DIN 66399: Was ist das eigentlich?

Die aktuelle Norm zur Datenträgervernichtung – verständlich erklärt

Über die DIN 66399 werden Sie häufiger stolpern, wenn Sie sich über Datenträger- oder Aktenvernichtung informieren. Auf den ersten Blick erscheint die DIN 66399 häufig verwirrend. Dabei bietet sie Ihnen eine gute Orientierung im Dschungel der Datenschutzgesetze – und die Sicherheit, Ihre Datenträger und Akten rechtskonform zu entsorgen. Lesen Sie hier alle wichtigen Informationen über die DIN 66399 – verständlich erklärt!

Mehr erfahren

Was ist der gesetzliche Hintergrund der DIN 66399?

Das Bundesdatenschutzgesetz (BDSG) und die Datenschutz-Grundverordnung (DSGVO) sehen vor, dass Datenträger mit personenbezogenen Daten vernichtet werden müssen, sobald sie für die Erfüllung ihres ursprünglichen Zweckes nicht mehr benötigt werden. Dabei soll natürlich verhindert werden, dass Unbefugte in den Besitz der Datenträger und der darauf hinterlegten Informationen kommen – und sie womöglich rekonstruieren und missbrauchen können.

Im Bundesdatenschutzgesetz ist unter § 9 deshalb festgelegt, dass bei der Datenvernichtung die entsprechenden technischen und organisatorischen Maßnahmen ergriffen werden müssen, um die Wiederherstellung der Daten zu erschweren oder vollständig zu verhindern. Der Aufwand soll dabei aber in einem angemessenen Verhältnis zum erforderlichen Schutz der Daten stehen.

Was ist eigentlich eine DIN-Norm?

Seit 1917 gibt es das Deutsche Institut für Normung e.V. – kurz DIN. Die Experten des DIN kommen aus verschiedenen Fachbereichen von Wirtschaft und Forschung und arbeiten unabhängig. Sie erstellen Standardisierungen, die im globalen Handel, in der Qualitätssicherung und auch im Verbraucher- und Umweltschutz Anwendung finden. Die sogenannten DIN-Normen bieten eine gemeinsame Grundlage und einheitliche Richtlinien, die Sicherheit in vielen verschiedenen Bereichen unseres Lebens schaffen.

Was ist DIN 66399?

Die DIN 66399 bietet allen Menschen, die für die datenschutzkonforme Vernichtung von Datenträgern mit sensiblen Informationen verantwortlich sind, eine wichtige Orientierung. So lässt sich herausfinden, welche Schutzbedürftigkeit Datenträger haben und wie die Vernichtung angemessen und wirtschaftlich stattfinden kann. Durch die DIN 66399-Zertifizierung können professionelle Dienstleister für die Akten- und Datenträgervernichtung nachweisen, dass sie rechtsverbindliche Standards einhalten. Achten Sie also stets auf die DIN 66399-Zertifizierung, wenn Sie einen Profi engagieren!

Gilt die DIN 66399 nur in Deutschland?

Die DIN 66399 ist eine deutsche Norm. Sie entspricht jedoch dem weltweiten Standard, der als ISO 21964 von der Internationalen Organisation für Normung geführt wird. Das gibt vor allem global agierenden Unternehmen Rechtssicherheit.

Was legt die DIN 66399 zur Akten- und Datenträger­vernichtung fest?

Die DIN 66399 klassifiziert Daten nach ihrer Schutzbedürftigkeit und ordnet sie den angemessenen Sicherheitsstufen zu. Die Sicherheitsstufen orientieren sich daran, wie sicher die Daten nach der Vernichtung vor einer Wiederherstellung durch Dritte sein sollen. Je sensibler die Daten, desto höher muss auch die Sicherheitsstufe bei der Datenvernichtung sein – und entsprechend aufwändiger und schwieriger wäre es, die Daten zu rekonstruieren. Außerdem legt die DIN 66399 fest, welche Maschinen für die Daten- und Aktenvernichtung verwendet werden müssen und wie groß beziehungsweise klein die Partikel sein dürfen, in die Papierdokumente, CDs, Festplatten und andere Datenträger bei jeder Sicherheitsstufe nach DIN 66399 zerschreddert werden.

Warum hat die DIN 66399 die alte DIN 32757 abgelöst?

