DIN 66399 und TOMs (Technisch Organisatorische Maßnahmen)
Die DIN 66399 und die in ihr definierten technische und organisatorischen Maßnahmen, ist eine Regelung, die sich direkt aus den Vorgaben der Datenschutzgrundverordnung ableiten. Sie legt Begrifflichkeiten, technische Anforderungen und Prozesse in der Aktenvernichtung fest. Durch diese vereinheitliche Regelung ist es möglich, klar bestimmte Standards zu definieren und zu kontrollieren.
Jeder Dienstleister, der als Entsorgungsfachbetrieb Datenvernichtung anbietet, ist verpflichtet, diese Regeln umzusetzen. Achten Sie daher unbedingt darauf, dass der Dienstleister Ihrer Wahl, die Vorgaben der DIN 66399 umsetzen und Ihre Daten mit den notwendigen Sicherheitsstufen vernichten kann.
Was bedeuten Schutzklassen und Sicherheitsstufen in der Aktenvernichtung?
Um jeden Auftrag in einem sinnvollen Kosten/Nutzen Verhältnis darzustellen, wird zunächst der Schutzbedarf der zu vernichtenden Daten ermittelt. Zunächst stellt sich die Frage, um welche Art von Daten es sich handelt und mit welchem Aufwand sollen bzw. müssen sie zerstört werden?
Hierfür werden Daten bestimmten Schutzklassen und Sicherheitsstufen zugeordnet. Je höher die Schutzklasse und Sicherheitsstufe, desto höher der technische Aufwand und Preis
Die 3 Schutzklassen in der Aktenvernichtung:
Schutzklasse 1 (normaler Schutzbedarf für interne Daten)
Hierunter fallen wenig sensible Daten und Unterlagen, die bereits bei Erstellung für einen größeren Personenkreis bestimmt sind.
Beispiele:
Telefon- und Namenslisten für den internen Gebrauch
Personalisierte Werbeprospekte
Produktlisten
Eine Verletzung des Datenschutzes für solche Date hätte begrenzte negative Auswirkungen für ein Unternehmen. Eine betroffene Person könnte in ihrer gesellschaftlichen Stellung und wirtschaftlichen Verhältnissen beeinträchtigt werden.
Schutzklasse 2 (hoher Schutzbedarf für vertrauliche Daten)
In diese Klasse fallen Daten, die für einen beschränkten Personenkreis bestimmt sind.
Beispiele:
Personaldaten
Daten der Buchhaltung
Unternehmensbilanzen
Hier könnte eine Verletzung des Datenschutzes gegen bestehende Gesetze verstoßen und Betroffene wirtschaftlich und gesellschaftlich gravierend schädigen.
Schutzklasse 3 (sehr hoher Schutzbedarf für streng geheime Daten)
Zur höchsten Schutzklasse zählen Daten, die von vornherein nur für einen kleinen, namentlich beschränkten Personenkreis bestimmt sind.
Beispiele:
Daten der Unternehmensführung
Forschungsdaten
geheime Regierungsdaten
Eine Datenschutzverletzung wäre existenzbedrohend, gesetzwidrig und stellt eine Verletzung von Verträgen und Berufsgeheimnissen dar.
Wichtiger Hinweis:
Für die Zuordnung des gesamten Datenmaterials zur Schutzklasse sind immer die Daten mit dem höchsten Schutzbedarf maßgeblich. Mischt man also Werbematerial mit sensiblen Daten – z. B. Daten der Personalabteilung – müsste man die gesamte Marge der Schutzklasse 2 zuordnen.
Bei größeren Mengen kann es also wirtschaftlich sinnvoll sein, Daten entsprechend zu sortieren.
Da letztlich nur die Datenbesitzer die Natur der Daten kennen, obliegt es auch deren Verantwortung, die Daten den richtigen Schutzklassen zuzuordnen. Das gilt auch, wenn man einen externen Dienstleister beauftragt. Dieser kennt Ihre Daten nicht und kann daher nur beratend zur Seite stehen.
Die 7 Sicherheitsstufen in der Aktenvernichtung
Die Sicherheitsstufen zeigen an, mit welchem Aufwand man Daten nach deren Zerstörung theoretisch wiederherstellen könnte. Je höher die Sicherheitsstufe, desto höher der technische Aufwand und Grad der Zerstörung – und desto geringer die Möglichkeit, Daten wiederherzustellen.
