Mit freundlicher Genehmigung des Deutschen Instituts für Normung e.V., Oktober 2012

Jetzt ist sie da – die neue DIN-Norm zur Datenträgervernichtung. Sie gibt Ihnen den Rahmen für eine geschlossene Prozess-Sicherheit. Sie besteht aus 3 Teilen: DIN 66399-1, DIN 66399-2 und DIN-SPEC 66399-3. Sie ermöglicht Ihnen als „Herr der Daten“ die Schutzklassen und Sicherheitsstufen zu bestimmen und die für Ihren Bedarf angemessene Verfahrenskette zu wählen.

datentraegervernichtung

Sie unterstützt Ihre Geschäftsabläufe beim Sparen von Kosten und Zeit durch Effektivität und Effizienz. Sie schützt und schont – Daten und Ressourcen. Und sie ist für uns – völlig NORMal. Denn allein aus dem hoch qualitativen Unternehmensanspruch heraus erfüllt REISSWOLF längst die meisten in der neuen DIN geforderten Standards. Damit spiegelt sich die Marke an den realen Ansprüchen. Und stellt den Kunden in den Mittelpunkt.

Das Prinzip heißt also Early-Bird – und so ist es auch kein Wunder, dass REISSWOLF als aktives DIN-66399-Ausschuss-Mitglied – von Tagungsbeginn in 2009 an – das neue Normungssystem maßgeblich für Sie mitprägte.

Alte DIN: NORMbody is perfect?

Die DIN 32757 war im Grunde nie eine Norm für Dienstleistungsunternehmen, sondern vielmehr für Hersteller von Kleingeräten zur Vernichtung von Datenträgern. Und trotz ihres Maschinencharakters war sie unverzichtbar, weil es einfach keine Alternativen für den Datenschutzbereich gab. Aber jetzt fordert auch hier die Datensicherheit von morgen, die Technik von heute heraus.

Neue DIN: Ein neues NORMalter beginnt.

Der Glanzpunkt der neuen DIN ist ihre Ganzheitlichkeit. Denn sie bildet mit dem 3. Teil – der DIN SPEC – sogar erstmals den Prozess der Datenträgervernichtung ab. Start dieser Normteil-Spezifikation ist voraussichtlich Anfang 2013. Darauf warten muss mit REISSWOLF aber niemand: Denn einerseits prüfen wir zurzeit unser internes Normungssystem auf eventuelle Anpassungen – andererseits ist die REISSWOLF Gruppe seit diesem Jahr als bundesweit tätiges Unternehmen an allen Standorten nach den strengen Kriterien des ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) mit dem Datenschutzgütesiegel des ULD für die Vernichtung von Akten ausgezeichnet worden. REISSWOLF Kunden sind also auch während der DIN-Übergangszeit bestens aufgehoben.

DIN 66399-1:
Die NORMative Kraft des Faktischen.

Die neue Norm ist unerklärlich? Von wegen. Teil 1 definiert die Begriffe und die Faktoren, die für die Datenträgervernichtung relevant sind:
  • Schutzklassen 1-3
  • Sicherheitsstufen 1-7
  • Einflussgrößen für die Rekonstruktion von Informationen

Struktur DIN 66399.

struktur-din-66399

Schutzbedarfermittlung | Schutzklassenzuordnung. Um bei der Datenträgervernichtung dem Wirtschaftlichkeits- | Angemessenheitsprinzip Rechnung zu tragen, sind Daten in Schutzklassen einzuteilen. Diese wiederum sind ausschlaggebend für die Wahl der Sicherheitsstufe. Und weil niemand seine Daten besser kennt, als der der sie erzeugt, ordnen Sie beides als „Herr Ihrer Daten“ selber zu.
Hierbei sollten Sie beachten, dass die Schutzklassen-Wahl direkten Einfluss auf die Kosten der Datenträgervernichtung hat: Je feiner der Grad der Vernichtung ist, desto höher ist der Energie-, Personal- und Maschinenaufwand. Daher sollte diese Entscheidung nicht leichtfertig getroffen werden. Es kann sogar wirtschaftlich vorteilhafter sein die Schutzklassen zu trennen. Denn dann werden ausschließlich die Datenträger in einer höheren Sicherheitsstufe geshreddert, die diesem Schutz auch wirklich bedürfen.

Schutzklasse 1 – normaler Bedarf für interne Daten:
Der Schutz von personenbezogenen Daten muss gewährleistet sein. Andernfalls besteht die Gefahr, dass der Betroffene in seiner Stellung und seinen wirtschaftlichen Verhältnissen beeinträchtigt wird. Beispiele:
  • Telefonlisten
  • Produktlisten
  • Lieferantendaten
  • Adressdaten
Schutzklasse 2 – hoher Bedarf für vertrauliche Daten:
Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird. Beispiele:
  • Betriebswirtschaftliche Auswertungen
  • Interne Reportings
  • Finanzbuchhaltungsunterlagen
  • Bilanzen | Jahresabschlüsse
Schutzklasse 3 – sehr hoher Bedarf für besonders geheime Daten:
Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein. Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen. Beispiele:
  • Zeugenschutzprogramme
  • Informationen aller Geheimhaltungsgrade des Bundes und der Länder
  • Geheime | streng geheime Unterlagen aus Forschung und Entwicklung von Wirtschaftsunternehmen

Sicherheitsstufen.

sicherheitsstufen

Sicherheitsstufen- | Schutzklassen-Zuordnung.

sicherheitsstufen-schutzklassen-zuordnung

Einflussgrößen für die Rekonstruktion von Informationen. Vermischen und Verpressen erhöht bei Papier und Mikrofilmen die Sicherheitsstufe. Und darf nur bis zur Erreichung der Sicherheitsstufe 4 als sicherheitserhöhender Faktor berücksichtigt werden.

