Was ist die DIN 66399?

Nachdem die bis September 2012 gültige DIN 32757 zur Vernichtung von Datenträgern sehr unspezifisch formuliert war und viel Interpretationsspielraum ließ, war es an der Zeit, diese Norm zur Aktenvernichtung zu überarbeiten. Die DIN 32757 wurde durch die DIN 66399 ersetzt.

 

Zur klaren Klassifizierung und Definition der Vorgehensweise bei der Aktenvernichtung haben sich mehrere Interessensgruppen im DIN-Ausschuss zusammengefunden. So waren dort Maschinenhersteller, das BSI (Bundesamt für Sicherheit in der Informationstechnologie) und Aktenvernichtungsdienstleister vertreten.  Nach einigen Jahren der Ausarbeitung der neuen DIN-NORM wurde diese dann als DIN 66399 im Oktober 2012 veröffentlicht. Mittlerweile wurde die DIN 66399 unter dem Kürzel ISO 21964 zur internationalen Norm erhoben.

 

 

Teil 1 und Teil 2 sind offizielle Normen. Die DIN 66399 Teil 3 (SPEC) ist eine Vornorm, die noch keinen offiziellen Norm-Status erhalten hat.

 

 

 

 

 

 

 

 

 

Hier zurück zur Gesamtübersicht DIN 66399

 

 

DIN 66399 Teil 1 (Grundlagen und Begriffe)

Im Teil 1 der DIN 66399 (DIN 66399-1) werden Grundlagen beschrieben und Begriffe definiert, die im Weiteren verwendet werden.

 

 

1. Grundlagen

 

  • Jeder, der mit vertraulichen, personenbezogenen Daten umgeht, hat für eine datenschutzkonforme, sichere Vernichtung zu sorgen.
  • Datenkonform und sicher vernichtet bedeutet nach DIN 66399, dass Datenträger, die personenbezogene Daten enthalten, so zu vernichten sind, dass die Wiederherstellung der enthaltenen Informationen entweder unmöglich oder nur mit besonderem Aufwand (spezielle Hilfsmittel, Personal) machbar ist.
  • Es wird hierbei nach dem Grad der Schutzbedürftigkeit der Informationen und der physikalischen Eigenschaften der Datenträger unterschieden und dementsprechend auch unterschiedliche Maßnahmen definiert.

 

 

2. Die wichtigsten Begriffe

 

Personenbezogene Daten:

Angaben zu einer natürlichen Person.

 

Daten:

Formalisierte Darstellung von Fakten, die von Menschen oder Maschinen interpretiert werden können.

 

Informationen:

Daten mit einer Bedeutung.

 

Datenverarbeitung im Auftrag:

Erhebung, Verarbeitung, Speicherung, Nutzung und Löschung von Daten durch beauftragte Dritte.

 

Datenträgervernichtung:

Vorgang der Zerstörung von Datenträgern, wodurch die Wiederherstellung von Informationen erschwert oder unmöglich gemacht wird.

 

Sicherheitsstufe:

Klassifizierung der Schwierigkeit zur Wiederherstellung von Daten nach definierten Zerstörungsverfahren.

 

Schutzbedarf:

Schutzwürdigkeit der Daten. Der Schutzbedarf wird hierbei in normal, hoch und sehr hoch unterschieden.

 

Schutzklasse:

Clustering des Schutzbedarfs von Informationen.

 

Verantwortliche Stelle:

Jede Person oder Stelle, die Daten erhebt, verarbeitet, speichert und/oder nutzt.

 

Hier zurück zur Gesamtübersicht DIN 66399

Ermittlung des Schutzbedarfs und Zuordnung der Schutzklasse

Um bei der Aktenvernichtung der Wirtschaftlichkeit und dem Schutzbedarf der Daten Rechnung zu tragen, werden die Daten in Schutzklassen eingeteilt. Dabei ist der Grad der Schutzbedürftigkeit bestimmend für die zur Wahl stehende Auswahl der Schutzklasse und Sicherheitsstufe. Die Einstufung beinhaltet die organisatorischen Maßnahmen, die im Bereich der Aktenvernichtung zu erfüllen sind, um die entsprechenden Schutzklassen einzuhalten. Die Festlegung von Schutzbedarf, Schutzklassen, Sicherheitsstufen und die genauen organisatorischen Maßnahmen legt hierbei immer die „verantwortliche Stelle“ fest.

