Laborführung


DIN 66399 – ein neuer Standard zur Vernichtung von Datenträgern

Im Oktober vergangenen Jahres ist die neue deutsche Industrienorm DIN 66399 in Kraft getreten. Sie enthält Sicherheitskonzepte, die eine datenschutzkonforme Vernichtung von Datenträgern ermöglichen. Die DIN erläutert nicht nur, wie die konkrete Vernichtung vollzogen werden soll, es finden sich auch organisatorische Regeln für den Ablauf.

Immer wieder gibt es Datenskandale. Gemeint sind nicht PRISM oder das Echelon-System, sondern die Fälle, in denen Nachlässigkeit zu Aufruhr (www.projekt-datenschutz.de) in der Presse führt, wie zum Beispiel Container voller Krankenakten, die verschwinden, vor dem Finanzamt herumliegende Akten, Bewerberdaten im Internet – die Liste ist lang. Ein Grund, weshalb es zu einer solchen Nachlässigkeit mit alten Datenbeständen kommt, liegt unter anderem darin, dass lange unklar war, wie mit diesen zu verfahren ist. Einem Datenschutzbeauftragten eines Unternehmens wird bewusst sein, dass nicht mehr erforderliche Daten gelöscht werden müssen. Es ist ein zentraler Grundsatz des Bundesdatenschutzgesetzes (§ 35 BDSG), dass Daten gelöscht werden müssen, wenn der Zweck der Erhebung wegfällt. Die Frage war nur lange, wie diese Löschung vorgenommen werden sollte.

In Anpassung an die Erfordernisse der digitalen Datenträger wurde nunmehr eine deutsche Industrienorm (DIN) entwickelt, die DIN 66399, welche am 01. Oktober 2013 veröffentlicht wurde. Sie enthält Sicherheitskonzepte, die eine datenschutzkonforme Vernichtung ermöglichen. Diese wurden auch weitgehend vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen technischen Leitlinien (TL 03420) und in den BSI-Grundschutzkatalog übernommen (M 2.167). In diesem Normenkatalog vollzieht sich eine zweifache Sicherheitseinstufung der zu löschenden Daten, an die anschließend entsprechende Voraussetzungen für die Vernichtung der jeweils verschiedenen Datenträger geknüpft werden.

Einteilung der Daten in verschiedene Schutzklassen und Sicherheitsstufen

##pic_2_r##Zuerst werden die Datenbestände in drei Schutzklassen eingeteilt. Schutzklasse 1 umfasst einfache Unternehmensinterna, Schutzklasse 2 vertrauliche Daten, wie zum Beispiel Finanzbuchhaltungsunterlagen, und Schutzklasse 3 geheime Daten, wie zum Beispiel Forschungsund Entwicklungsunterlagen eines Unternehmens, oder der gesetzlichen Schweigepflicht unter liegende Daten. Ist die Schutzklasse definiert, wird eine Sicherheitsstufe für die Vernichtung der Datenträger festgelegt. Es existieren die Sicherheitsstufen 1 bis 7, die festlegen, wie sicher eine Reproduktion der zu vernichtenden Daten ausgeschlossen werden soll.

Regeln für den Ablauf der Vernichtung

Die in drei Teile aufgespaltete DIN 66399 erläutert dabei nicht nur, wie die konkrete physische Vernichtung vollzogen werden soll. Es finden sich auch organisatorische Regeln für den Ablauf der Vernichtung. Es wird beispielsweise auch festgelegt, wie der Kontakt zwischen Vernichtungsdienstleister und den Datenträgern auszusehen hat, respektive wie diese zu übergeben sind oder wie der Betrieb des Vernichtungsdienstleisters gesichert sein muss.

Mit Veröffentlichung dieser DIN werden Pflichten, die das BDSG den einzelnen Unternehmen auferlegt, konkretisiert. Das betrifft auch die Pflicht der Datenschutzbeauftragten vieler Unternehmen, eine Vernichtung von Datenträgern sicherzustellen, die dem Standard der DIN 66399 genügt. Wenn die Vernichtung regelmäßig einem Dritten übertragen wird, liegt eine sogenannte Auftragsdatenverarbeitung im Sinne des § 11 BDSG vor. Das heißt unter anderem, dass ein Dritter im Auftrag eines anderen mit dessen Daten eine Verarbeitung vornimmt. Unter Verarbeitung fällt auch das Vernichten, weil dies dem Löschen gemäß § 3 IV Nr. 5 BDSG gleichkommt. Den einzelnen Unternehmer trifft mit der neuen DIN die Pflicht sicherzustellen, dass seine Datenträger nach dem aktuellen Standard vernichtet werden. Als probates Mittel erweist sich hier die Auftragsdatenverarbeitung mit einem entsprechenden Dienstleister.

Die Vernichtung seiner Datenträger nicht nach diesem neuen Standard zu veranlassen, birgt, wie im Datenschutzrecht üblich, die Gefahr von Bußgeldern. Erheblicher kann jedoch das gestiegene Interesse der Öffentlichkeit sein, das im Fall einer Datenpanne wesentlichen Schaden am Ruf des Unte rnehmens auslösen kann. Das Datenschutzrecht hat daher eine erhebliche Relevanz für die Organisation des betrieblichen Alltages. Damit betrifft das Datenschutzrecht insbesondere den Bereich der Compliance im Unternehmen.

Fazit

Jedes Unternehmen sollte daher schnellstens überprüfen, ob die Löschung der Daten nach dieser neuen Deutschen Industrienorm auch umgesetzt wird beziehungsweise entsprechende Dienstleister danach fragen.

Näheres zum Autor des Fachbeitrages: RA Manfred Wagner