DIN 66399 in der Daten- und Aktenvernichtung
Die DIN 66399 ist eine Norm zur Daten- und Aktenvernichtung, die im September 2012 die DIN 32737 ablöste. Eine Überarbeitung der alten Norm war notwendig, da viele der vorhandenen Formulierungen nicht eindeutig waren und einen großen Interpretationsspielraum erlaubten.
Um die neuen Regelungen klar zu definieren, fanden sich verschiedene Interessensgruppen im DIN-Ausschuss zusammen. Dazu gehörten unter anderem Maschinenhersteller, das Bundesamt für Sicherheit in der Informationstechnologie (BSI) sowie mehrere Aktenvernichtungsdienstleister. Heute gilt die DIN 66399 sogar als internationale Norm, bekannt unter dem Kürzel ISO 21964.
Die DIN 66399 besteht offiziell aus zwei Teilen, die als Normen anerkannt sind. Der dritte Teil der DIN 66399 (SPEC) gilt bislang als Vornorm, das heißt sein Status als offizielle Norm steht noch aus.
DIN 66399 Teil 1 (Begriffe und Grundlagen)
Die DIN 66399-1, der erste Teil der DIN 66399, definiert die Begrifflichkeiten und beschreibt die Grundlagen der Norm.
1. Grundlagen
Die DIN 66399 ist für Personen von Bedeutung, die mit vertraulichen, personenbezogenen Daten arbeiten. Diese Personen sind dazu verpflichtet, eine datenschutzkonforme, sichere Daten- und Aktenvernichtung nach DIN 66399 sicherzustellen.
Das bedeutet: Es darf keine Möglichkeit bestehen, aus den vernichteten Daten (ohne größeren Aufwand) noch Informationen zu ziehen oder sie wiederherzustellen.
Die notwendigen Maßnahmen zur Aktenvernichtung nach DIN 66399 sind davon abhängig, wie sensibel und schutzbedürftig die Daten sind und welche physikalischen Eigenschaften das Speichermedium aufweist.
2. Die wichtigsten Begriffe
- Personenbezogene Daten: Informationen über eine natürliche Person.
- Daten: Informationen, die durch Menschen oder Maschinen ausgewertet werden können
- Informationen: Fakten mit einer Aussagekraft
- Datenverarbeitung im Auftrag: Das Erheben, Verarbeiten, Speichern, Nutzen und Löschen von Daten durch dritte Personen (Dienstleister), die damit beauftragt wurden
- Datenträgervernichtung: Alle Prozesse, welche den Datenträger in einer Weise zerstören, die eine Datenwiederherstellung unmöglich oder nur noch unter besonderem Aufwand möglich macht
- Sicherheitsstufe: Schwierigkeitsgrad, der notwendig wäre, um die Daten nach gesetzeskonformer Vernichtung wiederherzustellen
- Schutzbedarf: Ausmaß, in dem die Daten geschützt werden müssen; der Schutzbedarf kann normal, hoch oder sehr hoch sein
- Schutzklasse: Clustering, das den Schutzbedarf von Informationen betrifft
- Verantwortliche Stelle: Die Person oder Firma, die mit sensiblen Daten arbeitet
3. Festlegung des Schutzbedarfs und der Schutzklasse
Die verantwortliche Stelle ordnet die Daten nach ihrem Schutzbedarf einer entsprechenden Schutzklasse und Sicherheitsstufe zu. Je nach Einstufung unterscheiden sich die laut DIN 66399 vorgeschriebenen Abläufe bei der Daten- und Aktenvernichtung.
4. Die Schutzklassen
- Schutzklasse 1: Durchschnittlicher Schutzbedarf interner Daten
Informationen mit einer großen Zielgruppe
Eine Verletzung des Datenschutzes hätte begrenzte negative Folgen für das Unternehmen.
Eine Verletzung des Datenschutzes hätte möglicherweise zur Folge, dass Betroffene in ihren wirtschaftlichen Verhältnissen oder in ihrer gesellschaftlichen Stellung Nachteile erfahren.
- Schutzklasse 2: Hoher Schutzbedarf vertraulicher Daten
Informationen mit einer vorab festgelegten kleinen Zielgruppe.
Eine Verletzung des Datenschutzes hätte massive Auswirkungen auf das Unternehmen, gegebenenfalls einen Verstoß gegen Vertragspflichten oder gegen Gesetze zur Folge.