 

Hier zurück zur Gesamtübersicht DIN 66399

 

Die Schutzklassen

Schutzklasse 1: (normaler Schutzbedarf für interne Daten)

  • Informationen, die von vornherein für größere Gruppen bestimmt sind.
  • Datenschutzverletzungen hätten begrenzte negative Auswirkungen auf das Unternehmen.
  • Bei Datenschutzverletzungen könnte der Betroffene in seiner gesellschaftlichen Stellung und in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden.

 

Schutzklasse 2: (Hoher Schutzbedarf für vertrauliche Daten)

  • Informationen, die von vornherein für kleinere Personenkreise bestimmt sind.
  • Datenschutzverletzungen hätten gravierende Auswirkungen auf das Unternehmen und könnten gegen Vertragspflichten oder Gesetze verstoßen.
  • Bei Datenschutzverletzungen könnte der Betroffene in seiner gesellschaftlichen Stellung und in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden.

 

Schutzklasse 3: (Sehr hoher Schutzbedarf für streng geheime Daten)

  • Informationen, die von vornherein für einen sehr kleinen, namentlich bekannten Personenkreis bestimmt wird.
  • Datenschutzverletzungen hätten existenzbedrohende Auswirkungen oder würde gegen Berufsgeheimnisse, Gesetze und Verträge verstoßen.

 

Hier zurück zur Gesamtübersicht DIN 66399

 

Sicherheitsstufen

 

 Sicherheitsstufe Wiederherstellung der Daten
1 Allgemeine Daten – Wiederherstellung mit einfachem Aufwand
 2 Interne Daten – Wiederherstellung mit besonderem Aufwand
 3 Sensible Daten – Wiederherstellung mit erheblichem Aufwand
 4 Besonders sensible Daten – Wiederherstellung mit außergewöhnlichem Aufwand
 5 Geheim zu haltende Daten – Wiederherstellung mit nicht definierbarem Aufwand
 6 Geheime Hochsicherheits-Daten – Wiederherstellung aktuell technisch nicht möglich
 7 Top Secret Hochsicherheits-Daten – Wiederherstellung ausgeschlossen

 

 Kombination von Schutzklassen und Sicherheitsstufen

Der nachfolgenden Tabelle können Sie entnehmen, welche Kombinationen aus Schutzklassen und Sicherheitsstufen der DIN Ausschuss empfiehlt. Diese stellt dar, dass die Kombination einer sehr niedrigen Schutzklasse mit einer sehr hohen Sicherheitsstufe aus Sicht des DIN Ausschusses wenig Sinn macht – und umgekehrt. Die richtige Einstufung muss in jedem Falle immer der Datenbesitzer (verantwortliche Stelle) festlegen.

 

 

Zuordnung Schutzklassen und Sicherheitsstufen

 

Die Zuordnung der 3 Schutzklassen zu den Sicherheitsstufen kann mit folgender Tabelle vorgenommen werden, sollte jedoch pro Einzelfall in einer Risikoanalyse ermittelt werden. Fallen Daten unterschiedlicher Schutzklassen an, so kann die Trennung in verschiedene Sicherheitsstufen und Schutzklassen an der Anfallstelle erfolgen. Ist dies nicht möglich, so müssen die Datenträger nach der höchsten Schutzklasse und Sicherheitsstufe vernichtet werden.

 

Zuordnung  Schutzklassen/Sicherheitsstufen S1 S2 S3 S4 S5 S6 S7
Schutzklasse 1 x x x
Schutzklasse 2 x x x
Schutzklasse 3 x x x x x

 

Sicherheitsstufenerhöhung

Nachdem das Vernichten von Akten in Großanlagen durch das Vermischen und Verpressen von großen Mengen unterschiedlicher Daten eine deutliche Sicherheitserhöhung mit sich bringt, ermöglicht die DIN in solchen Fällen bei gleichbleibender Partikelgröße eine Sicherheitsstufenerhöhung. Eine Sicherheitsstufenerhöhung kann nur bei Informationsdarstellung in Originalgröße und nur um einen Schritt und maximal bis zur Sicherheitsstufe 4 erfolgen.

 

Durch die Größe und Konfiguration der Anlage sowie der sehr großen verarbeiteten Menge, kann ROHPROG dieses Kriterium erfüllen.

