DIN 66399 in der Daten- und Aktenvernichtung
Nachdem die bis September 2012 gültige DIN 32757 zur Vernichtung von Datenträgern sehr unspezifisch formuliert war und viel Interpretationsspielraum ließ, war es an der Zeit, diese Norm zur Aktenvernichtung zu überarbeiten. Die DIN 32757 wurde durch die DIN 66399 ersetzt.
Zur klaren Klassifizierung und Definition der Vorgehensweise bei der Aktenvernichtung haben sich mehrere Interessensgruppen im DIN-Ausschuss zusammengefunden. So waren dort Maschinenhersteller, das BSI (Bundesamt für Sicherheit in der Informationstechnologie) und Aktenvernichtungsdienstleister vertreten.
Nach einigen Jahren der Ausarbeitung der neuen DIN-NORM wurde diese dann als DIN 66399 im Oktober 2012 veröffentlicht. Mittlerweile wurde die DIN 66399 unter dem Kürzel ISO 21964 zur internationalen Norm erhoben.
Teil 1 und Teil 2 sind offizielle Normen. Die DIN 66399 Teil 3 (SPEC) ist eine Vornorm, die noch keinen offiziellen Norm-Status erhalten hat.
Definition der DIN 66399
- DIN 66399 Teil 1 (Grundlagen und Begriffe)
- Ermittlung des Schutzbedarfs und Zuordnung der Schutzklasse
- Die Schutzklassen
- Die Sicherheitsstufen
- Kombination von Sicherheitsstufe und Schutzklasse
- DIN 66399 Teil 2 (Anforderung an Maschinen zur Vernichtung von Datenträgern)
- Die sieben Sicherheitsstufen je Materialart
- DIN 66399 SPEC Teil 3 (Prozess der Datenträgervernichtung)
Der nachfolgende Text orientiert sich an der DIN 66399-1:2012-10 und DIN 66399- 2:2012-10
DIN 66399 Teil 1 (Grundlagen und Begriffe)
Im Teil 1 der DIN 66399 (DIN 66399-1) werden Grundlagen beschrieben und Begriffe definiert, die im Weiteren verwendet werden.
1. Grundlagen
- Jeder, der mit vertraulichen, personenbezogenen Daten umgeht, hat für eine datenschutzkonforme, sichere Vernichtung zu sorgen.
- Datenkonform und sicher vernichtet bedeutet nach DIN 66399, dass Datenträger, die personenbezogene Daten enthalten, so zu vernichten sind, dass die Wiederherstellung der enthaltenen Informationen entweder unmöglich oder nur mit besonderem Aufwand (spezielle Hilfsmittel, Personal) machbar ist.
- Es wird hierbei nach dem Grad der Schutzbedürftigkeit der Informationen und der physikalischen Eigenschaften der Datenträger unterschieden und dementsprechend auch unterschiedliche Maßnahmen definiert.
2. Die wichtigsten Begriffe
- Personenbezogene Daten:
Angaben zu einer natürlichen Person.
- Daten:
Formalisierte Darstellung von Fakten, die von Menschen oder Maschinen interpretiert werden können.
- Informationen:
Daten mit einer Bedeutung.
- Datenverarbeitung im Auftrag:
Erhebung, Verarbeitung, Speicherung, Nutzung und Löschung von Daten durch beauftragte Dritte.
- Datenträgervernichtung:
Vorgang der Zerstörung von Datenträgern, wodurch die Wiederherstellung von Informationen erschwert oder unmöglich gemacht wird.
- Sicherheitsstufe:
Klassifizierung der Schwierigkeit zur Wiederherstellung von Daten nach definierten Zerstörungsverfahren.
- Schutzbedarf:
Schutzwürdigkeit der Daten. Der Schutzbedarf wird hierbei in normal, hoch und sehr hoch unterschieden.
- Schutzklasse:
Clustering des Schutzbedarfs von Informationen.
