Schutzklassen und Sicherheitsstufen nach DIN 66399

Die laufend ansteigende Verwendung moderner digitaler Medien sowie die Flut der Datenverarbeitung in vielen Varianten im geschäftlichen Alltag hat erhebliche gesetzliche Neuregelungen erforderlich gemacht. Der Gesetzgeber hat dem Umstand mit der neuen DIN 66399 Rechnung getragen. Dabei gibt es strenge Vorgaben für die Datenträger- und Aktenvernichtung.

Neue rechtliche Vorgaben – Schutzklassen und Sicherheitsstufen

Die ordnungsgemäße Verarbeitung und Vernichtung von Daten in herkömmlicher (Papier-)Form und digitaler Speicherung ist jetzt in verschiedenen Schutzklassen erfasst worden.

Darüber hinaus gibt es 7 Sicherheitsstufen, die unter die Schutzklassen einzuordnen sind. Bei der Datenvernichtung sind beide Einstufungen strengstens zu beachten. Bei der Einstufung im Rahmen der Datenvernichtung geht es nach der Wichtigkeit. Beispielsweise erfordert die Sicherheitsstufe 1 nur ein grobes Schreddern, während die Sicherheitsstufe 7 höchste Anforderungen an die Effizienz der Datenvernichtung stellt und dabei zum Beispiel im Rahmen der Geheimdienste zur Anwendung kommt.

Hierbei muss sogar die Rekonstruktion der vernichteten Daten völlig ausgeschlossen sein. Im Zuge der gesetzlichen Neuregelung hat die alte Norm 32757-1 immer weniger Relevanz in der Praxis der Vernichtung von Datenträgern.

Schutzklassen nach DIN 66399

Die Norm legt drei verschiedene Schutzklassen fest. Diese Klassen bewerten den Inhalt der Daten und ihre Schutzbedürftigkeit. Im weiteren Vorgehen ergeben sich aus den Schutzklassen die Prozesskriterien für die Vernichtung der Informationen.

Schutzklasse 1 – niedrigste Auflagen bei interner Datenspeicherung

Diese Schutzklasse fordert nur ein Mindestmaß an Datenschutz für Daten, die intern genutzt werden, da auch deren Missbrauch zu wirtschaftlichen Schäden bei Betroffenen führen könnte. Dabei geht es in der Praxis um Postwurfsendungen mit Personalisierung, allgemeinen Schriftverkehr und Kataloge mit Adressen. Auch Notizen werden davon erfasst.

Schutzklasse 2 – Daten, die vertraulich sind

In diese Schutzklasse fallen alle Daten, bei denen ein hoher Schutzbedarf besteht, weil deren Missbrauch bereits zu nicht unerheblichen Beeinträchtigungen der betroffenen Personen führen kann. Das betrifft sowohl seine gesellschaftliche Position wie auch seine wirtschaftliche Situation. Auch können für den Datenverarbeiter unerwünschte Folgen drohen. Unter diese Schutzklasse fallen zum Beispiel Personaldaten, Anfragen und Angebote im Geschäftsverkehr sowie Identifikationskarten der Betroffenen.

Schutzklasse 3 – Daten mit sehr hohem Geheimhaltungsbedarf

Die Daten unter dieser Schutzklasse sind besonders schützenswert und unbedingt geheim zu halten, weil Verstöße zu erheblichen Gefahren bei den Betroffenen führen würden. Dazu gehören Gefahren für Leib und Leben sowie die Freiheitsrechte der Personen. Weiterhin würde die Daten verarbeitende Stelle bei Verletzung des Datenschutzes in dieser Kategorie auch Gesetze verletzen und das Berufsgeheimnis missachten. Unter geheime Daten fallen unter anderem Militärgeheimnisse und Forschungsdaten wie auch Geheimdienstdaten.

Sicherheitsstufen regeln die Zuordnung

Sicherheitsstufe 1

Die Sicherheitsstufe 1 fordert die Vernichtung allgemeiner Daten, sodass eine Wiederherstellung mit einfachen Mitteln und ohne spezielle Kenntnisse unmöglich wird. Speichermedien wie USB-Sticks müssen so behandelt werden, dass sie nicht mehr lesbar sind. Kataloge und Prospekte können so vernichtet werden.

Sicherheitsstufe 2

Sicherheitsstufe 2 umfasst unter anderem verschiedene interne Vorgänge und fordert einen höheren Anspruch an die Vernichtung als die Sicherheitstufe 1, ohne aber sehr vertrauliche Daten zu erfassen. Wichtig ist das Zerhäckseln ohne leichte Rekonstruktionsmöglichkeit.

Sicherheitsstufe 3

Bei dieser Stufe müssen Daten so vernichtet werden, dass nur ein erheblicher Zeitaufwand und zusätzliches Personal die Daten wieder rekonstruieren könnte. Dabei ist eine Partikelgröße von 320 mm² für Papierunterlagen vorgeschrieben. Dies ist unter anderem für einfache Behördenvorgänge ausreichend. Diese Stufe ist zudem für viele interne Daten von Unternehmen die richtige Wahl.

Sicherheitsstufe 4

Die Daten unter der Sicherheitsstufe 4 müssen unter höherem Aufwand vernichtet werden. Dazu sollten nur professionelle Methoden und Einrichtungen herangezogen werden. Sie ist etwa auf Steuer– und Gehaltsunterlagen anzuwenden.

Sicherheitsstufe 5

Bei der Sicherheitsstufe 5 geht es um existenzwichtige geheim zu haltende Daten, wie medizinische Berichte etc. Bei der Vernichtung darf bereits keine Rekonstruktion mehr möglich sein.

Sicherheitsstufe 6 und 7

Bei den beiden höchsten Sicherheitsstufen geht es um den Schutz militärischer Daten. Diese müssen so vernichtet werden, dass eine Rekonstruktion absolut ausgeschlossen ist. Bei der Stufe 7 ist immer die neuste und sicherste Technik zur Datenvernichtung anzuwenden.

Zuordnung der Sicherheitsstufen zu den Schutzklassen

Daten in der Schutzklasse 1 fallen in der Regel unter die Anforderungen der Sicherheitsstufen 1-3. Wenn Personendaten betroffen sind, ist zum Beispiel Sicherheitsstufe 3 einschlägig. Bei Daten unter der Schutzklasse 2 sind die Sicherheitsstufen 3-5 heranzuziehen. Alle Daten aus der Schutzklasse 3 fallen demzufolge unter die Sicherheitsstufen 4-7.

Die Norm 66399 legt zudem für die verschieden Arten der Informationsdarstellung ein Kürzel fest. Unterschieden werden zwischen Papierakten und Datenträgern verschiedenster Art.

Aktenvernichtung nach zertifizierten Standards

Neben der Einordnung der Informationen und Vorgaben zur Vernichtung enthält die DIN 66399 auch Vorgaben, wie die Anlagen und Maschinen bei der Datenträgervernichtung zu arbeiten haben. Als Dienstleister für die professionelle Aktenvernichtung erfüllen wir diese Vorgaben. Somit brauchen Sie sich um die Sicherheit Ihrer Daten keine Sorgen zu machen.

Inhaltsverzeichnis