 

Hier zurück zur Gesamtübersicht DIN 66399

 DIN 66399 Teil 2: (Anforderungen an Maschinen zur Vernichtung von Datenträgern)

Im Teil 2 werden die Anforderungen an Maschinen zur Aktenvernichtung festgelegt, um eine sichere Vernichtung von Datenträgern sicherzustellen.

 

Die DIN 66399 Teil 2 (DIN 66399-2) differenziert erstmalig die Materialarten:

 

P – Informationsdarstellung in Originalgröße (Papier, Film, Druckform,…)

F – Informationsdarstellung verkleinert (Microfilm/Folie,…)

O – Informationsdarstellung auf optischen Datenträgern (CD/DVD,…)

T – Informationsdarstellung auf magnetischen Datenträgern (Diskette, ID-Karte, Magnetbandkassette,…)

H – Informationsdarstellung auf Festplatten mit magnetischen Datenträgern (Festplatte)

E – Informationsdarstellung auf elektronischen Datenträgern (Speicherstick, Chipkarte, Halbleiterfestplatte,    mobile Kommunikationsmittel,…)

 

Jeder Datenbesitzer ist damit angehalten, seine Datenträger nach den Materialarten getrennt zu halten. Nachdem diese Materialarten sehr unterschiedliche Speicherdichten haben, sind auch die zu erzeugenden Partikelgrößen, um einen gewissen Sicherheitslevel zu erreichen, unterschiedlich zu sehen.

 

Nimmt man die PFOTHE-Darstellung unterschiedlicher Materialarten zusammen, so ist das Gemisch nach einer Sicherheitsstufe einer Materialart zu spezifizieren. Hierdurch wird die definierte Teilchengröße für alle im Gemisch enthaltenden Materialien definiert.

 

Hier zurück zur Gesamtübersicht DIN 66399

 Die sieben Sicherheitsstufen je Materialart

 

Die DIN 66399 Teil 2 definiert sieben unterschiedliche Sicherheitsstufen. Für jede Sicherheitsstufe ist, je nach Material, eine maximale Partikelgröße definiert.

 

Maximal 10 Masse-Prozent der Partikel dürfen hierbei die Grenze überschreiten, jedoch maximal bis zu den definierten Maximalgrößen (siehe Tabelle). Darüber hinaus darf es keine größeren Partikel geben.

 

 Sicherheitsstufe  maximale
Partikelgröße
(Regel)
in mm²
 maximale
Partikelgröße
bei max.
10%
in mm²
Sicherheitsstufe maximale
Partikelgröße
(Regel)
in mm²
maximale
Partikelgröße
bei max.
10%
in mm²
 Materialart: P Materialart: T
 P1  2000  3800 T1  –  –
 P2  800  2000 T2 2000 3800
 P3  320  800  T3  320  800
 P4  160  480  T4  160  480
 P5  30  90  T5  30  90
 P6  10  30  T6  10  30
 P7  5  0  T7  2,5  7,5
Materialart: F Materialart: H
F1 160 480 H1  –  –
F2 30 90 H2  –  –
F3 10 30 H3  –  –
F4 2,5 7,5 H4 2000 3800
F5 1 3 H5 320 800
F6 0,5 1,5 H6 10 30
F7 0,2 0 H7 5 15
Materialart: O Materialart: E
O1 2000 3800 E1  –  –
O2 800 2000 E2  –  –
O3 160 480 E3 160 480
O4 30 90 E4 30 90
O5 10 30 E5 10 30
O6 5 15 E6 1 3
O7 0,2 0,5 E7 0,5 1,5

 

Hier zurück zur Gesamtübersicht DIN 66399

 

DIN 66399 SPEC Teil 3: (Prozess der Datenträgervernichtung)

 

 

Der Teil 3 der DIN 66399 (DIN 66399-3) ist noch eine “Vor-Norm” (SPEC), demnach noch keine vollumfänglich gültige DIN Norm. Trotzdem wird sie im gewerblichen Umfeld oft bereits wie eine Norm behandeln.

 

Die Vernichtung von Datenträgern ist als ein Gesamtprozess zu verstehen, der in seinen einzelnen Prozessabschnitten zu untersuchen, sicher zu gestalten und umzusetzen ist. Bis zur abschließenden Vernichtung der Datenträger ist die verantwortliche Stelle verantwortlich. Wenn die vereinbarte Sicherheitsstufe erreicht wurde, gelten die Daten als gelöscht.