Neu ist relativ: Die neue und nach wie vor aktuelle DIN 66399 gilt seit dem Jahr 2012. Ihr Vorgänger war die DIN 32757 aus dem Jahr 1985. Diese alte Norm richtete sich an die Hersteller von Aktenvernichtungs-Maschinen und war wesentlich weniger genau und differenziert. Damit auch Verantwortliche aus Unternehmen sowie Dienstleister aus dem Bereich Daten- und Aktenvernichter eine verbindliche Orientierung erhalten, wurde die alte DIN 32757 durch die neue, verbesserte DIN 66399 ersetzt. Sie trägt auch der Entwicklung neuer Speichermedien Rechnung.

Was ist neu an der aktuellen DIN 66399?

Neu an der DIN 66399 ist, dass der konkrete Schutzbedarf von Daten ermittelt und drei verschiedenen Schutzklassen zugeordnet wird. Da sich die Welt seit 1985 weitergedreht hat, beinhaltet die neue DIN 66399 auch Materialklassifizierungen – schließlich gibt es heute nicht nur Dokumente auf Papier, sondern auch digitale Datenträger wie DVDs, Festplatten oder USB-Sticks. Die letzte Neuerung: Bei den Sicherheitsstufen sind zwei hinzugekommen, so dass es jetzt insgesamt 7 Sicherheitsstufen gibt.

Wie viele Teile hat die DIN 66399?

Die DIN 66399 besteht aus drei Teilen:

Die DIN 66399-1 beschreibt, was unter den in der Norm verwendeten Begrifflichkeiten zu verstehen ist und legt die Grundlagen fest. Sie ordnet auch die Schutzklassen und die entsprechenden Sicherheitsstufen einander zu.
Die DIN 66399-2 betrifft die eingesetzten Maschinen und bestimmt die Voraussetzungen, welche sie zur Datenträgervernichtung erfüllen müssen.
Die DIN 66399-3 letztlich definiert die Kriterien, nach denen der Prozess der Datenträger- und Aktenvernichtung gestaltet werden muss.

Wenn Sie einen professionellen Dienstleister beauftragen, sind nur die Inhalte der DIN 66399-1 für Sie relevant: Gemeinsam mit den Experten von GreenDataProtection ordnen Sie Ihre Datenträger und Akten den entsprechenden Schutzklassen und Sicherheitsstufen zu. Keine Sorge, wenn Sie hier noch unsicher sind – die richtige Zuordnung ist mit einem Profi an Ihrer Seite schnell gefunden. Da wir ein zertifizierter Anbieter sind, können Sie sich darauf verlassen, dass wir die Vorgaben der DIN 66399-2 und DIN 66399-3 erfüllen. Unser Entsorgungskonzept garantiert, dass alle datenschutzrechtlichen Bestimmungen während des gesamten Prozesses eingehalten werden.

Wie ermittle ich für meine Daten die richtige Schutzklasse nach DIN 66399?

In der DIN 66399 gibt es insgesamt 3 verschiedene Schutzklassen: interne Daten mit einem normalen Schutzbedarf, vertrauliche Daten mit einem hohen Schutzbedarf und streng geheime Daten mit einem sehr hohen Schutzbedarf. Die DIN 66399 gibt auch eine kurze Beschreibung der Daten, die unter die verschiedenen Schutzklasse fallen.

Schutzklasse 1

Interne Daten mit normalem Schutzbedarf

Hierzu gehören die meisten Daten die in Unternehmen anfallen. Es handelt sich um Informationen, die für alle oder zumindest sehr viele Menschen im Unternehmen zugänglich sind – beispielsweise Produktkataloge, Notizen und Korrespondenzen, Telefonregister und Mailinglisten. Die Daten erhalten die unterste Schutzklasse 1, weil bei einer Offenlegung durch Unbefugte zwar ein gewisser Nachteil für das Unternehmen entstehen könnte, dieser jedoch begrenzt wäre.

Schutzklasse 2

Vertrauliche Daten mit hohem Schutzbedarf

Diese Daten unterscheiden sich von den Daten aus Schutzklasse 1, weil die negative Auswirkung auf das Unternehmen erheblich sein könnte, wenn sie in die falschen Hände fallen. Hierzu zählen vertrauliche interne Daten wie Reportings, betriebswirtschaftliche Auswertungen, Personaldaten, Steuerunterlagen oder Unternehmensbilanzen.

Schutzklasse 3

Geheime Daten mit sehr hohem Schutzbedarf

Daten der Schutzklasse 3 sind hochsensibel und geheim. Würden sie unberechtigt weitergegeben, könnte dies existenzbedrohende Nachteile für das Unternehmen mit sich bringen. So könnte eine Weitergabe beispielsweise das Berufsgeheimnis, Verträge oder Gesetze verletzen. Zu diesen streng vertraulichen Daten gehören beispielsweise Arztberichte und Patientenakten, aber auch geheime Strategiepapiere.