Bei elektronischen oder magnetischen Datenträgern kann eine niedrigere Sicherheitsstufe gewählt werden, wenn zuvor die Datenträger gelöscht oder überschrieben wurden.

DIN 66399-2: Auch Technik ist NORMiert.

Durch die neuen Anforderungen an Maschinen zur Vernichtung von Datenträgern sind die wesentlichen Fragen der Gebrauchstauglichkeit und Zuverlässigkeit geklärt. Das schafft Kontrolle, ob Datenträger vollständig vernichtet sind.

Datenträgerarten. Die Datenträger-Partikelgrößen in den Sicherheitsstufen wurden dem Stand der Technik angepasst. Jede Datenträgerart ist durch ein Kürzel beschrieben (PFOTHE), das der jeweiligen Sicherheitsstufe vorangestellt wird:

P Informationsdarstellung in Originalgröße: Papier | Film | Druckformen
F Informationsdarstellung verkleinert: Film | Mikrofilm | Folie
O Informationsdarstellung auf optischen Datenträgern: CD | DVD
T Informationsdarstellung auf magnetischem Datenträger: Disketten |
ID-Karten | Magnetbandkassetten
H Informationsdarstellung auf Festplatten mit magnetischem Datenträger: Festplatten
E Informationsdarstellung auf elektronischen Datenträgern: Speicherstick |
Chipkarte | Halbleiterfestplatten | mobile Kommunikationsmittel

DIN-SPEC-66399-3:
PhäNORMenale Sicherheitsprozesse.

Teil 3 der DIN ist keine offizielle Norm des Deutschen Instituts für Normung, sondern eine Spezifikation (engl. Specification), die vom Arbeitsausschuss „Vernichtung von Datenträgern“ im Normenausschuss Informationstechnik und Anwendungen (NIA) ausgearbeitet wurde. Und nicht nur ihr Name – DIN SPEC 66399-3 – ist besonders, auch ihr Inhalt. Hier werden die technischen und organisatorischen Anforderungen an den Prozess der Datenträgervernichtung beschrieben. Von der Anfallstelle bis zur umweltfreundlichen Verwertung unter Beachtung der gesetzlichen Regelungen steht Ihnen nicht nur eine datenschutzkonforme, sichere Vernichtung zur Verfügung, sondern stets der gesamte „Best-in-Class“-Prozess.

Prozessvarianten | -abschnitte.

prozessvarianten-abschnitte

Prozessdefinition. Fallen Datenträger unterschiedlicher Sicherheitsstufen an der Anfallstelle an, so ist aus ökologischen und ökonomischen Gründen die Trennung in verschiedene Sicherheitsstufen an der Anfallstelle empfohlen.

Um eine Basissicherheit vor dem Vernichten elektronischer und magnetischer Datenträger zu erreichen, wird das Löschen oder Überschreiben empfohlen. Nach Abwägung des Schutzbedarfs kann dann bei der Vernichtung eine geringere Sicherheitsstufe gewählt werden. Wenn eine Beeinträchtigung der unmittelbaren Funktionsfähigkeit oder Löschen | Überschreiben nicht möglich ist, muss die notwendige Sicherheitsstufe in der gewählten Schutzklasse angewendet werden.

ermittlung-schutzbedarf

Übernahmeprotokoll – hier werden die Transfer-Informationen auf einen externen Dienstleister festgehalten: Name des Boten, Datenträgerkategorie, Datenträger- | Behältermenge oder -gewicht, wie – wann – wo zusammengestellt wurde.

Vernichtungsprotokoll – darin sind die Informationen zur Person, zum Gegenstand, zur Menge, zur Uhrzeit, zum Ort und zur Sicherheitsstufe nach DIN 66399-2 gelistet.

Resümee: Was für Sie eNORM wichtig ist.

Auch wenn am 01. Oktober Teil 1 und 2 der DIN 66399 veröffentlicht wird und die DIN 32757 ersetzt, ist es nach wie vor möglich, weiterhin die alte DIN als Vertragsgrundlage zur Auftragsdatenverarbeitungen anzuwenden. Bestehende Verträge verlieren selbstverständlich nicht ihre Gültigkeit.