 

Üblicherweise läuft der Gesamtprozess arbeitsteilig zwischen der verantwortlichen Stelle und externen Dienstleistern ab. Hierbei ist die Aufgabenabgrenzung genauer zu betrachten und die technischen und organisatorischen Maßnahmen zu definieren.

 

Es gibt 3 unterschiedliche Prozessvarianten:

Variante 1:  Datenträgervernichtung durch die verantwortliche Stelle selbst
Variante 2:  Datenträgervernichtung durch Dienstleister vor Ort
Variante 3:  Datenträgervernichtung extern durch Dienstleister

 

Ermittlung der Risikostruktur

Bei Anwendung einer Prozessvariante ist im Vorfeld zu überprüfen, ob die technischen und organisatorischen Anforderungen der entsprechenden Schutzklasse und Sicherheitsstufe erfüllt werden.

Bei der Definition der Schutzklasse und der Sicherheitsstufe durch die verantwortliche Stelle sind folgende Fragen zu beantworten:

 

  • Welche Informationen sind in welche Schutzklassen zu klassifizieren?
  • Welche Sicherheitsstufe soll angesetzt werden?
  • Welche der 3 Varianten soll und kann man wählen?
  • Welche technischen und organisatorischen Maßnahmen für den Gesamtprozess sind zu definieren?

 

Hier zurück zur Gesamtübersicht DIN 66399


Prozesskriterien

Die DIN SPEC 66399 Teil 3 definiert Kriterien für alle Varianten der Datenträgervernichtung. Nach diesen Kriterien wird der Prozess in unterschiedliche Schutzklassen (1-3) eingeteilt. Die Kriterien der Variante 3 entnehmen Sie der nachfolgenden Tabelle.

 

Tabelle: Allgemeine Kriterien

Prozessabschnitt Kriterium Erfüllung des Kriteriums für die Schutzklasse
1 2 3
Organisation Festlegung der Sicherheitsstufen. x x x
Regelmäßige Probeentnahme ist zu kontrollieren. x x
Vernichtung Einsatz passender Maschinen zur Vernichtung. x x x
 Personal   Verpflichtung auf das Datengeheimnis. x x x
Begleitung von Besuchern und Anlieferern. x x x
Besucherausweis notwendig. x x x
 Organisation
(verantw. Stelle)
Technische und organisatorische Maßnahmen sind kundenseitig zu definieren. x x x
 Organisation
(Dienstleister)
   
Technische und organisatorische Maßnahmen für die Vernichtungseinrichtung sind zu definieren. x x x
Maschinenzertifikat x x x
Notfallkonzept x x
Möglichkeit zur Überwachung der Vernichtung. x x
Sammlung/Lagern/
Transport
     
geschlossene und verschlossene Sicherheitsbehälter x x
Übernahmeprotokoll  x x x
geschlossener Bereich – kein Zugriff auf Daten x x
Bei Vermischung, Verwendung der jeweils höchsten Stufe. x x
Die Lagerung und Entleerung der Sicherheitsbehälter im geschlossenen und überwachten Bereich x x
Einbruchmeldeanlage x x
Transport  Fahrzeuge mit geschlossenem und verschlossenem Aufbau. x x
passives GPS-Ortungssystem x x
 Vernichtung           Grundsätzlich kein Zugriff auf die zu vernichtenden Datenträger. x
Videoüberwachung x
Probeentnahme möglich x
taggleiche Vernichtung x
Sicherheitszone x x x
Betriebsgebäude mit massiver Bauausführung. x x
Schleuse x x
optische oder akustische Meldeeinrichtung an Türen/Toren x x
automatische Meldung an den örtlichen Sicherheitsbeauftragten. x
Videoüberwachung x x
Redundanz der Maschinen. x

 

 

 

 

 

 

 

 

 

 

Zertifizierung nach DIN 66399

 

Nachdem die DIN sehr spezifisch definiert, welche Voraussetzungen in einem Unternehmen vorhanden sein müssen um entsprechende Schutzklassen und Sicherheitsstufen gewährleisten zu können, können entsprechende Zertifizierungsstellen eine Zertifizierung des jeweiligen Betriebes vornehmen und die Einhaltung der unterschiedlichen Punkte bestätigen.

 

Das Zertifikat der ROHPROG GmbH finden Sie hier.

 

Hier zurück zur Gesamtübersicht DIN 66399