Was sind die DIN 66399 Sicherheits­stufen?

Die Sicherheitsstufen der DIN 66399 orientieren sich an dem Aufwand, der investiert werden müsste, um die Informationen auf dem vernichteten Datenträger wieder nutzbar zu machen. Insgesamt gibt es 7 solcher Sicherheitsstufen, wovon die höchsten beiden jedoch nur selten Anwendung finden – zum Beispiel bei streng geheimen Papieren der Regierung. Die gängigsten DIN 66399 Sicherheitsstufen werden wie folgt definiert:
 
Sicherheitsstufe 1: Der Aufwand, der zur Wiederherstellung betrieben werden müsste, ist verhältnismäßig überschaubar. Bei der Vernichtung von Papierdokumenten entspricht dies einer Streifenbreite maximal 12 mm, bei anderen Materialien einer Teilchenfläche von maximal 2000 mm2.
 
Sicherheitsstufe 2: Hier wäre die Rekonstruktion der Daten mit besonderem Aufwand verbunden. Papierdokumente müssten bei dieser Sicherheitsstufe 6 mm oder schmaler sein, andere Datenträger müssten in Partikel kleiner oder gleich 800 mm2 zerteilt werden.
 
Sicherheitsstufe 3: Die Streifenbreite von zerschredderten Akten beträgt bei Sicherheitsstufe 3 höchstens 2 mm – entsprechend wäre ein erheblicher Aufwand nötig, um die Informationen wiederherstellen zu können. Materialteilchen dürfen maximal 320 mm2 groß sein.
 
Sicherheitsstufe 4: Hier wäre ein Wiederherstellen der Daten nur noch mit außergewöhnlichem Aufwand möglich. Papier darf zwar bis zu 6 mm breit sein – also breiter als bei Sicherheitsstufe 3 – aber nicht mehr unbegrenzt lang. Vielmehr muss es in regelmäßige Partikel zerteilt werden. Die Teilchenfläche bei anderem Material liegt bei maximal 160 mm2.
 
Sicherheitsstufe 5: Bei dieser Stufe ist zweifelhaft, ob die Rekonstruktion überhaupt möglich wäre. Die regelmäßigen Partikel von Papierdokumenten dürfen nur noch maximal 2 mm breit sein, Materialteilchen nur noch maximal 30 mm2 groß.

Welche Sicherheitsstufe entspricht den DIN 66399 Schutzklassen?

Bei der Wahl der Schutzklassen gilt, dass die Sicherheit der Sensibilität der Daten angemessen sein muss, dabei aber auch möglichst wirtschaftlich sein sollte. Sicherlich kann man auch wenig kritische Daten mit der hohen Sicherheitsstufe 4 vernichten – dies wäre aber ökonomisch nicht sinnvoll, da hier bereits die Sicherheitsstufe 1 ausreichen würde. Die empfohlene Zuordnung der DIN 66399 Sicherheitsstufen lautet wie folgt:

Datenträger der Schutzklasse 1

Hier sollten wahlweise die Sicherheitsstufen 1, 2 oder 3 zum Einsatz kommen. Personenbezogene Daten müssen mit der Sicherheitsstufe 3 vernichtet werden.

Datenträger der Schutzklasse 2

Hier werden die Sicherheitsstufen 3, 4 oder 5 angewendet.

Datenträger der Schutzklasse 3

Hier kommen nur die Sicherheitsstufen 4 oder 5 in Frage.

CDs, DVDs & Festplatten: Was besagt die Material­klassifizierung der DIN 66399?

Während man Informationen früher vor allem auf Papier vorliegen hatte, gibt es heute eine Vielzahl von Datenträgern aus verschiedenen Materialien – wie CDs, DVDs oder Computerfestplatten. In Arztpraxen fallen darüber hinaus häufig Röntgenbilder an. All diese Datenträger finden in der DIN 66399 ebenfalls Berücksichtigung – bei der sogenannten Materialklassifizierung. Für 6 verschiedene Arten von Datenträgern wurden jeweils eigene Kategorien an Sicherheitsstufen definiert.

Informationsdarstellung in Originalgröße

So kennen wir es von früher – der gute alte Aktenordner mit abgehefteten Papieren, die Informationen in Originalgröße darstellen. Aber auch Fotofilme oder Druckplatten fallen unter diese Klasse. Die dazugehörigen Sicherheitsstufen sind P-1 bis P-7.

