DIN 66399 in der Daten- und Aktenvernichtung

Die DIN 66399 ist eine Norm zur Daten- und Aktenvernichtung, die im September 2012 die DIN 32737 ablöste. Eine Überarbeitung der alten Norm war notwendig, da viele der vorhandenen Formulierungen nicht eindeutig waren und einen großen Interpretationsspielraum erlaubten. 
Um die neuen Regelungen klar zu definieren, fanden sich verschiedene Interessensgruppen im DIN-Ausschuss zusammen. Dazu gehörten unter anderem Maschinenhersteller, das Bundesamt für Sicherheit in der Informationstechnologie (BSI) sowie mehrere Aktenvernichtungsdienstleister. Heute gilt die DIN 66399 sogar als internationale Norm, bekannt unter dem Kürzel ISO 21964.
Die DIN 66399 besteht offiziell aus zwei Teilen, die als Normen anerkannt sind. Der dritte Teil der DIN 66399 (SPEC) gilt bislang als Vornorm, das heißt sein Status als offizielle Norm steht noch aus.
 

XXX

DIN 66399 Teil 1 (Begriffe und Grundlagen)

Die DIN 66399-1, der erste Teil der DIN 66399, definiert die Begrifflichkeiten und beschreibt die Grundlagen der Norm.

1. Grundlagen

Die DIN 66399 ist für Personen von Bedeutung, die mit vertraulichen, personenbezogenen Daten arbeiten. Diese Personen sind dazu verpflichtet, eine datenschutzkonforme, sichere Daten- und Aktenvernichtung nach DIN 66399 sicherzustellen.
Das bedeutet: Es darf keine Möglichkeit bestehen, aus den vernichteten Daten (ohne größeren Aufwand) noch Informationen zu ziehen oder sie wiederherzustellen.
Die notwendigen Maßnahmen zur Aktenvernichtung nach DIN 66399 sind davon abhängig, wie sensibel und schutzbedürftig die Daten sind und welche physikalischen Eigenschaften das Speichermedium aufweist.

2. Die wichtigsten Begriffe
  • Personenbezogene Daten: Informationen über eine natürliche Person.
  • Daten: Informationen, die durch Menschen oder Maschinen ausgewertet werden können
  • Informationen: Fakten mit einer Aussagekraft
  • Datenverarbeitung im Auftrag: Das Erheben, Verarbeiten, Speichern, Nutzen und Löschen von Daten durch dritte Personen (Dienstleister), die damit beauftragt wurden
  • Datenträgervernichtung: Alle Prozesse, welche den Datenträger in einer Weise zerstören, die eine Datenwiederherstellung unmöglich oder nur noch unter besonderem Aufwand möglich macht
  • Sicherheitsstufe: Schwierigkeitsgrad, der notwendig wäre, um die Daten nach gesetzeskonformer Vernichtung wiederherzustellen
  • Schutzbedarf: Ausmaß, in dem die Daten geschützt werden müssen; der Schutzbedarf kann normal, hoch oder sehr hoch sein
  • Schutzklasse: Clustering, das den Schutzbedarf von Informationen betrifft
  • Verantwortliche Stelle: Die Person oder Firma, die mit sensiblen Daten arbeitet
3. Festlegung des Schutzbedarfs und der Schutzklasse

Die verantwortliche Stelle ordnet die Daten nach ihrem Schutzbedarf einer entsprechenden Schutzklasse und Sicherheitsstufe zu. Je nach Einstufung unterscheiden sich die laut DIN 66399 vorgeschriebenen Abläufe bei der Daten- und Aktenvernichtung.

4. Die Schutzklassen
  • Schutzklasse 1: Durchschnittlicher Schutzbedarf interner Daten

    Informationen mit einer großen Zielgruppe
    Eine Verletzung des Datenschutzes hätte begrenzte negative Folgen für das Unternehmen.
    Eine Verletzung des Datenschutzes hätte möglicherweise zur Folge, dass Betroffene in ihren wirtschaftlichen Verhältnissen oder in ihrer gesellschaftlichen Stellung Nachteile erfahren.
     
