Mit freundlicher Genehmigung des Deutschen Instituts für Normung e.V., Oktober 2012
Seit 2012 ist sie da – die DIN-Norm zur Datenträgervernichtung. Sie gibt Ihnen den Rahmen für eine geschlossene Prozess-Sicherheit. Sie besteht aus 3 Teilen: DIN 66399-1, DIN 66399-2 und DIN-SPEC 66399-3. Sie ermöglicht Ihnen als „Herr der Daten“ die Schutzklassen und Sicherheitsstufen zu bestimmen und die für Ihren Bedarf angemessene Verfahrenskette zu wählen.
Sie unterstützt Ihre Geschäftsabläufe beim Sparen von Kosten und Zeit durch Effektivität und Effizienz. Sie schützt und schont – Daten und Ressourcen.
Als aktives DIN-66399-Ausschuss-Mitglied – von Tagungsbeginn in 2009 an – prägte documentus das Normungssystem maßgeblich für Sie mit.
Alte DIN 32757: NORMbody is perfect?
Die DIN 32757 war im Grunde nie eine Norm für Dienstleistungsunternehmen, sondern vielmehr für Hersteller von Kleingeräten zur Vernichtung von Datenträgern. Und trotz ihres Maschinencharakters war sie unverzichtbar, weil es einfach keine Alternativen für den Datenschutzbereich gab. Aber die Datensicherheit von morgen fordert die Technik von heute heraus.
Neue DIN 66399: Ein neues NORMalter beginnt.
Der Glanzpunkt der DIN 66399 ist ihre Ganzheitlichkeit. Denn sie bildet mit dem 3. Teil – der DIN SPEC – erstmals den Prozess der Datenträgervernichtung ab und gibt vor, welche konkreten technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes umzusetzen sind. Dieser Herausforderung hat sich die documentus Gruppe von Beginn an gestellt. Als erster bundesweit tätiger Dienstleister hat die documentus Gruppe an ihren Standorten die technischen und organisatorischen Maßnahmen an die DIN 66399 vollständig angepasst und sich von einer unabhängigen Sachverständigen-Organisation nach der DIN 66399 zertifizieren lassen.
DIN 66399-1:
Die NORMative Kraft des Faktischen.
Die DIN 66399 ist unerklärlich? Von wegen. Teil 1 definiert die Begriffe und die Faktoren, die für die Datenträgervernichtung relevant sind:
- Schutzklassen 1-3
- Sicherheitsstufen 1-7
- Einflussgrößen für die Rekonstruktion von Informationen
Struktur DIN 66399.
Schutzbedarfermittlung | Schutzklassenzuordnung. Um bei der Datenträgervernichtung dem Wirtschaftlichkeits- | Angemessenheitsprinzip Rechnung zu tragen, sind Daten in Schutzklassen einzuteilen. Diese wiederum sind ausschlaggebend für die Wahl der Sicherheitsstufe. Und weil niemand seine Daten besser kennt, als der der sie erzeugt, ordnen Sie beides als „Herr Ihrer Daten“ selber zu.
Hierbei sollten Sie beachten, dass die Schutzklassen-Wahl direkten Einfluss auf die Kosten der Datenträgervernichtung hat: Je feiner der Grad der Vernichtung ist, desto höher ist der Energie-, Personal- und Maschinenaufwand. Daher sollte diese Entscheidung nicht leichtfertig getroffen werden. Es kann sogar wirtschaftlich vorteilhafter sein die Schutzklassen zu trennen. Denn dann werden ausschließlich die Datenträger in einer höheren Sicherheitsstufe geshreddert, die diesem Schutz auch wirklich bedürfen.
Der Schutz von personenbezogenen Daten muss gewährleistet sein. Andernfalls besteht die Gefahr, dass der Betroffene in seiner Stellung und seinen wirtschaftlichen Verhältnissen beeinträchtigt wird. Beispiele:
- Telefonlisten
- Produktlisten
- Lieferantendaten
- Adressdaten
Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird. Beispiele:
- Betriebswirtschaftliche Auswertungen
- Interne Reportings
- Finanzbuchhaltungsunterlagen
- Bilanzen | Jahresabschlüsse
Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein. Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen. Beispiele:
- Zeugenschutzprogramme
- Informationen aller Geheimhaltungsgrade des Bundes und der Länder
- Geheime | streng geheime Unterlagen aus Forschung und Entwicklung von Wirtschaftsunternehmen
Sicherheitsstufen.
Sicherheitsstufen- | Schutzklassen-Zuordnung.
