6 Bewertungen

Datenträgervernichtung nach der DSGVO und dem BDSG

Die Datenträgervernichtung nebst den darauf gespeicherten Daten ist ein wesentlicher Bestandteil der Datenverwaltung. Sie beginnt mit der Datenerfassung und endet mit der Datenvernichtung. Maßgebliche Rechtsgrundlagen zur Datenträgervernichtung, zum USB-Sticks vernichten oder zum CDs vernichten ist die Datenschutz-Grundverordnung DSGVO sowie das Bundesdatenschutzgesetz BDSG. Grundsätzlich gilt: Wer Daten für gewerbliche Zwecke erfasst, speichert und verwaltet, der sollte sie anschließend auch professionell vernichten lassen. Ein dafür zertifiziertes Entsorgungsunternehmen übernimmt mit Übergabe der zu vernichtenden Datenträger die Verantwortung und Haftung für eine vorschriftsmäßige Datenträgervernichtung.

DIN 66399 - Allgemeine Grundlage zur Datenträgervernichtung

DIN 66399 - Allgemeine Grundlage zur Datenträgervernichtung

Hier in Deutschland sind die Einzelheiten zum Vernichten von Datenträgern in der DIN 66399 geregelt. Sie berücksichtigt die Besonderheiten der vielseitigen Datenträger und legt für den Bereich von Büro- und Datentechnik die Standards fest. Darunter werden auch das Vernichten von Magnetbändern oder das Vernichten von Speicherkarten erfasst. 

Die DIN 66399 ist dreiteilig gegliedert in

  • Grundlagen und Begriffe
  • Anforderungen an Maschinen zur Vernichtung von Datenträgern
  • Technische sowie organisatorische Anforderungen an die Prozesse der Datenträgervernichtung

Heutzutage ist das Vernichten von USB-Sticks oder das Vernichten von CDs ebenso unentbehrlich, wie die Vernichtung älterer Datenträger, bis hin zu den Disketten aus vergangenen Jahrzehnten. Viele der herkömmlichen Datenträger sind mit den heutigen Betriebssystemen und Software nicht mehr kompatibel. Die bisherigen Datenbestände werden konvertiert und neu gespeichert. Spätestens jetzt ist der bisherige Datenträger überflüssig. Er kann und muss so entsorgt werden, dass vom Träger und den darauf gespeicherten Daten buchstäblich nichts mehr übrigbleibt. 

Schutzklassen und Sicherheitsstufen zum Datenträger und Magnetbänder vernichten

Die DIN 66399 unterscheidet gespeicherte und zu vernichtende Daten nebst deren Träger in die drei Schutzklassen für interne und für vertrauliche Daten sowie in den „sehr hohen Schutzbedarf für besonders vertrauliche und geheime Daten“. Die Datenträger mit den gespeicherten Daten werden in insgesamt sieben Sicherheitsstufen aufgeteilt. Die unterste Stufe 1 gilt für allgemeines, gespeichertes Schriftgut, das unleserlich gemacht oder entwertet wird. Ab der Stufe 2 steigert sich das Sicherheitsbedürfnis für die Datenvernichtung bis hin zur Stufe 7 für absolut strengst geheim zuhaltende Daten, für deren Verwaltung und Vernichtung höchste Sicherheitsvorkehrungen einzuhalten sind. 

Die Datenträger selbst lassen sich unterteilen in:

  • magnetische Datenträger (Diskette, ID-Karte)
  • optische Datenträger (CD, DVDs)
  • Halbleiterspeicher (Chipkarte)
  • Film und Mikrofilm
  • ….. sonstige elektronische Datenträger
Schutzklassen und Sicherheitsstufen zum Datenträger und Magnetbänder vernichten

Sicherheitsbehälter für Datenträger und Speicherkarten

Sicherheitsbehälter für  Datenträger und Speicherkarten

Die MAMMUT Deutschland GmbH & Co. KG ist ein in Hamburg ansässiges Unternehmen; gleichzeitig ist MAMMUT die Dachmarke für eine deutschlandweite Datenträger- und Aktenvernichtung. Über das Bundesgebiet sind etwa ein Dutzend Standorte verteilt, von denen aus ein Full-Service angeboten wird. Für den Transport stehen Sicherheitsbehälter mit unterschiedlichem Fassungsvolumen zur Verfügung. Die Sicherheitsbehälter sind mit einem Einwurfschlitz im Behälterdeckel ausgestattet und in der Regel mit einem gummierten Randschutz versehen. Zur Wahl stehen das Behältersystem mit integriertem Schloss als K-Serie, das mit einer Schließung per Zahlenschloss als I-Serie sowie der Sicherheitsbehälter mit integriertem Schredderkopf, die M-Serie. Sie wird für das direkte Vernichten von geheimen Daten vor Ort bevorzugt. Alle Standorte von MAMMUT sind dazu zertifiziert, Datenträger für alle Schutzklassen zu vernichten. Das geschieht überall nach dem Qualitätsstandard der ISO 9001-2015 sowie gemäß DIN  66399.

Fazit zur Datenträgervernichtung

Auf die Datenträgervernichtung durch einen externen Dienstleister kann der Unternehmer aus verschiedenen Gründen nicht verzichten. Mit der Verwaltung übernimmt er auch die Datenverantwortung nach DSGVO und BDSG. Von dieser Verantwortung ist er erst dann befreit, wenn die Datenträger sowie die darauf gespeicherten Daten vorschriftsmäßig gelöscht beziehungsweise vernichtet sind.

Dafür übernimmt ein nach der DIN 66399 zertifizierter Dienstleister die Zuständigkeit und Verantwortung. Entscheidend für beide Seiten ist die Dokumentation von der Übergabe beziehungsweise Übernahme aller zu vernichtenden Datenträger bis zur Vernichtung.