  • Schutzklasse 2: Hoher Schutzbedarf vertraulicher Daten

    Informationen mit einer vorab festgelegten kleinen Zielgruppe.
    Eine Verletzung des Datenschutzes hätte massive Auswirkungen auf das Unternehmen, gegebenenfalls einen Verstoß gegen Vertragspflichten oder gegen Gesetze zur Folge.
    Eine Verletzung des Datenschutzes hätte möglicherweise zur Folge, dass Betroffene in ihren wirtschaftlichen Verhältnissen oder in ihrer gesellschaftlichen Stellung erhebliche Nachteile erfahren.
     
  • Schutzklasse 3: Sehr hoher Schutzbedarf streng geheimer Daten

    Informationen mit einer vorab festgelegten sehr kleinen, namentlich festgelegten Personengruppe.
    Eine Verletzung des Datenschutzes hätte für Betroffene existenzbedrohende Auswirkungen, möglicherweise sogar eine Gefahr für Leib und Leben sowie einen Verstoß gegen Gesetze, Verträge oder Berufsgeheimnisse zur Folge.
5. Sicherheitsstufen
SicherheitsstufeWiederherstellung der Daten
1Allgemeine Daten – Wiederherstellung mit einfachem Aufwand
2Interne Daten – Wiederherstellung mit besonderem Aufwand
 3Sensible Daten – Wiederherstellung mit erheblichem Aufwand
 4Besonders sensible Daten – Wiederherstellung mit außergewöhnlichem Aufwand
 5Geheim zu haltende Daten – Wiederherstellung mit nicht definierbarem Aufwand
6Geheime Hochsicherheits-Daten – Wiederherstellung aktuell technisch nicht möglich
 7Top Secret Hochsicherheits-Daten – Wiederherstellung ausgeschlossen
6. Kombination von Sicherheitsstufen und Schutzklassen

Die folgende Tabelle dient Ihnen als Orientierungshilfe, welche Kombinationen aus Sicherheitsstufen und Schutzklassen der DIN-Ausschuss für Ihre Daten empfiehlt. Unter anderem wird ersichtlich, dass beispielsweise eine sehr niedrige Schutzklasse kombiniert mit einer sehr hohen Sicherheitsstufe wenig sinnvoll ist.
Für die korrekte Einstufung ist immer die verantwortliche Stelle zuständig.

7. Zuordnung zu den Sicherheitsstufen und Schutzklassen

Die Tabelle kann als Richtlinie für die Zuordnung herangezogen werden, letztendlich ist jedoch immer der Einzelfall entscheidend und bedarf einer individuellen Risikoanalyse.
Fällt für Ihre Daten- und Aktenvernichtung Material verschiedener Schutzklassen an, dürfen Sie die Trennung an der Abfallstelle vornehmen. Sollte dies nicht möglich sein, gelten Ihre Datenträger mit der höchsten Sicherheitsstufe und Schutzklasse als maßgeblich für das gesamte Gemisch.

Zuordnung  
Schutzklassen/Sicherheitsstufen
S1S2S3S4S5S6S7
Schutzklasse 1xxx    
Schutzklasse 2  xxx  
Schutzklasse 3  xxxxx
8. Sicherheitsstufenerhöhung

Wenn Sie Ihre Daten- und Aktenvernichtung in einer Großanlage vornehmen lassen, ist gemäß DIN 66399 bei Papier eine höhere Sicherheitsstufe vorliegend, als es gemäß der Partikelgröße der Fall wäre: Da große Mengen verschiedener Daten miteinander vermischt und verpresst werden, ist die Wiederherstellung erheblich schwieriger als in einer Kleinanlage bei gleicher Partikelgröße.
Die MAMMUT Deutschland betreibt entsprechende Großanlagen.
Die Hochstufung kann um maximal eine Sicherheitsstufe und bis zur Sicherheitsstufe 4 erfolgen.

DIN 66399 Teil 2 (Voraussetzungen für die Maschinen zur Daten- und Aktenvernichtung)

Der zweite Teil der DIN 66399 (DIN 66399-2) legt die Anforderungen an die Maschinen zur Daten- und Aktenvernichtung fest. 