Verkleinerte Informationsdarstellung

Auch hier sind die Informationen mit bloßem Auge ersichtlich – jedoch nicht in Originalgröße, sondern verkleinert. Das können beispielsweise Mikrofilme oder Folien sein. Die entsprechenden Sicherheitsstufen sind F-1 bis F-7.

Optische Datenträger

In den späten 1990ern kamen CD-Roms und DVDs als Datenträger auf. Sie tragen die Sicherheitsstufen O-1 bis O-7.

Magnetische Datenträger

Unter magnetischen Datenträgern versteht man ID-Karten mit Magnetstreifen oder die guten alten Disketten. Sie sind mit den Sicherheitsstufen T-1 bis T-7 versehen.

Elektronische Datenträger

Hierzu gehören moderne Speichermedien wie USB-Sticks oder Chipkarten. Sie werden nach den Sicherheitsstufen E-1 bis E-7 vernichtet.

Festplatten

Bei der Festplattenvernichtung werden die Sicherheitsstufen H-1 bis H-7 angewendet.

Wie kann ich die Einhaltung der DIN 66399 Norm bei der Datenvernichtung gewährleisten?

Sie sehen: Die DIN 66399 Norm deckt nahezu jeden Fall ab und gibt eine genaue Orientierung, wie die verschiedensten Datenträger sicher und datenschutzkonform entsorgt werden. Wer in seinem Unternehmen für Datenschutz und Entsorgung sensibler Daten verantwortlich ist, fragt sich jedoch: Wie kann ich die Einhaltung der DIN 66399 Norm in der Praxis gewährleisten? In der Umsetzung ist die Datenträgervernichtung tatsächlich komplex und zeitintensiv – vor allem dann, wenn Sie kein Datenschutzexperte sind und sich lieber auf Ihr Kerngeschäft konzentrieren möchten.

Hinzu kommt: Herkömmliche Aktenschredder decken nicht jede Sicherheitsstufe der DIN 66399 ab, sondern meist nur die unteren Stufen 1 bis 3. Die Anschaffung eines leistungsstarken Schredders bis Sicherheitsstufe 4 oder 5 ist sehr kostenintensiv. Zudem müssen Sie auch während des gesamten Prozesses der Akten- und Datenträgerentsorgung – von der Sammlung der Unterlagen und Speichermedien bis zur endgültigen Vernichtung – alle Datenschutzrichtlinien berücksichtigen und die Informationen vor dem Zugriff Unbefugter schützen. Das ist in einem Unternehmen oft kaum zu leisten.

Überlassen Sie die Datenträgervernichtung deshalb am besten einem professionellen und zertifizierten Dienstleister wie GreenDataProtection! Wir sind ein offizieller Entsorgungsfachbetrieb und verfügen über die Zertifikate DIN SPEC 66399-3:2013-02 sowie das Prüfzeugnis nach DIN 66399-2:2012-10. Bei uns werden die Vorgaben der DIN 66399 während des gesamten Prozesses der Akten- und Datenträgervernichtung lückenlos eingehalten.

Und so funktioniert es: Unsere Mitarbeiter stellen in Ihrem Unternehmen Sicherheitsbehälter nach DIN 66399 auf und holen sie nach Terminabsprache wieder ab, um sie in unserem Hochleistungs-Schredder entsprechend ihrer Schutzklasse und Sicherheitsstufe zu vernichten. Zum Abschluss erhalten Sie von uns ein Zertifikat über die datenschutzkonforme Entsorgung Ihrer Akten und Datenträger.

Leisten Sie mit GreenDataProtection einen Beitrag zum Schutz unserer Ressourcen!

Weil uns die Erhaltung unserer natürlichen Ökosysteme am Herzen liegt, vernichten wir Ihre Datenträger nicht nur zuverlässig und datenschutzkonform, sondern sorgen auch dafür, dass sie recycelt und zu hochwertigem Büropapier oder anderen Produkten verarbeitet werden. Zusammen mit Ihrer Rechnung erhalten Sie daher auch ein Nachhaltigkeits-Zertifikat, das Sie in Ihrer Öffentlichkeitsarbeit verwenden können. Leisten Sie einen Beitrag zur Schonung der natürlichen Ressourcen und entsorgen Sie Ihre Daten einfach, komfortabel und sicher nach DIN 66399 – lassen Sie sich jetzt ein unverbindliches Angebot von uns machen!