- Verantwortliche Stelle:
Jede Person oder Stelle, die Daten erhebt, verarbeitet, speichert und/oder nutzt.
Zurück zur Gesamtübersicht DIN 66399
Ermittlung des Schutzbedarfs und Zuordnung der Schutzklasse
Um bei der Aktenvernichtung der Wirtschaftlichkeit und dem Schutzbedarf der Daten Rechnung zu tragen, werden die Daten in Schutzklassen eingeteilt. Dabei ist der Grad der Schutzbedürftigkeit bestimmend für die zur Wahl stehende Auswahl der Schutzklasse und Sicherheitsstufe.
Die Einstufung beinhaltet die organisatorischen Maßnahmen, die im Bereich der Aktenvernichtung zu erfüllen sind, um die entsprechenden Schutzklassen einzuhalten. Die Festlegung von Schutzbedarf, Schutzklassen, Sicherheitsstufen und die genauen organisatorischen Maßnahmen legt hierbei immer die „verantwortliche Stelle“ fest.
Zurück zur Gesamtübersicht DIN 66399
Die Schutzklassen
Schutzklasse 1: (normaler Schutzbedarf für interne Daten)
- Informationen, die von vornherein für größere Gruppen bestimmt sind.
- Datenschutzverletzungen hätten begrenzte negative Auswirkungen auf das Unternehmen.
- Bei Datenschutzverletzungen könnte der Betroffene in seiner gesellschaftlichen Stellung und in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden.
Schutzklasse 2 (Hoher Schutzbedarf für vertrauliche Daten)
- Informationen, die von vornherein für größere Gruppen bestimmt sind.
- Datenschutzverletzungen hätten begrenzte negative Auswirkungen auf das Unternehmen.
- Bei Datenschutzverletzungen könnte der Betroffene in seiner gesellschaftlichen Stellung und in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden.
Schutzklasse 3 (Sehr hoher Schutzbedarf für streng geheime Daten)
- Informationen, die von vornherein für einen sehr kleinen, namentlich bekannten Personenkreis bestimmt wird.
- Datenschutz-Verletzungen hätten existenzbedrohende Auswirkungen oder würde gegen Berufsgeheimnisse, Gesetze und Verträge verstoßen.
Zurück zur Gesamtübersicht DIN 66399
Sicherheitsstufen
| Sicherheitsstufe | Wiederherstellung der Daten |
|---|---|
| 1 | Allgemeine Daten – Wiederherstellung mit einfachem Aufwand |
| 2 | Interne Daten – Wiederherstellung mit besonderem Aufwand |
| 3 | Sensible Daten – Wiederherstellung mit erheblichem Aufwand |
| 4 | Besonders sensible Daten – Wiederherstellung mit außergewöhnlichem Aufwand |
| 5 | Geheim zu haltende Daten – Wiederherstellung mit nicht definierbarem Aufwand |
| 6 | Geheime Hochsicherheits-Daten – Wiederherstellung aktuell technisch nicht möglich |
| 7 | Top Secret Hochsicherheits-Daten – Wiederherstellung ausgeschlossen |
Kombination von Schutzklassen und Sicherheitsstufen
Der nachfolgenden Tabelle können Sie entnehmen, welche Kombinationen aus Schutzklassen und Sicherheitsstufen der DIN Ausschuss empfiehlt. Diese stellt dar, dass die Kombination einer sehr niedrigen Schutzklasse mit einer sehr hohen Sicherheitsstufe aus Sicht des DIN Ausschusses wenig Sinn macht – und umgekehrt. Die richtige Einstufung muss in jedem Falle immer der Datenbesitzer (verantwortliche Stelle) festlegen.
Zuordnung Schutzklassen und Sicherheitsstufen
Die Zuordnung der 3 Schutzklassen zu den Sicherheitsstufen kann mit folgender Tabelle vorgenommen werden, sollte jedoch pro Einzelfall in einer Risikoanalyse ermittelt werden.