Vor allem aber lassen Sie sich bitte nicht durch geschönte oder bewusst falsch gelenkte Argumentationslinien verunsichern. Die DIN ist ein Hilfsmittel zur Wahrung der Datensicherheit und unterstreicht lediglich Ihre Verpflichtung aus dem BDSG und Sozialgesetzbuch (SGB), Auftragnehmer vor Auftragsvergabe zu überprüfen.
Fakt ist auch, dass das Zusammenführen großer Mengen in der Aktenvernichtung, zu einer Erhöhung der Sicherheit führt, weil die Rekonstruierbarkeit deutlich erschwert wird. Die DIN 66399 entspricht diesem Vorgang eindeutig.


Mit REISSWOLF – europaweit richtungsweisend im Datenmanagement – erhalten Sie ein Maximum an Datensicherheit bei gleichzeitigem Erhalt der Verwertbarkeit. Damit erfüllen wir nicht nur die Vorgaben des BDSG, sondern auch die des Kreislaufwirtschaftsgesetzes.
Und wenn Sie in der immer größer werdenden Datenflut den Aufwand reduzieren möchten, werden Sie Verschwendung vermeiden und damit die Nachhaltigkeit von Prozessen deutlich steigern. Das Gute daran: Nachhaltigkeit ist in letzter Konsequenz per Definition ressourcenschonend. Also: Willkommen auf dem blauen Planeten.

Impressum

REISSWOLF Deutschland Akten- und Datenvernichtung GmbH
Normannenweg 28
20537 Hamburg
Tel.:
040 2530424-0
Fax:
040 2530424-29
E-Mail:
info@reisswolf.de
Geschäftsführer:
Thomas Sander, Marcus Menzel
Handelsregister:
HRB 42844
Sitz:
Hamburg
USt.-IdNr.
DE 118682599
Inhaltlich Verantwortlicher:
Thomas Sander

Hiermit distanzieren wir uns ausdrücklich von allen Inhalten aller gelinkten Seiten auf unserer Homepage und machen uns diese Inhalte nicht zu eigen. Diese Erklärung gilt für alle auf dieser Website angebrachten Links.

Haftungsausschluss – Inhalt des Onlineangebotes. Die REISSWOLF Deutschland GmbH – nachfolgend REISSWOLF genannt – übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Haftungsansprüche gegen REISSWOLF, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen. REISSWOLF behält es sich ausdrücklich vor, Teile der Seiten oder das gesamte Angebot ohne gesonderte Ankündigung zu verändern, zu ergänzen, zu löschen oder die Veröffentlichung zeitweise oder endgültig einzustellen.

Verweise und Links. Die direkten oder indirekten Verweise auf fremde Internetseiten („Links“), liegen außerhalb des Verantwortungsbereiches von REISSWOLF. Auf die aktuelle und zukünftige Gestaltung, die Inhalte oder die Urheberschaft der gelinkten/verknüpften Seiten hat REISSWOLF keinerlei Einfluss. Deshalb distanziert sich REISSWOLF hiermit ausdrücklich von allen Inhalten aller gelinkten / verknüpften Seiten. Diese Feststellung gilt für alle innerhalb des eigenen Internetangebotes gesetzten Links und Verweise. Für illegale, fehlerhafte oder unvollständige Inhalte und insbesondere für Schäden, die aus der Nutzung oder Nichtnutzung solcherart dargebotener Informationen entstehen, haftet allein der Anbieter der Seite, auf welche verwiesen wurde, nicht derjenige, der über Links auf die jeweilige Veröffentlichung lediglich verweist.

Urheber- und Kennzeichenrecht. Das in dem REISSWOLF enthaltene geistige Eigentum wie Patente, Marken und Urheberrechte ist geschützt. Alle Texte, Bilder, Graphiken, Ton-, Video- und Animationsdateien unterliegen dem Urheberrecht und anderen Gesetzen zum Schutz des geistigen Eigentums. Sie dürfen weder für Handelszwecke oder zur Weitergabe kopiert, noch verändert und auf anderen Websites oder Publikationen verwendet werden. Durch diese Website wird keine Lizenz zur Nutzung des geistigen Eigentums von REISSWOLF oder Dritten erteilt. Alle innerhalb des Internetangebots genannten und gegebenenfalls durch Dritte geschützten Marken- und Warenzeichen unterliegen uneingeschränkt den Bestimmungen des jeweils gültigen Kennzeichenrechts und den Besitzrechten der jeweiligen eingetragenen Eigentümer. Allein aufgrund der bloßen Nennung ist nicht der Schluss zu ziehen, dass Markenzeichen nicht durch Rechte Dritter geschützt sind.

Datenschutz. Sofern innerhalb des Internetangebotes die Möglichkeit zur Eingabe persönlicher oder geschäftlicher Daten (E-Mail-Adressen, Namen, Anschriften) besteht, so erfolgt die Preisgabe dieser Daten seitens des Nutzers auf ausdrücklich freiwilliger Basis.

Rechtswirksamkeit. Dieser Haftungsausschluss ist als Teil des Internetangebotes www.DIN66399.de zu betrachten. Sofern Teile oder einzelne Formulierungen dieses Textes der geltenden Rechtslage nicht, nicht mehr oder nicht vollständig entsprechen sollten, bleiben die übrigen Teile des Dokumentes in ihrem Inhalt und ihrer Gültigkeit davon unberührt.