Einflussgrößen für die Rekonstruktion von Informationen. Vermischen und Verpressen erhöht bei Papier und Mikrofilmen die Sicherheitsstufe. Und darf nur bis zur Erreichung der Sicherheitsstufe 4 als sicherheitserhöhender Faktor berücksichtigt werden.
Bei elektronischen oder magnetischen Datenträgern kann eine niedrigere Sicherheitsstufe gewählt werden, wenn zuvor die Datenträger gelöscht oder überschrieben wurden.
DIN 66399-2: Auch Technik ist NORMiert.
Durch die Anforderungen an Maschinen zur Vernichtung von Datenträgern sind die wesentlichen Fragen der Gebrauchstauglichkeit und Zuverlässigkeit geklärt. Das schafft Kontrolle, ob Datenträger vollständig vernichtet sind.
Datenträgerarten. Die Datenträger-Partikelgrößen in den Sicherheitsstufen wurden dem Stand der Technik angepasst. Jede Datenträgerart ist durch ein Kürzel beschrieben (PFOTHE), das der jeweiligen Sicherheitsstufe vorangestellt wird:
| P | – | Informationsdarstellung in Originalgröße: Papier | Film | Druckformen |
| F | – | Informationsdarstellung verkleinert: Film | Mikrofilm | Folie |
| O | – | Informationsdarstellung auf optischen Datenträgern: CD | DVD |
| T | – | Informationsdarstellung auf magnetischem Datenträger: Disketten | ID-Karten | Magnetbandkassetten |
| H | – | Informationsdarstellung auf Festplatten mit magnetischem Datenträger: Festplatten |
| E | – | Informationsdarstellung auf elektronischen Datenträgern: Speicherstick | Chipkarte | Halbleiterfestplatten | mobile Kommunikationsmittel |
DIN-SPEC-66399-3:
PhäNORMenale Sicherheitsprozesse.
Teil 3 der DIN ist keine offizielle Norm des Deutschen Instituts für Normung, sondern eine Spezifikation (engl. Specification), die vom Arbeitsausschuss „Vernichtung von Datenträgern“ im Normenausschuss Informationstechnik und Anwendungen (NIA) ausgearbeitet wurde. Und nicht nur ihr Name – DIN SPEC 66399-3 – ist besonders, auch ihr Inhalt. Hier werden die technischen und organisatorischen Anforderungen an den Prozess der Datenträgervernichtung beschrieben. Von der Anfallstelle bis zur umweltfreundlichen Verwertung unter Beachtung der gesetzlichen Regelungen steht Ihnen nicht nur eine datenschutzkonforme, sichere Vernichtung zur Verfügung, sondern stets der gesamte „Best-in-Class“-Prozess.
Prozessvarianten | -abschnitte.
Prozessdefinition. Fallen Datenträger unterschiedlicher Sicherheitsstufen an der Anfallstelle an, so ist aus ökologischen und ökonomischen Gründen die Trennung in verschiedene Sicherheitsstufen an der Anfallstelle empfohlen.
Um eine Basissicherheit vor dem Vernichten elektronischer und magnetischer Datenträger zu erreichen, wird das Löschen oder Überschreiben empfohlen. Nach Abwägung des Schutzbedarfs kann dann bei der Vernichtung eine geringere Sicherheitsstufe gewählt werden. Wenn eine Beeinträchtigung der unmittelbaren Funktionsfähigkeit oder Löschen | Überschreiben nicht möglich ist, muss die notwendige Sicherheitsstufe in der gewählten Schutzklasse angewendet werden.
Übernahmeprotokoll – hier werden die Transfer-Informationen auf einen externen Dienstleister festgehalten: Name des Boten, Datenträgerkategorie, Datenträger- | Behältermenge oder -gewicht, wie – wann – wo zusammengestellt wurde.
Vernichtungsprotokoll – darin sind die Informationen zur Person, zum Gegenstand, zur Menge, zur Uhrzeit, zum Ort und zur Sicherheitsstufe nach DIN 66399-2 gelistet.
Resümee: Was für Sie eNORM wichtig ist.
Auch wenn die DIN 66399 die DIN 32757 ersetzt hat, ist es nach wie vor möglich, weiterhin die alte DIN als Vertragsgrundlage zur Auftragsdatenverarbeitungen anzuwenden. Bestehende Verträge verlieren selbstverständlich nicht ihre Gültigkeit.
Vor allem aber lassen Sie sich bitte nicht durch geschönte oder bewusst falsch gelenkte Argumentationslinien verunsichern. Die DIN ist ein Hilfsmittel zur Wahrung der Datensicherheit und unterstreicht lediglich Ihre Verpflichtung aus dem BDSG und Sozialgesetzbuch (SGB), Auftragnehmer vor Auftragsvergabe zu überprüfen.