Fallen Daten unterschiedlicher Schutzklassen an, so kann die Trennung in verschiedene Sicherheitsstufen und Schutzklassen an der Anfallstelle erfolgen. Ist dies nicht möglich, so müssen die Datenträger nach der höchsten Schutzklasse und Sicherheitsstufe vernichtet werden.
| Zuordnung Schutzklassen / Sicherheitsstufen | S1 | S2 | S3 | S4 | S5 | S6 | S7 |
|---|---|---|---|---|---|---|---|
| Schutzklasse 1 | X | X | X | ||||
| Schutzklasse 2 | X | X | X | ||||
| Schutzklasse 3 | X | X | X | X | X |
Sicherheitsstufenerhöhung
Nachdem das Vernichten von Akten in Großanlagen durch das Vermischen und Verpressen von großen Mengen unterschiedlicher Daten eine deutliche Sicherheitserhöhung mit sich bringt, ermöglicht die DIN in solchen Fällen bei gleichbleibender Partikelgröße eine Sicherheitsstufenerhöhung.
Eine Sicherheitsstufenerhöhung kann nur bei Informationsdarstellung in Originalgröße und nur um einen Schritt und maximal bis zur Sicherheitsstufe 4 erfolgen. Durch die Größe und Konfiguration der Anlage sowie der sehr großen verarbeiteten Menge, kann ROHPROG dieses Kriterium erfüllen.
Zurück zur Gesamtübersicht DIN 66399
DIN 66399 Teil 2: (Anforderungen an Maschinen zur Vernichtung von Datenträgern)
Im Teil 2 werden die Anforderungen an Maschinen zur Aktenvernichtung festgelegt, um eine sichere Vernichtung von Datenträgern sicherzustellen.
Die DIN 66399 Teil 2 (DIN 66399-2) differenziert erstmalig die Materialarten:
| P | Informationsdarstellung in Originalgröße (Papier, Film, Druckform, …) |
| F | Informationsdarstellung verkleinert (Microfilm/Folie, …) |
| O | Informationsdarstellung auf optischen Datenträgern (CD/DVD, …) |
| T | Informationsdarstellung auf magnetischen Datenträgern (Diskette, ID-Karte, Magnetbandkassette, …) |
| H | Informationsdarstellung auf Festplatten mit magnetischen Datenträgern (Festplatte) |
| E | Informationsdarstellung auf elektronischen Datenträgern (Speicherstick, Chipkarte, Halbleiterfestplatte, mobile Kommunikationsmittel, …) |
Jeder Datenbesitzer ist damit angehalten, seine Datenträger nach den Materialarten getrennt zu halten. Nachdem diese Materialarten sehr unterschiedliche Speicherdichten haben, sind auch die zu erzeugenden Partikelgrößen, um einen gewissen Sicherheitslevel zu erreichen, unterschiedlich zu sehen.
Nimmt man die PFOTHE-Darstellung unterschiedlicher Materialarten zusammen, so ist das Gemisch nach einer Sicherheitsstufe einer Materialart zu spezifizieren. Hierdurch wird die definierte Teilchengröße für alle im Gemisch enthaltenden Materialien definiert.
Zurück zur Gesamtübersicht DIN 66399
Die sieben Sicherheitsstufen je Materialart
Die DIN 66399 Teil 2 definiert sieben unterschiedliche Sicherheitsstufen. Für jede Sicherheitsstufe ist, je nach Material, eine maximale Partikelgröße definiert.
