Die sichere Vernichtung von Datenträgern ist ein zentraler Bestandteil des betrieblichen Datenschutzes. Mit der Einführung der internationalen Norm ISO 21964 (vormals DIN 66399) existiert ein verbindlicher Standard, der regelt, wie Datenträger abhängig von ihrem Schutzbedarf und ihrer physischen Beschaffenheit zu vernichten sind. Unternehmen und Behörden, die personenbezogene oder vertrauliche Informationen verarbeiten, sind verpflichtet, die dort definierten Vorgaben einzuhalten – nicht zuletzt im Hinblick auf die Anforderungen der Datenschutz-Grundverordnung (DSGVO).
Grundlagen der ISO 21964
Die ISO 21964 regelt den gesamten Prozess der Datenträgervernichtung: von der Klassifizierung der Informationen über die Auswahl geeigneter Verfahren bis hin zur Dokumentation. Ziel ist es, eine Datenrekonstruktion zuverlässig auszuschließen. Die Norm unterscheidet:
- Materialklassifikation (z. B. Papier, Festplatten, optische Medien, elektronische Speicher)
- Schutzklassen (Einstufung des Schutzbedarfs)
- Sicherheitsstufen (technische Anforderungen an die Zerkleinerung)
Schutzklassen im Detail
Die Schutzklassen definieren die Sensibilität der zu vernichtenden Informationen und leiten daraus das notwendige Schutzniveau ab. Es existieren drei Schutzklassen:
Schutzklasse 1 – Normaler Schutzbedarf
Betrifft allgemeine interne Informationen, deren unberechtigte Weitergabe keine schwerwiegenden Folgen hätte. Dazu zählen beispielsweise betriebsinterne Mitteilungen oder Organisationsunterlagen. Eine Zerstörung auf einfachem Sicherheitsniveau ist ausreichend.
Schutzklasse 2 – Hoher Schutzbedarf
Umfasst vertrauliche Daten, deren Kenntnisnahme durch Unbefugte geschäftsschädigende oder gesetzlich relevante Konsequenzen haben kann. Dazu zählen Kunden- und Mitarbeiterdaten, Verträge, Angebote oder interne Analysen. Hier ist ein erhöhter Vernichtungsstandard anzusetzen.
Schutzklasse 3 – Sehr hoher Schutzbedarf
Gilt für besonders schützenswerte, vertrauliche oder geheime Informationen. Eine unautorisierte Kenntnisnahme kann gravierende Auswirkungen auf das Unternehmen, Dritte oder staatliche Stellen haben. Dies betrifft unter anderem Forschungsdaten, sicherheitsrelevante Unterlagen, Behörden- oder Militärdokumente. Es ist die höchste Sicherheitsstufe erforderlich.
Sicherheitsstufen für elektronische und magnetische Datenträger
Die ISO 21964 definiert neben den Schutzklassen auch spezifische Sicherheitsstufen für unterschiedliche Materialtypen. Für elektronische Datenträger (E-Kategorie) und magnetische/optische Festplatten (H-Kategorie) gelten folgende Stufen:
Sicherheitsstufe E4 (elektronische Datenträger)
Geeignet für Schutzklasse 2. Die Datenwiederherstellung ist durch spezielle technische Verfahren weitgehend ausgeschlossen. Typische Anwendungen: USB-Sticks, SSDs, Flashspeicher mit sensiblen, jedoch nicht geheimhaltungsbedürftigen Informationen.
Sicherheitsstufe H4 (magnetische/optische Datenträger)
Geeignet für Schutzklasse 2 bis 3. Eine Rekonstruktion ist unter hohem Aufwand nur mit forensischen Mitteln denkbar. Angewendet bei der Vernichtung von Festplatten, CDs, DVDs mit vertraulichen Unternehmensdaten.
Sicherheitsstufe E5
Geeignet für Schutzklasse 3. Die Datenwiederherstellung ist mit aktuellen Mitteln ausgeschlossen. Eingesetzt bei besonders schützenswerten elektronischen Speichern – etwa in Behörden, Kliniken oder Entwicklungsabteilungen.
Sicherheitsstufe H5
Geeignet für Schutzklasse 3. Daten auf Festplatten und ähnlichen Medien werden so zerstört, dass selbst eine Wiederherstellung mit Spezialtechnologie ausgeschlossen ist. Typisch für Geheimhaltungsstufen in sicherheitsrelevanten Einrichtungen.
Rechtliche Relevanz
Die ISO 21964 stellt einen anerkannten Stand der Technik dar und erfüllt die Anforderungen aus der DSGVO, insbesondere aus Artikel 32 (Sicherheit der Verarbeitung) sowie Artikel 17 (Recht auf Löschung). Unternehmen, die personenbezogene Daten speichern oder verarbeiten, sind rechtlich verpflichtet, auch für eine sichere Löschung und Entsorgung zu sorgen.
Fazit
Die Vernichtung von Datenträgern ist mehr als eine organisatorische Maßnahme – sie ist ein sicherheitsrelevanter und rechtlich verpflichtender Prozess. Mit der ISO 21964 steht ein klar strukturierter Rahmen zur Verfügung, den Unternehmen verpflichtend berücksichtigen sollten.