1. Berücksichtigung verschiedener Materialien

Die DIN 66399 differenziert erstmalig zwischen den verschiedenen Materialarten:

PDarstellung der Informationen in Originalgröße (zum Beispiel Papier, Druckform, Film) > siehe Aktenvernichtung
FDarstellung der Informationen verkleinert (zum Beispiel Microfilm, Folie) > siehe Datenträgervernichtung
ODarstellung der Informationen auf optischen Datenträgern (zum Beispiel CD, DVD) > siehe Datenträgervernichtung
TDarstellung der Informationen auf magnetischen Datenträgern (Diskette, Magnetbandkassette, ID-Karte) 
> siehe Datenträgervernichtung
HDarstellung der Informationen auf Festplatten mit magnetischen Datenträgern > siehe Festplattenvernichtung
EDarstellung der Informationen auf elektronischen Datenträgern (zum Beispiel Chipkarte, Speicherstick, mobile Kommunikationsmittel, Halbleiterfestplatte) 
> siehe Datenträgervernichtung

Da sich die Speicherdichten je nach Material unterscheiden, gelten zum Erreichen des notwendigen Sicherheitslevels verschiedene Mindestpartikelgrößen.
Ohne eine Trennung nach Materialarten gilt die kleinste erforderliche Partikelgröße für das gesamte Gemisch. 

2. Die sieben Sicherheitsstufen, auch für Ihre Aktenvernichtung

Material zur Daten- und Aktenvernichtung kann in sieben verschiedene Sicherheitsstufen eingeteilt werden, die unterschiedliche Mindestpartikelgrößen vorschreiben.
Größere Partikel sind nur dann akzeptabel, wenn sie maximal 10 Prozent der Gesamtmasse ausmachen und eine definierte Maximalgröße nicht überschreiten (siehe Tabelle).

Sicherheitsstufe maximale maximale
PartikelgrößePartikelgröße
(Regel)bei max.
in mm²10%
 in mm²
Materialart: P
Aktenvernichtung
  
 P1 2000 3800
 P2 800 2000
 P3 320 800
 P4 160 480
 P5 30 90
 P6 10 30
 P7 5 0
   
Materialart: F
Datenträgervernichtung
  
F1160480
F23090
F31030
F42,57,5
F513
F60,51,5
F70,20
Sicherheitsstufemaximalemaximale
PartikelgrößePartikelgröße
(Regel)bei max.
in mm²10%
 in mm²
Materialart: O
Datenträgervernichtung
  
O120003800
O28002000
O3160480
O43090
O51030
O6515
O70,20,5
   
Materialart: T
Datenträgervernichtung
  
T1 – –
T220003800
 T3 320 800
 T4 160 480
 T5 30 90
 T6 10 30
 T7 2,5 7,5
   
Materialart: H
Festplattenvernichtung
  
H1 – –
H2 – –
H3 – –
H420003800
H5320800
H61030
H7515
   
Materialart: E
Datenträgervernichtung
  
E1 – –
E2 – –
E3160480
E43090
E51030
E613
E70,51,5

 

DIN 66399 SPEC Teil 3 (Prozess der Datenträgervernichtung)

Obwohl der dritte Teil der DIN 66399 (DIN 66399-3) noch als “Vor-Norm” (SPEC) gilt, wird er im gewerblichen Umfeld häufig bereits als Norm herangezogen.

1. Prozessabschnitte

Die Daten- und Aktenvernichtung umfasst verschiedene Prozessabschnitte, die bestimmte Sicherheitsanforderungen erfüllen müssen. Diese muss die verantwortliche Stelle überwachen; auch, wenn die Vernichtung durch einen Dienstleister erfolgt.
Nach Erreichen der vereinbarten Sicherheitsstufe gelten die Daten als gelöscht.
In der Regel erfolgt eine Arbeitsteilung zwischen dem externen Dienstleister und der verantwortlichen Stelle. Die Aufgabenabgrenzung sowie die organisatorischen und technischen Maßnahmen müssen genau geplant und vertraglich festgelegt werden.

2. Prozessvarianten

Generell gibt es drei verschiedene Prozessvarianten zur Daten- und Aktenvernichtung nach DIN 66399:

  • Variante 1: Die verantwortliche Stelle vernichtet ihre Daten selbstständig.
     
