DIN 66399 Akten- und Datenträgervernichtung
DIN 66399
Grundlagen
Seit Oktober 2012 ist die Norm DIN 66399 Akten- und Datenträgervernichtung mit ihren drei Teilen veröffentlicht. Die DIN 66399 ersetzt die bisher vorhandene Norm DIN 32575 aus dem Jahr 1995.
Im August 2018 wurde die deutsche Norm DIN 66399 als ISO/IEC 21964 international in Kraft gesetzt.
Die weltweit gültige ISO/IEC 21964 ist wortgleich mit der deutschen DIN 66399.
Die PZERT GmbH stellt nach erfolgreicher Prüfung der Akten- und Datenträgervernichtungsanlage seit dem 01.01.2024 Zertifikat nach der weltweit gültigen ISO/IEC 21964 aus und führt im Zertifikat die DIN 66399 weiterhin auf.
Verschiedene Marktbeteiligte haben Ende 2023 die Information verbreitet, dass zum 01.01.2024 die DIN 66399 in Deutschland außer Kraft tritt und durch die überarbeitete Norm 15713 ersetzt wird.
1. Die DIN 66399 ist auch weiterhin in Kraft und es gibt aktuell keinen Grund diese Norm außer Kraft zusetzen.
2. Die Norm 15713 (Vernichtung vertraulicher Unterlagen) ist als neue Norm EN 15713:2023 im Jahr 2023 in Europa veröffentlicht worden. Beispielsweise die Schweiz (2023) und Österreich (2024) haben diese Norm national veröffentlicht. In Deutschland wurde die neue EN15713:2023 bisher nicht veröffentlicht.
In Deutschland gilt weiterhin die bisherige DIN 15713:2009 die deutlich umfangreicher ist.
Die DIN 66399 betrachtet verschiedene Materialarten.
Materialarten:
Welche Datenträger werden im Unternehmen vernichtet?
-
P – Informationsdarstellung in Originalgröße (Papier, Film, Druckformen,…)
-
F – Informationsdarstellung verkleinert (Film/Folie,…)
-
O – Informationsdarstellung auf optischen Datenträgern (CD/DVD,…)
-
T – Informationsdarstellung auf magnetischem Datenträger (Disketten, ID-Karten, Magnetbandkassetten,...)
-
H – Informationsdarstellung auf Festplatten mit magnetischem Datenträger (Festplatten)
-
E – Informationsdarstellung auf elektronischen Datenträgern (Speicherstick, Chipkarte, Halbleiterfestplatten, mobile Kommunikationsmittel,…)
Um bei der Datenträgervernichtung dem Wirtschaftlichkeits- bzw. Angemessenheitsprinzip Rechnung zu tragen, ist es notwendig, die Daten in Schutzklassen einzuteilen. Dabei ist der Grad der Schutzbedürftigkeit ausschlaggebend für die zu treffende Wahl der Sicherheitsstufe in Bezug auf die Vernichtung der Datenträger.
Schutzklasse 1 Normaler Schutzbedarf für interne Daten:
-
Gebräuchlichste Einstufung von Informationen und für größere Gruppen bestimmt.
-
Unberechtigte Offenlegung oder Weitergabe hätte begrenzte negative Auswirkungen auf das Unternehmen.
-
Der Schutz von personenbezogenen Daten muss gewährleistet sein. Andernfalls besteht die Gefahr, dass der Betroffene in seiner Stellung und in seinen wirtschaftlichen Verhältnissen beeinträchtigt wird.
Schutzklasse 2 Hoher Schutzbedarf für vertrauliche Daten:
-
Beschränkung der Informationen auf kleinen Personenkreis erforderlich.
-
Eine unberechtigte Weitergabe hätte erhebliche Auswirkungen auf das Unternehmen und könnte gegen vertragliche Verpflichtungen oder Gesetze verstoßen.
-
Der Schutz personenbezogener Daten muss hohen Anforderungen genügen. Andernfalls besteht die Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird.
Schutzklasse 3 Sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten:
-
Beschränkung der Informationen auf sehr kleinen, namentlich bekannten Kreis von Zugriffsberechtigten erforderlich.
-
Eine unberechtigte Weitergabe hätte ernsthafte (existenzbedrohende) Auswirkungen auf das Unternehmen und/oder würde gegen Berufsgeheimnisse, Verträge und Gesetze verstoßen.
-
Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein. Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen.
Für Datenträger der Kategorie P + F, die in der jeweiligen Sicherheitsstufe 1, 2 oder 3 vernichtet wurden, kann der Datenbesitzer bzw. die verantwortliche Stelle, durch industrielle Nebeneffekte wie Vermischen/Verwirbeln/Verpressen die einmalige Erhöhung um eine Stufe der primären Sicherheitsstufe anordnen (max. auf Sicherheitsstufe 4). Eine einseitige Anhebung durch den Dienstleister ist nicht zulässig.