Kuriose Entsorgung zu Karneval: Geschreddete Akten mit der Konfettikanone verschossen

Sind personenbezogene Daten betroffen, muss auch bei der Aktenvernichtung der Datenschutz eingehalten werden.

• Für die datenschutzkonforme Aktenvernichtung greift seit Oktober 2012 die DIN 66399. Sie gibt sieben verschiedene Sicherheitsstufen vor (Kleinteiligkeit geschredderter Akten).

• Je höher die Schutzklasse betroffener Informationen, desto höher die zu wählende Schutzstufe.

• Akten, die personenbezogene Daten enthalten, müssen mindestens unter Sicherheitsstufe 3 (z. B. Personaldaten, Bewerbungsunterlagen) bzw. 4 (z. B. Patientendaten, Kanzleiakten mit Mandanteninformationen) vernichtet werden.

Die DIN 66399 empfiehlt jeder verantwortlichen Stelle, die verarbeiteten personenbezogenen Daten bzw. die sie speichernden Datenträger zunächst hinsichtlich des Schutzbedarfs zu klassifizieren und definiert hierfür drei Schutzklassen:

• Schutzklasse 1 (Normaler Schutzbedarf)

• Es handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann. Schadensauswirkungen sind begrenzt und überschaubar und etwaig eingetretene Schäden für Betroffene relativ leicht durch eigene Aktivitäten zu heilen.

• Schutzklasse 2 (Hoher Schutzbedarf)

• Es handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann. Die Schadensauswirkungen werden für Betroffene als beträchtlich eingeschätzt („Ansehen“).

• Schutzklasse 3 (Sehr hoher Schutzbedarf)

• Es handelt sich um personenbezogene Daten, bei deren unrechtmäßiger Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist. Die Schadensauswirkungen nehmen ein unmittelbar existenziell bedrohliches, katastrophales Ausmaß für Betroffene an („Existenz“).

Neben diesen Schutzklassen werden in der DIN 66399 sieben Sicherheitsstufen beschrieben, die jeweils bestimmte Anforderungen an die Wirksamkeit der Vernichtung formulieren. Vereinfacht lässt sich sagen: Je höher die Sicherheitsstufe, desto höher auch der erforderliche Aufwand für einen Angreifer, die vernichteten Datenträger bzw. die darauf gespeicherten personenbezogenen Daten wiederherstellen und zur Kenntnis nehmen zu können.

• Sicherheitsstufe 1-3 Normaler Schutzbedarf, z. B. Notizen, personalisierte Werbung, Kataloge, interne Daten

• Sicherheitsstufe 3-5 Hoher Schutzbedarf, z. B. vertrauliche Daten, Anfragen, Personaldaten, Bewerberdaten, Protokolle

• Sicherheitsstufe 4-7 Sehr Hoher Schutzbedarf, z. B. sensible / geheime Daten, Informationen zu Kunden/Mandanten, Patientendaten (Gesundheitsdaten), Verträge

Soll ein Computer entsorgt werden, muss sichergestellt sein, dass keine Daten auf der Festplatte wiederhergestellt werden können.

• Festplatte überschreiben

• Dabei wird ein Code mit weiteren Codeschnipseln überschrieben. Durch die Überschreibung ist eine Wiederherstellung nicht möglich. Bei älteren Geräten sollte man ca. 7-mal überschreiben lassen.

• Festplatte physisch zerstören

• Der sicherste Weg ist es die Festplatte physisch zu zerstören. Das heißt, die Festplatte wird aus dem Computer entnommen und mit Hilfe von Werkzeug komplett zerstört. Die Festplatte muss wirklich komplett zerstört werden, denn ein auseinander brechen in der Mitte reicht nicht aus. Mit einem geeigneten Schredder kann man die Festplatte natürlich auch schreddern.