Eine Verletzung des Datenschutzes hätte möglicherweise zur Folge, dass Betroffene in ihren wirtschaftlichen Verhältnissen oder in ihrer gesellschaftlichen Stellung erhebliche Nachteile erfahren.
- Schutzklasse 3: Sehr hoher Schutzbedarf streng geheimer Daten
Informationen mit einer vorab festgelegten sehr kleinen, namentlich festgelegten Personengruppe.
Eine Verletzung des Datenschutzes hätte für Betroffene existenzbedrohende Auswirkungen, möglicherweise sogar eine Gefahr für Leib und Leben sowie einen Verstoß gegen Gesetze, Verträge oder Berufsgeheimnisse zur Folge.
5. Sicherheitsstufen
Sicherheitsstufe | Wiederherstellung der Daten |
1 | Allgemeine Daten – Wiederherstellung mit einfachem Aufwand |
2 | Interne Daten – Wiederherstellung mit besonderem Aufwand |
3 | Sensible Daten – Wiederherstellung mit erheblichem Aufwand |
4 | Besonders sensible Daten – Wiederherstellung mit außergewöhnlichem Aufwand |
5 | Geheim zu haltende Daten – Wiederherstellung mit nicht definierbarem Aufwand |
6 | Geheime Hochsicherheits-Daten – Wiederherstellung aktuell technisch nicht möglich |
7 | Top Secret Hochsicherheits-Daten – Wiederherstellung ausgeschlossen |
6. Kombination von Sicherheitsstufen und Schutzklassen
Die folgende Tabelle dient Ihnen als Orientierungshilfe, welche Kombinationen aus Sicherheitsstufen und Schutzklassen der DIN-Ausschuss für Ihre Daten empfiehlt. Unter anderem wird ersichtlich, dass beispielsweise eine sehr niedrige Schutzklasse kombiniert mit einer sehr hohen Sicherheitsstufe wenig sinnvoll ist.
Für die korrekte Einstufung ist immer die verantwortliche Stelle zuständig.
7. Zuordnung zu den Sicherheitsstufen und Schutzklassen
Die Tabelle kann als Richtlinie für die Zuordnung herangezogen werden, letztendlich ist jedoch immer der Einzelfall entscheidend und bedarf einer individuellen Risikoanalyse.
Fällt für Ihre Daten- und Aktenvernichtung Material verschiedener Schutzklassen an, dürfen Sie die Trennung an der Abfallstelle vornehmen. Sollte dies nicht möglich sein, gelten Ihre Datenträger mit der höchsten Sicherheitsstufe und Schutzklasse als maßgeblich für das gesamte Gemisch.
Zuordnung Schutzklassen/Sicherheitsstufen | S1 | S2 | S3 | S4 | S5 | S6 | S7 |
Schutzklasse 1 | x | x | x | ||||
Schutzklasse 2 | x | x | x | ||||
Schutzklasse 3 | x | x | x | x | x |
8. Sicherheitsstufenerhöhung
Wenn Sie Ihre Daten- und Aktenvernichtung in einer Großanlage vornehmen lassen, ist gemäß DIN 66399 bei Papier eine höhere Sicherheitsstufe vorliegend, als es gemäß der Partikelgröße der Fall wäre: Da große Mengen verschiedener Daten miteinander vermischt und verpresst werden, ist die Wiederherstellung erheblich schwieriger als in einer Kleinanlage bei gleicher Partikelgröße.
Die MAMMUT Deutschland betreibt entsprechende Großanlagen.
Die Hochstufung kann um maximal eine Sicherheitsstufe und bis zur Sicherheitsstufe 4 erfolgen.
DIN 66399 Teil 2 (Voraussetzungen für die Maschinen zur Daten- und Aktenvernichtung)
Der zweite Teil der DIN 66399 (DIN 66399-2) legt die Anforderungen an die Maschinen zur Daten- und Aktenvernichtung fest.
