Die DIN 66399, die Norm zur Datenträgervernichtung, sorgt seit 2012 maßgeblich für Klarheit bei der Vernichtung von Datenträgern. Mit der ISO/IEC 21964 wurden die Anforderungen an die Vernichtung von vertraulichen und personenbezogenen Daten international standardisiert. Die Aussagen der DIN 66399 haben international eine hohe Akzeptanz gefunden, so dass die drei Teile der DIN 63399 als ISO/IEC 21964 übernommen wurden.
Was ist was?
Wer oder was ist DIN?
Das Deutsche Institut für Normung e.V. (DIN) mit Sitz in Berlin ist die unabhängige Plattform für Normung und Standardisierung in Deutschland und weltweit. Rund 36.500 Experten aus Wirtschaft und Forschung, von Verbraucherseite und der öffentlichen Hand bringen ihr Fachwissen in den Normungsprozess ein, den DIN als privatwirtschaftlich organisierter Projektmanager steuert.
Die Ergebnisse sind marktgerechte Normen und Standards, die den weltweiten Handel fördern und der Rationalisierung, der Qualitätssicherung, dem Schutz der Gesellschaft und Umwelt sowie der Sicherheit und Verständigung dienen.1 Gerichte sehen DIN-Normen als allgemein anerkannte Regeln der Technik an. DIN-Normen gibt es zu vielen Themengebieten, u.a. Maschinenbau, Bauwesen, Informationstechnik, Dienstleistungen und eben auch zur Vernichtung von Datenträgern.
Normen sind grundsätzlich nicht verpflichtend, d.h. sie können angewendet werden, müssen aber nicht – außer es ist vertraglich vereinbart. Wird ein Produkt unter Einhaltung einer DIN-Norm produziert, geht man davon aus, dass das Produkt die verkehrsübliche Beschaffenheit aufweist.
Wer oder was ist ISO?
Die Abkürzung ISO steht für „International Organization for Standardization“, also die „Internationale Organisation für Normung“. Gegründet wurde die ISO am 23. Februar 1947 von der International Federation of the National Standardizing Associations mit Sitz in Genf.
Eine ISO-Norm ist eine Norm für internationale Standards. Sie helfen dabei, die Qualität und die Sicherheit von Waren und Dienstleistungen zu verbessern sowie den Austausch zwischen Ländern und Unternehmen zu vereinfachen.
ISO-Normen stellen Anforderungen an die Beschaffenheit von Produkten, die Ausführung von Dienstleistungen sowie an Managementsysteme und die beteiligten Prozesse. Unter anderem in den Bereichen Technik, Produktion, Umwelt, Arbeits- und Gesundheitsschutz, Medizin, Compliance und Lebensmittelsicherheit. Außer der internationalen Organisation können gemäß WTO2 (World Trade Organization) noch die Organisationen IEC3 in der Elektrotechnik und ITU4 in der Telekommunikation internationale Normen entwickeln und veröffentlichen.
Was bedeutet IEC?
Für Themen, die mit Elektrik und Elektronik zu tun haben, haben sich die IEC-Normen der „International Electrotechnical Commission“ durchgesetzt. Im Deutschen steht IEC für „Internationale Standards (Elektrik und Elektrotechnik)“. Oft entstehen Normen der IEC in Kooperation mit der ISO.
ISO/IEC 21964
Die ISO/IEC 21964 ist die internationale Version der in Deutschland für die Akten- und Datenträgervernichtung richtungsweisenden DIN 66399.
Die ISO/IEC 21964 ist ebenfalls in drei Teile gegliedert:
- ISO/IEC 21964-1 – Principles and definitions (Grundlagen und Begriffe)
- ISO/IEC 21964-2 – Requirements for equipment for destruction of data carriers (Anforderungen an Maschinen zur Vernichtung von Datenträgern)
- ISO/IEC 21964-3 – Process of destruction of data carriers (Prozess der Datenträgervernichtung)
Auch die ISO/IEC 21964 ordnet den Schutzbedarf in drei Schutzklassen (Protection Class) ein:
- Schutzklasse 1 – interne Daten mit normalem Schutzbedarf;
- Schutzklasse 2 – für nicht allgemein zugängliche vertrauliche und personenbezogene Daten mit hohem Schutzbedarf;
- Schutzklasse 3 – für geheime Daten mit sehr hohem Schutzbedarf.
Die ISO/IEC 21964 definiert ebenfalls sieben Sicherheitsstufen (Security levels). So sind auch hier die Partikelgrößen, z.B. bei der Vernichtung mit einem Aktenvernichter, definiert.
Darüber hinaus regelt die Norm technisch-organisatorische Anforderungen an den Prozess der Vernichtung von Datenträgern.
Die Methode zur Erhöhung des Sicherheitsniveaus ist auch in der ISO/IEC 21964 von dem für die Verarbeitung Verantwortlichen (Datenbesitzer) festzulegen, soweit das Schutzniveau und die geltenden Vorschriften dies zulassen.
Was jetzt nun?
Es spielt eigentlich keine Rolle. Aus Datenschutzsicht ist ein Löschkonzept zu implementieren, zu dokumentieren – nachweislich („Rechenschaftspflicht“). Ob Sie sich dabei an den Anforderungen der DIN 66399 oder ISO/IEC 21964 orientieren, spielt keine Rolle. Sie sollten es nur angeben und sich im internationalen Kontext für letzteres entscheiden.
Die Erstellung eines Konzeptes zur Datenträgervernichtung – also einer Richtlinie zur Datenlöschung Aufbewahrung – ist, unabhängig von obigem, komplex.
Wir übernehmen die Funktion des betrieblichen Datenschutzbeauftragten.
Unser Datenschutzexperten unterstützen Sie und Ihren Datenschutzbeauftragten gerne auch als Coach.
Vereinbaren Sie ein Expertengespräch Tel.-Nr. +49 173 8198864 oder schreiben Sie an consulting@adorgasolutions.de.
Wir besprechen mit Ihnen dann die individuelle und pragmatische Lösung für Ihre Organisation.
Hinweis: Die ISO/IEC 21964 ist nicht frei verfügbar und muss z.B. bei der Beuth Verlag GmbH oder der Organization for Standardization, nur in englischer Originalsprache, erworben werden.
[1] https://www.din.de/de/ueber-normen-und-standards/basiswissen (zuletzt aufgerufen am 28.06.2023).
[2] https://www.wto.org (zuletzt aufgerufen am 28.06.2023).
[3] https://iec.ch/homepage (zuletzt aufgerufen am 28.06.2023).
[4] https://www.itu.int/en/Pages/default.aspx (zuletzt aufgerufen am 28.06.2023).