DIN 66399: Was ist das eigentlich?
Die aktuelle Norm zur Datenträgervernichtung – verständlich erklärt
Über die DIN 66399 werden Sie häufiger stolpern, wenn Sie sich über Datenträger- oder Aktenvernichtung informieren. Auf den ersten Blick erscheint die DIN 66399 häufig verwirrend. Dabei bietet sie Ihnen eine gute Orientierung im Dschungel der Datenschutzgesetze – und die Sicherheit, Ihre Datenträger und Akten rechtskonform zu entsorgen. Lesen Sie hier alle wichtigen Informationen über die DIN 66399 – verständlich erklärt!
Was ist der gesetzliche Hintergrund der DIN 66399?
Was ist eigentlich eine DIN-Norm?
Was ist DIN 66399?
Die DIN 66399 bietet allen Menschen, die für die datenschutzkonforme Vernichtung von Datenträgern mit sensiblen Informationen verantwortlich sind, eine wichtige Orientierung. So lässt sich herausfinden, welche Schutzbedürftigkeit Datenträger haben und wie die Vernichtung angemessen und wirtschaftlich stattfinden kann. Durch die DIN 66399-Zertifizierung können professionelle Dienstleister für die Akten- und Datenträgervernichtung nachweisen, dass sie rechtsverbindliche Standards einhalten. Achten Sie also stets auf die DIN 66399-Zertifizierung, wenn Sie einen Profi engagieren!
Gilt die DIN 66399 nur in Deutschland?
Was legt die DIN 66399 zur Akten- und Datenträgervernichtung fest?
Die DIN 66399 klassifiziert Daten nach ihrer Schutzbedürftigkeit und ordnet sie den angemessenen Sicherheitsstufen zu. Die Sicherheitsstufen orientieren sich daran, wie sicher die Daten nach der Vernichtung vor einer Wiederherstellung durch Dritte sein sollen. Je sensibler die Daten, desto höher muss auch die Sicherheitsstufe bei der Datenvernichtung sein – und entsprechend aufwändiger und schwieriger wäre es, die Daten zu rekonstruieren. Außerdem legt die DIN 66399 fest, welche Maschinen für die Daten- und Aktenvernichtung verwendet werden müssen und wie groß beziehungsweise klein die Partikel sein dürfen, in die Papierdokumente, CDs, Festplatten und andere Datenträger bei jeder Sicherheitsstufe nach DIN 66399 zerschreddert werden.
Warum hat die DIN 66399 die alte DIN 32757 abgelöst?
Was ist neu an der aktuellen DIN 66399?
Wie viele Teile hat die DIN 66399?
Die DIN 66399 besteht aus drei Teilen:
Wenn Sie einen professionellen Dienstleister beauftragen, sind nur die Inhalte der DIN 66399-1 für Sie relevant: Gemeinsam mit den Experten von GreenDataProtection ordnen Sie Ihre Datenträger und Akten den entsprechenden Schutzklassen und Sicherheitsstufen zu. Keine Sorge, wenn Sie hier noch unsicher sind – die richtige Zuordnung ist mit einem Profi an Ihrer Seite schnell gefunden. Da wir ein zertifizierter Anbieter sind, können Sie sich darauf verlassen, dass wir die Vorgaben der DIN 66399-2 und DIN 66399-3 erfüllen. Unser Entsorgungskonzept garantiert, dass alle datenschutzrechtlichen Bestimmungen während des gesamten Prozesses eingehalten werden.
Wie ermittle ich für meine Daten die richtige Schutzklasse nach DIN 66399?
In der DIN 66399 gibt es insgesamt 3 verschiedene Schutzklassen: interne Daten mit einem normalen Schutzbedarf, vertrauliche Daten mit einem hohen Schutzbedarf und streng geheime Daten mit einem sehr hohen Schutzbedarf. Die DIN 66399 gibt auch eine kurze Beschreibung der Daten, die unter die verschiedenen Schutzklasse fallen.
Schutzklasse 1
Interne Daten mit normalem Schutzbedarf
Schutzklasse 2
Vertrauliche Daten mit hohem Schutzbedarf
Schutzklasse 3
Geheime Daten mit sehr hohem Schutzbedarf
Was sind die DIN 66399 Sicherheitsstufen?
Welche Sicherheitsstufe entspricht den DIN 66399 Schutzklassen?
Bei der Wahl der Schutzklassen gilt, dass die Sicherheit der Sensibilität der Daten angemessen sein muss, dabei aber auch möglichst wirtschaftlich sein sollte. Sicherlich kann man auch wenig kritische Daten mit der hohen Sicherheitsstufe 4 vernichten – dies wäre aber ökonomisch nicht sinnvoll, da hier bereits die Sicherheitsstufe 1 ausreichen würde. Die empfohlene Zuordnung der DIN 66399 Sicherheitsstufen lautet wie folgt:
Datenträger der Schutzklasse 1
Hier sollten wahlweise die Sicherheitsstufen 1, 2 oder 3 zum Einsatz kommen. Personenbezogene Daten müssen mit der Sicherheitsstufe 3 vernichtet werden.
Datenträger der Schutzklasse 2
Hier werden die Sicherheitsstufen 3, 4 oder 5 angewendet.
Datenträger der Schutzklasse 3
Hier kommen nur die Sicherheitsstufen 4 oder 5 in Frage.
CDs, DVDs & Festplatten: Was besagt die Materialklassifizierung der DIN 66399?
Während man Informationen früher vor allem auf Papier vorliegen hatte, gibt es heute eine Vielzahl von Datenträgern aus verschiedenen Materialien – wie CDs, DVDs oder Computerfestplatten. In Arztpraxen fallen darüber hinaus häufig Röntgenbilder an. All diese Datenträger finden in der DIN 66399 ebenfalls Berücksichtigung – bei der sogenannten Materialklassifizierung. Für 6 verschiedene Arten von Datenträgern wurden jeweils eigene Kategorien an Sicherheitsstufen definiert.
Informationsdarstellung in Originalgröße
So kennen wir es von früher – der gute alte Aktenordner mit abgehefteten Papieren, die Informationen in Originalgröße darstellen. Aber auch Fotofilme oder Druckplatten fallen unter diese Klasse. Die dazugehörigen Sicherheitsstufen sind P-1 bis P-7.
Verkleinerte Informationsdarstellung
Auch hier sind die Informationen mit bloßem Auge ersichtlich – jedoch nicht in Originalgröße, sondern verkleinert. Das können beispielsweise Mikrofilme oder Folien sein. Die entsprechenden Sicherheitsstufen sind F-1 bis F-7.
Optische Datenträger
In den späten 1990ern kamen CD-Roms und DVDs als Datenträger auf. Sie tragen die Sicherheitsstufen O-1 bis O-7.
Magnetische Datenträger
Unter magnetischen Datenträgern versteht man ID-Karten mit Magnetstreifen oder die guten alten Disketten. Sie sind mit den Sicherheitsstufen T-1 bis T-7 versehen.
Elektronische Datenträger
Hierzu gehören moderne Speichermedien wie USB-Sticks oder Chipkarten. Sie werden nach den Sicherheitsstufen E-1 bis E-7 vernichtet.
Festplatten
Bei der Festplattenvernichtung werden die Sicherheitsstufen H-1 bis H-7 angewendet.