Fakt ist auch, dass das Zusammenführen großer Mengen in der Aktenvernichtung, zu einer Erhöhung der Sicherheit führt, weil die Rekonstruierbarkeit deutlich erschwert wird. Die DIN 66399 entspricht diesem Vorgang eindeutig.
Mit documentus erhalten Sie ein Maximum an Datensicherheit bei gleichzeitigem Erhalt der Verwertbarkeit. Damit erfüllen wir nicht nur die Vorgaben des BDSG, sondern auch die des Kreislaufwirtschaftsgesetzes.
Und wenn Sie in der immer größer werdenden Datenflut den Aufwand reduzieren möchten, werden Sie Verschwendung vermeiden und damit die Nachhaltigkeit von Prozessen deutlich steigern. Das Gute daran: Nachhaltigkeit ist in letzter Konsequenz per Definition ressourcenschonend.
Impressum
Normannenweg 34
20537 Hamburg
- Tel.:
- 040 2530424-0
- Fax:
- 040 2530424-29
- E-Mail:
- info@documentus.de
- Geschäftsführer:
- Christian Miers
- Handelsregister:
- HRB 42844
- Sitz:
- Hamburg
- USt.-IdNr.
- DE 118682599
Hiermit distanzieren wir uns ausdrücklich von allen Inhalten aller gelinkten Seiten auf unserer Homepage und machen uns diese Inhalte nicht zu eigen. Diese Erklärung gilt für alle auf dieser Website angebrachten Links.
Haftungsausschluss – Inhalt des Onlineangebotes. Die documentus Deutschland GmbH – nachfolgend documentus genannt – übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche gegen documentus, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen. documentus behält es sich ausdrücklich vor, Teile der Seiten oder das gesamte Angebot ohne gesonderte Ankündigung zu verändern, zu ergänzen, zu löschen oder die Veröffentlichung zeitweise oder endgültig einzustellen.
Verweise und Links. Die direkten oder indirekten Verweise auf fremde Internetseiten („Links“), liegen außerhalb des Verantwortungsbereiches von documentus. Auf die aktuelle und zukünftige Gestaltung, die Inhalte oder die Urheberschaft der gelinkten/verknüpften Seiten hat documentus keinerlei Einfluss. Deshalb distanziert sich documentus hiermit ausdrücklich von allen Inhalten aller gelinkten / verknüpften Seiten. Diese Feststellung gilt für alle innerhalb des eigenen Internetangebotes gesetzten Links und Verweise. Für illegale, fehlerhafte oder unvollständige Inhalte und insbesondere für Schäden, die aus der Nutzung oder Nichtnutzung solcherart dargebotener Informationen entstehen, haftet allein der Anbieter der Seite, auf welche verwiesen wurde, nicht derjenige, der über Links auf die jeweilige Veröffentlichung lediglich verweist.
Urheber- und Kennzeichenrecht. Das in dem documentus enthaltene geistige Eigentum wie Patente, Marken und Urheberrechte ist geschützt. Alle Texte, Bilder, Graphiken, Ton-, Video- und Animationsdateien unterliegen dem Urheberrecht und anderen Gesetzen zum Schutz des geistigen Eigentums. Sie dürfen weder für Handelszwecke oder zur Weitergabe kopiert, noch verändert und auf anderen Websites oder Publikationen verwendet werden. Durch diese Website wird keine Lizenz zur Nutzung des geistigen Eigentums von documentus oder Dritten erteilt. Alle innerhalb des Internetangebots genannten und gegebenenfalls durch Dritte geschützten Marken- und Warenzeichen unterliegen uneingeschränkt den Bestimmungen des jeweils gültigen Kennzeichenrechts und den Besitzrechten der jeweiligen eingetragenen Eigentümer. Allein aufgrund der bloßen Nennung ist nicht der Schluss zu ziehen, dass Markenzeichen nicht durch Rechte Dritter geschützt sind.
Datenschutz. Sofern innerhalb des Internetangebotes die Möglichkeit zur Eingabe persönlicher oder geschäftlicher Daten (E-Mail-Adressen, Namen, Anschriften) besteht, so erfolgt die Preisgabe dieser Daten seitens des Nutzers auf ausdrücklich freiwilliger Basis.
Rechtswirksamkeit. Dieser Haftungsausschluss ist als Teil des Internetangebotes www.DIN66399.de zu betrachten. Sofern Teile oder einzelne Formulierungen dieses Textes der geltenden Rechtslage nicht, nicht mehr oder nicht vollständig entsprechen sollten, bleiben die übrigen Teile des Dokumentes in ihrem Inhalt und ihrer Gültigkeit davon unberührt.