K&P erfüllt diese Anforderungen und bietet die fachgerechte, ISO-21964-konforme Vernichtung von Datenträgern als zertifizierte Dienstleistung an. www.kpc.de
Grundlagen der ISO 21964
Die ISO 21964 regelt den gesamten Prozess der Datenträgervernichtung: von der Klassifizierung der Informationen über die Auswahl geeigneter Verfahren bis hin zur Dokumentation. Ziel ist es, eine Datenrekonstruktion zuverlässig auszuschließen. Die Norm unterscheidet:
- Materialklassifikation (z. B. Papier, Festplatten, optische Medien, elektronische Speicher)
- Schutzklassen (Einstufung des Schutzbedarfs)
- Sicherheitsstufen (technische Anforderungen an die Zerkleinerung)
Schutzklassen im Detail
Die Schutzklassen definieren die Sensibilität der zu vernichtenden Informationen und leiten daraus das notwendige Schutzniveau ab. Es existieren drei Schutzklassen:
Schutzklasse 1 – Normaler Schutzbedarf
Betrifft allgemeine interne Informationen, deren unberechtigte Weitergabe keine schwerwiegenden Folgen hätte. Dazu zählen beispielsweise betriebsinterne Mitteilungen oder Organisationsunterlagen. Eine Zerstörung auf einfachem Sicherheitsniveau ist ausreichend.
Schutzklasse 2 – Hoher Schutzbedarf
Umfasst vertrauliche Daten, deren Kenntnisnahme durch Unbefugte geschäftsschädigende oder gesetzlich relevante Konsequenzen haben kann. Dazu zählen Kunden- und Mitarbeiterdaten, Verträge, Angebote oder interne Analysen. Hier ist ein erhöhter Vernichtungsstandard anzusetzen.
Schutzklasse 3 – Sehr hoher Schutzbedarf
Gilt für besonders schützenswerte, vertrauliche oder geheime Informationen. Eine unautorisierte Kenntnisnahme kann gravierende Auswirkungen auf das Unternehmen, Dritte oder staatliche Stellen haben. Dies betrifft unter anderem Forschungsdaten, sicherheitsrelevante Unterlagen, Behörden- oder Militärdokumente. Es ist die höchste Sicherheitsstufe erforderlich.
Sicherheitsstufen für elektronische und magnetische Datenträger
Die ISO 21964 definiert neben den Schutzklassen auch spezifische Sicherheitsstufen für unterschiedliche Materialtypen. Für elektronische Datenträger (E-Kategorie) und magnetische/optische Festplatten (H-Kategorie) gelten folgende Stufen:
Sicherheitsstufe E4 (elektronische Datenträger)
Geeignet für Schutzklasse 2. Die Datenwiederherstellung ist durch spezielle technische Verfahren weitgehend ausgeschlossen. Typische Anwendungen: USB-Sticks, SSDs, Flashspeicher mit sensiblen, jedoch nicht geheimhaltungsbedürftigen Informationen.
Sicherheitsstufe H4 (magnetische/optische Datenträger)
Geeignet für Schutzklasse 2 bis 3. Eine Rekonstruktion ist unter hohem Aufwand nur mit forensischen Mitteln denkbar. Angewendet bei der Vernichtung von Festplatten, CDs, DVDs mit vertraulichen Unternehmensdaten.
Sicherheitsstufe E5
Geeignet für Schutzklasse 3. Die Datenwiederherstellung ist mit aktuellen Mitteln ausgeschlossen. Eingesetzt bei besonders schützenswerten elektronischen Speichern – etwa in Behörden, Kliniken oder Entwicklungsabteilungen.
Sicherheitsstufe H5
Geeignet für Schutzklasse 3. Daten auf Festplatten und ähnlichen Medien werden so zerstört, dass selbst eine Wiederherstellung mit Spezialtechnologie ausgeschlossen ist. Typisch für Geheimhaltungsstufen in sicherheitsrelevanten Einrichtungen.
Rechtliche Relevanz
Die ISO 21964 stellt einen anerkannten Stand der Technik dar und erfüllt die Anforderungen aus der DSGVO, insbesondere aus Artikel 32 (Sicherheit der Verarbeitung) sowie Artikel 17 (Recht auf Löschung). Unternehmen, die personenbezogene Daten speichern oder verarbeiten, sind rechtlich verpflichtet, auch für eine sichere Löschung und Entsorgung zu sorgen.
Fazit
Die Vernichtung von Datenträgern ist mehr als eine organisatorische Maßnahme – sie ist ein sicherheitsrelevanter und rechtlich verpflichtender Prozess. Mit der ISO 21964 steht ein klar strukturierter Rahmen zur Verfügung, den Unternehmen verpflichtend berücksichtigen sollten.
K&P erfüllt diese Anforderungen und bietet die fachgerechte, ISO-21964-konforme Vernichtung von Datenträgern als zertifizierte Dienstleistung an. www.kpc.de