  • Variante 2: Ein Dienstleister vernichtet die Daten bei der verantwortlichen Stelle vor Ort.
     
  • Variante 3: Die Datenträgervernichtung erfolgt extern durch einen Dienstleister.
3. Festlegung der Risikostruktur

Ehe Sie eine Prozessvariante umsetzen, müssen Sie überprüfen, ob die organisatorischen und technischen Anforderungen tatsächlich erfüllt werden.
Um die Sicherheitsstufe und Schutzklasse zu definieren, müssen Sie sich folgende Fragen stellen:

  • Welche Informationen gehören in welche Schutzklassen?
     
  • Welche Sicherheitsstufe ist angebracht?
     
  • Welche der drei möglichen Varianten ist in Ihrem Fall am besten geeignet?
     
  • Welche organisatorischen und technischen Maßnahmen müssen für den Gesamtprozess definiert werden?
4. Prozesskriterien

Der dritte Teil der DIN 66399 zeigt Ihnen die Kriterien für die möglichen Varianten der Datenträgervernichtung auf. Gemäß diesen Kriterien sind unterschiedliche Schutzklassen erforderlich. Die nachfolgende Tabelle beinhaltet die Kriterien der Variante 3.
 

ProzessabschnittKriteriumErfüllung des Kriteriums für die Schutzklasse
123
OrganisationFestlegung der Sicherheitsstufen.xxx
Regelmäßige Probeentnahme ist zu kontrollieren. xx
VernichtungEinsatz passender Maschinen zur Vernichtung.xxx
 PersonalVerpflichtung auf das Datengeheimnis.xxx
Begleitung von Besuchern und Anlieferern.xxx
Besucherausweis notwendig.xxx
 Organisation (verantw. Stelle)Technische und organisatorische Maßnahmen sind kundenseitig zu definieren.xxx
ProzessabschnittKriteriumErfüllung des Kriteriums für die Schutzklasse
123
 Organisation (Dienstleister)Technische und organisatorische Maßnahmen für die Vernichtungseinrichtung sind zu definieren.xxx
Maschinenzertifikatxxx
Notfallkonzept xx
Möglichkeit zur Überwachung der Vernichtung. xx
Sammlung/ Lagern/ Transportgeschlossene und verschlossene Sicherheitsbehälter xx
Übernahmeprotokoll xxx
geschlossener Bereich – kein Zugriff auf Daten xx
Bei Vermischung, Verwendung der jeweils höchsten Stufe. xx
Die Lagerung und Entleerung der Sicherheitsbehälter im geschlossenen und überwachten Bereich xx
Einbruchmeldeanlage xx
ProzessabschnittKriteriumErfüllung des Kriteriums für die Schutzklasse
123
Transport Fahrzeuge mit geschlossenem und verschlossenem Aufbau. xx
passives GPS-Ortungssystem xx
 Vernichtung          Grundsätzlich kein Zugriff auf die zu vernichtenden Datenträger.  x
Videoüberwachung  x
Probeentnahme möglich  x
taggleiche Vernichtung  x
Sicherheitszonexxx
Betriebsgebäude mit massiver Bauausführung. xx
Schleuse xx
optische oder akustische Meldeeinrichtung an Türen/Toren xx
automatische Meldung an den örtlichen Sicherheitsbeauftragten.  x
Videoüberwachung xx
Redundanz der Maschinen.  x

 

Zertifizierungsmöglichkeiten bei der Daten- und Aktenvernichtung nach DIN 66399

Da die DIN 66399 genau definiert, welche Voraussetzungen für das Erreichen der verschiedenen Sicherheitsstufen und Schutzklassen erfüllt werden müssen, sind entsprechende Zertifizierungen möglich. 

Betriebe zur Daten- und Aktenvernichtung können sich diesbezüglich an eine offizielle Zertifizierungsstelle wenden.
Alle MAMMUT Betriebe sind entsprechend, für Ihre Aktenvernichtung zertifiziert.

Mit Ihrer Aktenvernichtung bei der MAMMUT sind Sie auf der sicheren Seite