Maximal 10 Masse-Prozent der Partikel dürfen hierbei die Grenze überschreiten, jedoch maximal bis zu den definierten Maximalgrößen (siehe Tabelle). Darüber hinaus darf es keine größeren Partikel geben.
| Sicherheitsstufe | maximale Partikelgröße (Regel) in mm² | maximale Partikelgröße bei max. 10% in mm² |
|---|---|---|
| Materialart: P | ||
| P1 | 2000 | 3800 |
| P2 | 800 | 2000 |
| P3 | 320 | 800 |
| P4 | 160 | 450 |
| P5 | 30 | 90 |
| P6 | 10 | 30 |
| P7 | 5 | 0 |
| Sicherheitsstufe | maximale Partikelgröße (Regel) in mm² | maximale Partikelgröße bei max. 10% in mm² |
|---|---|---|
| Materialart: F | ||
| F1 | 160 | 480 |
| F2 | 30 | 90 |
| F3 | 10 | 30 |
| F4 | 2,5 | 7,5 |
| F5 | 1 | 3 |
| F6 | 0,5 | 1,5 |
| F7 | 0,2 | 0 |
| Sicherheitsstufe | maximale Partikelgröße (Regel) in mm² | maximale Partikelgröße bei max. 10% in mm² |
|---|---|---|
| Materialart: O | ||
| O1 | 2000 | 3800 |
| O2 | 800 | 2000 |
| O3 | 160 | 480 |
| O4 | 30 | 90 |
| O5 | 10 | 30 |
| O6 | 5 | 15 |
| O7 | 0,2 | 0,5 |
| Sicherheitsstufe | maximale Partikelgröße (Regel) in mm² | maximale Partikelgröße bei max. 10% in mm² |
|---|---|---|
| Materialart: T | ||
| T1 | – | – |
| T2 | 2000 | 3800 |
| T3 | 320 | 800 |
| T4 | 160 | 480 |
| T5 | 30 | 90 |
| T6 | 10 | 30 |
| T7 | 2,5 | 7,5 |
| Sicherheitsstufe | maximale Partikelgröße (Regel) in mm² | maximale Partikelgröße bei max. 10% in mm² |
|---|---|---|
| Materialart: H | ||
| H1 | – | – |
| H2 | – | – |
| H3 | – | – |
| H4 | 2000 | 3800 |
| H5 | 3520 | 800 |
| H6 | 10 | 30 |
| H7 | 5 | 15 |
| Sicherheitsstufe | maximale Partikelgröße (Regel) in mm² | maximale Partikelgröße bei max. 10% in mm² |
|---|---|---|
| Materialart: E | ||
| E1 | – | – |
| E2 | – | – |
| E3 | 160 | 480 |
| E4 | 30 | 90 |
| E5 | 10 | 30 |
| E6 | 1 | 30 |
| E7 | 0,5 | 1,5 |
Zurück zur Gesamtübersicht DIN 66399
DIN 66399 SPEC Teil 3: (Prozess der Datenträgervernichtung)
Der Teil 3 der DIN 66399 (DIN 66399-3) ist noch eine “Vor-Norm” (SPEC), demnach noch keine vollumfänglich gültige DIN Norm. Trotzdem wird sie im gewerblichen Umfeld oft bereits wie eine Norm behandeln.
Die Vernichtung von Datenträgern ist als ein Gesamtprozess zu verstehen, der in seinen einzelnen Prozessabschnitten zu untersuchen, sicher zu gestalten und umzusetzen ist. Bis zur abschließenden Vernichtung der Datenträger ist die verantwortliche Stelle verantwortlich. Wenn die vereinbarte Sicherheitsstufe erreicht wurde, gelten die Daten als gelöscht.
Üblicherweise läuft der Gesamtprozess arbeitsteilig zwischen der verantwortlichen Stelle und externen Dienstleistern ab. Hierbei ist die Aufgabenabgrenzung genauer zu betrachten und die technischen und organisatorischen Maßnahmen zu definieren.
Es gibt 3 unterschiedliche Prozessvarianten:
Variante 1: Datenträgervernichtung durch die verantwortliche Stelle selbst
Variante 2: Datenträgervernichtung durch Dienstleister vor Ort
Variante 3: Datenträgervernichtung extern durch Dienstleister
Ermittlung der Risikostruktur
Bei Anwendung einer Prozessvariante ist im Vorfeld zu überprüfen, ob die technischen und organisatorischen Anforderungen der entsprechenden Schutzklasse und Sicherheitsstufe erfüllt werden.
