- HSM
- Schreddern
- Sonstiges
- Wissen rund um Datenvernichtung
- Recht
- Daten vernichten Rechtliche Grundlagen
Daten sicher vernichten - Rechtliche Grundlagen
Seit Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) in Europa. Diese regelt einheitlich den Umgang von Unternehmen mit personenbezogenen Daten. Dieser Umgang beinhaltet zum einen die Speicherung und zum anderen die konforme Löschung dieser Daten. Vor allem im gewerblichen Umfeld spielt die sichere und datenschutzkonforme Datenvernichtung eine große Rolle, da hier die Erhebung personenbezogener Daten in den vergangenen Jahren enorm angestiegen ist. So gelten einerseits die gesetzlichen Aufbewahrungsfristen und andererseits das bestehende Recht auf Löschung.
Daten sicher vernichten - die wichtigsten Punkte
Die Datenschutzgrundverordnung schreibt vor, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den Zweck notwendig ist, für welchen sie erhoben wurden. Das bedeutet, die Daten sind nach Zweckerfüllung zu löschen, soweit keine gesetzlichen oder vertraglichen Aufbewahrungsfristen gelten (Art. 5 Abs. 1 e) DSGVO).
Das Recht auf Löschung
Gemäß Artikel 17 Abs. 1 DSGVO haben betroffene Personen das Recht auf Löschung Ihrer personenbezogenen Daten / besteht das Recht der betroffenen Person auf Löschung der personenbezogenen Daten. Das bedeutet, der Betroffene kann vom Verantwortlichen verlangen, dass seine personenbezogenen Daten unverzüglich gelöscht werden.
Bei Löschung der personenbezogenen Daten ist es im Allgemeinen ausreichend, wenn die Datenträger, auf denen sich die zu löschenden Daten befinden, physisch zerstört werden. Denn auch die Vernichtung von Datenträgern stellt eine Form der Löschung dar.
NICHT ausreichend ist es hingegen, wenn die Datenträger einfach entsorgt, d.h. in den Mülleimer geworfen werden.
Daten sicher vernichten - Arten von Datenträgern
Für die Speicherung personenbezogener oder sonstiger sensibler Daten können verschiedene Arten von Datenträgern verwendet werden:
- P: Datenträger in Papierform wie Akten oder ganzen Aktenordner
- O: Optische Datenträger wie CDs, DVDs
- T: Magnetische Datenträger wie Magnetkarten oder Disketten
- E: Elektronische Datenträger wie USB-Sticks oder Chipkarten
- F: Informationen in verkleinerter Form wie Filmrollen oder Folie
- H: Festplatten mit magnetischen Datenträgern
Daten sicher vernichten - Vernichtung von Datenträgern
Unabhängig von der Wahl des genutzten Datenträgers gilt deren datenschutzkonforme Löschung bzw. Vernichtung nach den gesetzlichen Vorschriften.
Die Vernichtung dieser Datenträger unterliegt der Leitnorm DIN 66399. Diese gliedert sich in drei Teile:
DIN 66399-1:
Hier werden Grundlagen wie Schutzbedarf, Schutzklassen und Sicherheitsstufen erläutert. Denn je nach Grad des Schutzbedarfs der zu vernichtenden Daten ergibt sich die passende Sicherheitsstufe. HSM empfiehlt bei Datenträgern mit besonders sensiblen und vertraulichen Daten sowie personenbezogenen Daten, welche einem erhöhten Schutzbedarf unterliegen, z.B. Bilanzen, Gehaltsabrechnungen, Personalakten, Arbeitsverträge und Steuerunterlagen, für Daten in Papierform einen Aktenvernichter in Sicherheitsstufe P-4 oder höher.
Lesen Sie hierzu mehr auf unserer Seite Schutzklassen und Sicherheitsstufen.
DIN 66399-2:
Der zweite Teil der Leitnorm DIN 66399 regelt die Klassifizierung von Datenträgern sowie die geltenden Maschinenanforderungen.
DIN 66399-3:
Der dritte Teil der Norm beschreibt drei verschiedene Prozesse zur Datenträgervernichtung:
- Die Datenträger werden durch die verantwortliche Stelle selbst vernichtet
- Die Datenträger werden am Ort der verantwortlichen Stelle durch einen Dienstleister vernichtet
- Die Datenträger werden von einem Dienstleister an einer externen Stelle vernichtet
Die Vorteile einer Inhouse-Datenvernichtung, können Sie auf unserer Seite Interne vs. externe Datenvernichtung nachlesen.
Daten sicher vernichten - Expertenempfehlung
Um die Leitnorm DIN 66399 korrekt umzusetzen empfiehlt HSM eine Inhouse Datenvernichtung, d.h. die Vernichtung der personenbezogenen Daten direkt am Entstehungsort.
Abhängig von der Art des zu vernichtenden Datenträgers und Schutzbedarfs der sich darauf befindlichen Daten, empfiehlt sich die Anschaffung eines Akten-/Medienvernichters in einer Mindestsicherheitsstufe von P-4/H-4. Jedoch ist eine Anschaffung eines separaten Medienvernichters oftmals nicht notwendig, da moderne Aktenvernichter, abhängig von ihrer Ausstattung fast alles vernichten – Papier, CDs, ID-Karten, USB-Sticks, Chip-Karten, Flash-Speicher, Filme und Folien.
Auch hier gelten für die Vernichtung, je nach Sicherheitsbedarf, verschiedene Schutzklassen und Sicherheitsstufen mit unterschiedlichen Partikelgrößen.
