnung). Diese bleibt auch nach dem Erlöschen des Amtes bestehen und umfasst alles, was dem Notar bei Ausübung seines Amtes bekannt geworden ist.​
  • Wirtschaftsprüfer müssen ihren Beruf nach § 43 WPO (Wirtschaftsprüferordnung) verschwiegen ausüben. Die Verpflichtung beschäftigter Personen ist in § 50 WPO geregelt, die Verschwiegenheitspflicht bei Einschaltung von Dienstleistern in § 50a WPO

Medizinische Berufsgruppen

Die ärztliche Schweigepflicht ist eine tragende Säule des Arzt-Patienten-Verhältnisses. Zu den schweigepflichtigen medizinischen Berufen gehören:

  • Ärzte, Zahnärzte und Tierärzte
  • Apotheker
  • Psychotherapeuten und Berufspsychologen
  • Angehörige anderer Heilberufe mit staatlich geregelter Ausbildung

Medizinische Einrichtungen verarbeiten Gesundheitsdaten, die nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten zählen und einem erhöhten Schutzbedarf unterliegen. Patientenakten, Befunde, Röntgenbilder und Therapiedokumentationen enthalten höchstpersönliche Informationen.

Medizinische Berufsgruppen

Warum ist für medizinische Daten eine Vernichtung mit SK3 zwingend?

Die ärztliche Schweigepflicht ist eine tragende Säule des Arzt-Patienten-Verhältnisses und in mehreren Rechtsgrundlagen verankert:

  • Ärzte, Zahnärzte und Tierärzte unterliegen der Schweigepflicht nach § 9 MBO-Ä (Muster-Berufsordnung für Ärzte) bzw. den entsprechenden Berufsordnungen der Landesärztekammern. Ärzte haben über das, was ihnen in ihrer Eigenschaft als Arzt anvertraut oder bekannt geworden ist, zu schweigen - auch über den Tod des Patienten hinaus. Dies umfasst schriftliche Mitteilungen, ärztliche Aufzeichnungen, Röntgenaufnahmen und sonstige Untersuchungsbefunde.
  • Apotheker sind als Angehörige eines Heilberufs ebenfalls von § 203 Abs. 1 Nr. 1 StGB erfasst und unterliegen berufsrechtlich der Verschwiegenheitspflicht nach der jeweiligen Berufsordnung der Apothekerkammer.
  • Psychotherapeuten unterliegen der Schweigepflicht nach § 8 der Muster-Berufsordnung der Psychotherapeutenkammern. Sie sind zur Verschwiegenheit über Behandlungsverhältnisse und über das verpflichtet, was ihnen im Kontext ihrer beruflichen Tätigkeit durch und über Patienten anvertraut und bekannt geworden ist - auch über den Tod der betreffenden Personen hinaus.

Alle genannten Berufsgruppen sind strafrechtlich durch § 203 Abs. 1 Nr. 1 StGB geschützt und gebunden. 

Bei Verstößen droht Freiheitsstrafe bis zu einem Jahr oder Geldstrafe. Zusätzlich genießen Gesundheitsdaten als besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO einen erhöhten datenschutzrechtlichen Schutz.

Die Mitarbeiter sind gemäß § 9 Abs. 3 MBO-Ä über die gesetzliche Pflicht zur Verschwiegenheit zu belehren; dies ist schriftlich festzuhalten. 

Bei der Vernichtung durch externe Dienstleister darf das Entsorgungsunternehmen keinerlei Möglichkeit zur Einsichtnahme in die zu vernichtenden Daten erhalten.

Dürfen Berufsgeheimnisträger externe Dienstleister mit der Aktenvernichtung beauftragen?

Ja, seit der Neufassung des § 203 StGB im Jahr 2017 ist die Einschaltung externer Dienstleister ausdrücklich gestattet. Voraussetzung ist jedoch, dass der Dienstleister zur Verschwiegenheit verpflichtet wird und ein Vertrag zur Auftragsverarbeitung geschlossen wird. Die Offenbarung muss zudem auf das erforderliche Maß beschränkt sein.

Welche Sicherheitsstufe benötige ich für Patientenakten?

Für Patientenakten und andere Gesundheitsdaten ist mindestens Sicherheitsstufe P-4 erforderlich, empfohlen wird P-5. Die Vernichtung muss nach Schutzklasse 3 erfolgen.

Was passiert bei einem Verstoß gegen die Schweigepflicht durch unsachgemäße Aktenvernichtung?

Ein Verstoß gegen § 203 StGB kann mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe geahndet werden. Darüber hinaus drohen berufsrechtliche Konsequenzen durch die zuständige Kammer sowie zivilrechtliche Haftungsansprüche. Datenschutzverstöße können zusätzlich mit Bußgeldern nach Art. 83 DSGVO sanktioniert werden.

Muss ich als Berufsgeheimnisträger bei der Vernichtung persönlich anwesend sein?

Nein, eine persönliche Anwesenheit ist nicht erforderlich, wenn der gesamte Prozess so organisiert ist, dass keine unbefugte Kenntnisnahme möglich ist – etwa durch verschlossene Sicherheitsbehälter, automatische Zuführung zur Vernichtungsanlage und zertifizierte Prozesse. Alternativ bieten wir auch die begleitete Vernichtung an.

Wie lange müssen Berufsgeheimnisträger Akten aufbewahren?

Die Aufbewahrungsfristen variieren je nach Berufsrecht und Dokumententyp. Steuerberater müssen Handakten zehn Jahre aufbewahren (§ 66 StBerG), Rechtsanwälte fünf Jahre (§ 50 BRAO), wobei aus Haftungsgründen zehn Jahre empfohlen werden. Für medizinische Unterlagen gelten meist zehn Jahre, bei Röntgenaufnahmen bis zu 30 Jahre.