Datenträger- und Schriftgutvernichtung

Vernichtung durch sicheres Entsorgen!

Schriftstücke, sonstige EDV-Ausdrucke, Abfallpapiere und Altpapiere, die ausgesondert werden können, sind so zu vernichten, dass personenbezogene Daten vor Missbrauch geschützt sind. Es muss daher dafür gesorgt werden, dass die Unterlagen nicht mehr lesbar sind. Dies wird sich in der Regel nur durch den Einsatz eines Aktenvernichters (Schredders) erreichen lassen.

Zur Schriftgutvernichtung im größeren Umfang werden in der Regel spezialisierte Dienstleister beauftragt. Ihre Tätigkeit ist eine Auftragsdatenverarbeitung, die vertraglich zu regeln ist. Besondere Vorsicht ist dabei für die Vernichtung von Materialien aus dem Bereich der schweigepflichtigen Tätigkeiten (§ 203 StGB) erforderlich. Ein Mustervertrag gibt hier Hilfestellung.

Das Deutsche Institut für Normierung (DIN) hat im Oktober 2012 neue Richtlinien für die Vernichtung von Datenträgern herausgegeben, die DIN 66399-1 (Grundlagen und Begriffe) und die DIN 66399-2 (Anforderungen an Maschinen zur Vernichtung von Datenträgern). Die bisher in diesem Bereich gültige Norm, die DIN 32757-1, wurde hierdurch abgelöst. Im Februar 2013 erschien dann auch noch die DIN SPEC 66399-3, die die Prozessschritte darstellt, die bei der Vernichtung von Datenträgern zu beachten sind. Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) waren hieran beteiligt.

Die neue Normierung enthält wesentliche Verbesserungen gegenüber der abgelösten DIN-Norm. Sie bezieht sich jetzt auf alle Datenträger und ist keinesfalls nur auf Papiervernichtung durch Schredder-Systeme ausgerichtet. Darüber hinaus enthält sie seit der Inkraftsetzung der DIN 66399-3 erstmalig auch Ausführungen zu den Verfahrensschritten. Der vom Diözesandatenschutzbeauftragten erstellte Musterentwurf greift zwei normierte Verfahren auf, nämlich die Variante 2 (Datenträgervernichtung vor Ort durch ein beauftragtes Unternehmen) und Variante 3 (externe Datenträgervernichtung durch einen Dienstleister) und berücksichtigt dabei alle nach der Norm zu regelnden Punkte. Somit wird es den Dienststellen leicht gemacht, auch sensible personenbezogene Daten sicher zu vernichten und zu entsorgen.

Beschreibung

Titel

Stand

MV 204

Mustervertrag zur Vernichtung von Datenträgern nach DIN 66399

10/2014