1. Berücksichtigung verschiedener Materialien
Die DIN 66399 differenziert erstmalig zwischen den verschiedenen Materialarten:
P | Darstellung der Informationen in Originalgröße (zum Beispiel Papier, Druckform, Film) > siehe Aktenvernichtung |
F | Darstellung der Informationen verkleinert (zum Beispiel Microfilm, Folie) > siehe Datenträgervernichtung |
O | Darstellung der Informationen auf optischen Datenträgern (zum Beispiel CD, DVD) > siehe Datenträgervernichtung |
T | Darstellung der Informationen auf magnetischen Datenträgern (Diskette, Magnetbandkassette, ID-Karte) > siehe Datenträgervernichtung |
H | Darstellung der Informationen auf Festplatten mit magnetischen Datenträgern > siehe Festplattenvernichtung |
E | Darstellung der Informationen auf elektronischen Datenträgern (zum Beispiel Chipkarte, Speicherstick, mobile Kommunikationsmittel, Halbleiterfestplatte) > siehe Datenträgervernichtung |
Da sich die Speicherdichten je nach Material unterscheiden, gelten zum Erreichen des notwendigen Sicherheitslevels verschiedene Mindestpartikelgrößen.
Ohne eine Trennung nach Materialarten gilt die kleinste erforderliche Partikelgröße für das gesamte Gemisch.
2. Die sieben Sicherheitsstufen, auch für Ihre Aktenvernichtung
Material zur Daten- und Aktenvernichtung kann in sieben verschiedene Sicherheitsstufen eingeteilt werden, die unterschiedliche Mindestpartikelgrößen vorschreiben.
Größere Partikel sind nur dann akzeptabel, wenn sie maximal 10 Prozent der Gesamtmasse ausmachen und eine definierte Maximalgröße nicht überschreiten (siehe Tabelle).
Sicherheitsstufe | maximale | maximale |
Partikelgröße | Partikelgröße | |
(Regel) | bei max. | |
in mm² | 10% | |
in mm² | ||
Materialart: P Aktenvernichtung | ||
P1 | 2000 | 3800 |
P2 | 800 | 2000 |
P3 | 320 | 800 |
P4 | 160 | 480 |
P5 | 30 | 90 |
P6 | 10 | 30 |
P7 | 5 | 0 |
Materialart: F Datenträgervernichtung | ||
F1 | 160 | 480 |
F2 | 30 | 90 |
F3 | 10 | 30 |
F4 | 2,5 | 7,5 |
F5 | 1 | 3 |
F6 | 0,5 | 1,5 |
F7 | 0,2 | 0 |
Sicherheitsstufe | maximale | maximale |
Partikelgröße | Partikelgröße | |
(Regel) | bei max. | |
in mm² | 10% | |
in mm² | ||
Materialart: O Datenträgervernichtung | ||
O1 | 2000 | 3800 |
O2 | 800 | 2000 |
O3 | 160 | 480 |
O4 | 30 | 90 |
O5 | 10 | 30 |
O6 | 5 | 15 |
O7 | 0,2 | 0,5 |
Materialart: T Datenträgervernichtung | ||
T1 | – | – |
T2 | 2000 | 3800 |
T3 | 320 | 800 |
T4 | 160 | 480 |
T5 | 30 | 90 |
T6 | 10 | 30 |
T7 | 2,5 | 7,5 |
Materialart: H Festplattenvernichtung | ||
H1 | – | – |
H2 | – | – |
H3 | – | – |
H4 | 2000 | 3800 |
H5 | 320 | 800 |
H6 | 10 | 30 |
H7 | 5 | 15 |
Materialart: E Datenträgervernichtung | ||
E1 | – | – |
E2 | – | – |
E3 | 160 | 480 |
E4 | 30 | 90 |
E5 | 10 | 30 |
E6 | 1 | 3 |
E7 | 0,5 | 1,5 |
DIN 66399 SPEC Teil 3 (Prozess der Datenträgervernichtung)
Obwohl der dritte Teil der DIN 66399 (DIN 66399-3) noch als “Vor-Norm” (SPEC) gilt, wird er im gewerblichen Umfeld häufig bereits als Norm herangezogen.
1. Prozessabschnitte
Die Daten- und Aktenvernichtung umfasst verschiedene Prozessabschnitte, die bestimmte Sicherheitsanforderungen erfüllen müssen. Diese muss die verantwortliche Stelle überwachen; auch, wenn die Vernichtung durch einen Dienstleister erfolgt.
Nach Erreichen der vereinbarten Sicherheitsstufe gelten die Daten als gelöscht.
In der Regel erfolgt eine Arbeitsteilung zwischen dem externen Dienstleister und der verantwortlichen Stelle. Die Aufgabenabgrenzung sowie die organisatorischen und technischen Maßnahmen müssen genau geplant und vertraglich festgelegt werden.
2. Prozessvarianten
Generell gibt es drei verschiedene Prozessvarianten zur Daten- und Aktenvernichtung nach DIN 66399:
- Variante 1: Die verantwortliche Stelle vernichtet ihre Daten selbstständig.