Bei der Definition der Schutzklasse und der Sicherheitsstufe durch die verantwortliche Stelle sind folgende Fragen zu beantworten:
- Welche Informationen sind in welche Schutzklassen zu klassifizieren?
- Welche Sicherheitsstufe soll angesetzt werden?
- Welche der 3 Varianten soll und kann man wählen?
- Welche technischen und organisatorischen Maßnahmen für den Gesamtprozess sind zu definieren?
Prozesskriterien
Die DIN SPEC 66399 Teil 3 definiert Kriterien für alle Varianten der Datenträgervernichtung. Nach diesen Kriterien wird der Prozess in unterschiedliche Schutzklassen (1-3) eingeteilt. Die Kriterien der Variante 3 entnehmen Sie der nachfolgenden Tabelle.
| Prozessabschnitt | Kriterium | Erfüllung des Kriteriums für die Schutzklasse | ||
| 1 | 2 | 3 | ||
| Organisation | Festlegung der Sicherheitsstufen. | x | x | x |
| Regelmäßige Probeentnahme ist zu kontrollieren. | x | x | ||
| Vernichtung | Einsatz passender Maschinen zur Vernichtung. | x | x | x |
| Personal | Verpflichtung auf das Datengeheimnis. | x | x | x |
| Begleitung von Besuchern und Anlieferern. | x | x | x | |
| Besucherausweis notwendig. | x | x | x | |
| Organisation (verantw. Stelle) |
Technische und organisatorische Maßnahmen sind kundenseitig zu definieren. | x | x | x |
| Organisation (Dienstleister) |
Technische und organisatorische Maßnahmen für die Vernichtungseinrichtung sind zu definieren. | x | x | x |
| Maschinenzertifikat | x | x | x | |
| Notfallkonzept | x | x | ||
| Möglichkeit zur Überwachung der Vernichtung. | x | x | ||
| Prozessabschnitt | Kriterium | Erfüllung des Kriteriums für die Schutzklasse | ||
| 1 | 2 | 3 | ||
| Sammlung / Lagern / Transport | geschlossene und verschlossene Sicherheitsbehälter | x | x | |
| Übernahmeprotokoll | x | x | x | |
| geschlossener Bereich – kein Zugriff auf Daten | x | x | ||
| Bei Vermischung, Verwendung der jeweils höchsten Stufe. | x | x | ||
| Die Lagerung und Entleerung der Sicherheitsbehälter im geschlossenen und überwachten Bereich | x | x | ||
| Einbruchmeldeanlage | x | x | ||
| Transport | Fahrzeuge mit geschlossenem und verschlossenem Aufbau. | x | x | |
| passives GPS-Ortungssystem | x | x | ||
| Vernichtung | Grundsätzlich kein Zugriff auf die zu vernichtenden Datenträger. | x | ||
| Videoüberwachung | x | |||
| Probeentnahme möglich | x | |||
| taggleiche Vernichtung | x | |||
| Sicherheitszone | x | x | x | |
| Betriebsgebäude mit massiver Bauausführung. | x | x | ||
| Schleuse | x | x | ||
| optische oder akustische Meldeeinrichtung an Türen/Toren | x | x | ||
| automatische Meldung an den örtlichen Sicherheitsbeauftragten. | x | |||
| Videoüberwachung | x | x | ||
| Redundanz der Maschinen. | x | |||
Zertifizierung nach DIN 66399
Nachdem die DIN sehr spezifisch definiert, welche Voraussetzungen in einem Unternehmen vorhanden sein müssen um entsprechende Schutzklassen und Sicherheitsstufen gewährleisten zu können, können entsprechende Zertifizierungsstellen eine Zertifizierung des jeweiligen Betriebes vornehmen und die Einhaltung der unterschiedlichen Punkte bestätigen.
Die Zertifikate der ROHPROG GmbH finden Sie hier.
Zurück zur Gesamtübersicht DIN 66399