- Variante 2: Ein Dienstleister vernichtet die Daten bei der verantwortlichen Stelle vor Ort.
- Variante 3: Die Datenträgervernichtung erfolgt extern durch einen Dienstleister.
3. Festlegung der Risikostruktur
Ehe Sie eine Prozessvariante umsetzen, müssen Sie überprüfen, ob die organisatorischen und technischen Anforderungen tatsächlich erfüllt werden.
Um die Sicherheitsstufe und Schutzklasse zu definieren, müssen Sie sich folgende Fragen stellen:
- Welche Informationen gehören in welche Schutzklassen?
- Welche Sicherheitsstufe ist angebracht?
- Welche der drei möglichen Varianten ist in Ihrem Fall am besten geeignet?
- Welche organisatorischen und technischen Maßnahmen müssen für den Gesamtprozess definiert werden?
4. Prozesskriterien
Der dritte Teil der DIN 66399 zeigt Ihnen die Kriterien für die möglichen Varianten der Datenträgervernichtung auf. Gemäß diesen Kriterien sind unterschiedliche Schutzklassen erforderlich. Die nachfolgende Tabelle beinhaltet die Kriterien der Variante 3.
Prozessabschnitt | Kriterium | Erfüllung des Kriteriums für die Schutzklasse | ||
1 | 2 | 3 | ||
Organisation | Festlegung der Sicherheitsstufen. | x | x | x |
Regelmäßige Probeentnahme ist zu kontrollieren. | x | x | ||
Vernichtung | Einsatz passender Maschinen zur Vernichtung. | x | x | x |
Personal | Verpflichtung auf das Datengeheimnis. | x | x | x |
Begleitung von Besuchern und Anlieferern. | x | x | x | |
Besucherausweis notwendig. | x | x | x | |
Organisation (verantw. Stelle) | Technische und organisatorische Maßnahmen sind kundenseitig zu definieren. | x | x | x |
Prozessabschnitt | Kriterium | Erfüllung des Kriteriums für die Schutzklasse | ||
1 | 2 | 3 | ||
Organisation (Dienstleister) | Technische und organisatorische Maßnahmen für die Vernichtungseinrichtung sind zu definieren. | x | x | x |
Maschinenzertifikat | x | x | x | |
Notfallkonzept | x | x | ||
Möglichkeit zur Überwachung der Vernichtung. | x | x | ||
Sammlung/ Lagern/ Transport | geschlossene und verschlossene Sicherheitsbehälter | x | x | |
Übernahmeprotokoll | x | x | x | |
geschlossener Bereich – kein Zugriff auf Daten | x | x | ||
Bei Vermischung, Verwendung der jeweils höchsten Stufe. | x | x | ||
Die Lagerung und Entleerung der Sicherheitsbehälter im geschlossenen und überwachten Bereich | x | x | ||
Einbruchmeldeanlage | x | x | ||
Prozessabschnitt | Kriterium | Erfüllung des Kriteriums für die Schutzklasse | ||
1 | 2 | 3 | ||
Transport | Fahrzeuge mit geschlossenem und verschlossenem Aufbau. | x | x | |
passives GPS-Ortungssystem | x | x | ||
Vernichtung | Grundsätzlich kein Zugriff auf die zu vernichtenden Datenträger. | x | ||
Videoüberwachung | x | |||
Probeentnahme möglich | x | |||
taggleiche Vernichtung | x | |||
Sicherheitszone | x | x | x | |
Betriebsgebäude mit massiver Bauausführung. | x | x | ||
Schleuse | x | x | ||
optische oder akustische Meldeeinrichtung an Türen/Toren | x | x | ||
automatische Meldung an den örtlichen Sicherheitsbeauftragten. | x | |||
Videoüberwachung | x | x | ||
Redundanz der Maschinen. | x |
Zertifizierungsmöglichkeiten bei der Daten- und Aktenvernichtung nach DIN 66399
Da die DIN 66399 genau definiert, welche Voraussetzungen für das Erreichen der verschiedenen Sicherheitsstufen und Schutzklassen erfüllt werden müssen, sind entsprechende Zertifizierungen möglich.
Betriebe zur Daten- und Aktenvernichtung können sich diesbezüglich an eine offizielle Zertifizierungsstelle wenden.
Alle MAMMUT Betriebe sind entsprechend, für Ihre Aktenvernichtung zertifiziert.