Sicherheitsstufe 1 – Allgemeine Daten – Datenwiederherstellung ist mit einfachem Aufwand möglich
Sicherheitsstufe 2 – Interne Daten – Datenwiederherstellung ist mit besonderem Aufwand möglich
Sicherheitsstufe 3 – Sensible Daten –Datenwiederherstellung ist nur mit erheblichem Aufwand möglich
Sicherheitsstufe 4 – Besonders sensible Daten – Datenwiederherstellung ist nur mit außergewöhnlich hohem Aufwand möglich
Sicherheitsstufe 5 – Geheim zu haltende Daten – Datenwiederherstellung ist, wenn überhaupt, nur mit nicht definierbarem Aufwand möglich
Sicherheitsstufe 6 – Geheime Hochsicherheits-Daten – Datenwiederherstellung ist mit aktuell bekannten Methoden technisch nicht möglich
Sicherheitsstufe 7 – Top-Secret / Hochsicherheits-Daten – Datenwiederherstellung ist ausgeschlossen
TOMs – Technische und Organisatorische Maßnahmen
Technische und organisatorische Maßnahmen (kurz: TOMs) Maßnahmen, die u. a. dazu dienen, die Sicherheit personenbezogener Daten bei deren Verarbeitung zu gewährleisten. Sie stellen sicher, dass Rechte und Freiheiten betroffener Personen gewahrt bleiben.
Die TOM beinhalten auch Dokumentationspflichten von Verarbeitungstätigkeiten durch sog. „Verantwortliche Stellen“. Dazu gehört am Ende auch die sichere Vernichtung ebendieser Daten.
Die technischen Voraussetzungen und Prozessabläufe gehören ebenfalls in den Bereich der TOMs. Es sind in diesem Zusammenhang diejenigen Bedingungen und Maßnahmen, die ein Aktenvernichter erfüllen und umsetzen muss, um überhaupt als Entsorgungsfachbetrieb anerkannt zu werden.
Zutrittskontrolle:
Der Zutritt auf das Betriebsgelände, zu Sicherheitsbereichen und zu den Datenvernichtungsanlagen wird durch Zutrittskontrollen überwacht.
Maßnahmen: Voranmeldung, Mitarbeiter- und Besucherausweise, elektronische Zugangssysteme und Pförtner.
Zugangskontrolle:
Unbefugte Dritte erhalten keinen Zugriff auf Datenverarbeitungssysteme
Maßnahmen: Benutzerbezogene Passwortkontrolle, Datenverschlüsselung, Mehr-Faktor-Authentifizierung
Zugriffskontrolle:
Personalisierte Zugriffsbeschränkung auf sensiblen Daten.
Maßnahmen: Verschwiegenheitserklärung aller Mitarbeiter, Innensicherheitsrevision, individuelle Passwortvergabe für Datenverarbeitungssysteme
Weitergabekontrolle:
Unbefugte erhalten keinen Zugang zu sensiblen Daten.
Maßnahmen: Datentransport erfolgt immer in geschlossenen Fahrzeugen und Behältern, Lieferscheine, Tourenpläne, individuelle Sicherheitskontrollstreifen
Eingabekontrolle:
Der Verlust oder unkontrollierte bzw. undokumentierte Zerstörung von Daten ist zu verhindern.
Maßnahmen: Notfallpläne, Einbruch- und Brandmeldeanlagen, Brandbekämpfungseinrichtungen
Trennungskontrolle:
Separate Systeme gewährleisten, dass Daten, die unterschiedlichen Zwecken dienen, getrennt und zweckbezogen verarbeitet werden.
Maßnahmen: Sicherheitskontrollstreifen
Dies sind nur einige der konkreten Maßnahmen, die jeder seriöse Anbieter in der Daten- und Aktenvernichtung umzusetzen hat. Weitere Details wird Ihnen der Dienstleister im Rahmen eines Gesprächs sicher gerne erläutern.
Weitere wichtige Informationen zur Sicherheit:
Auch wenn Sie einen Dienstleister beauftragen, verbleibt die Verantwortung und damit die Haftung für die sichere Vernichtung der Daten dennoch beim Datenbesitzer – also bei Ihnen!
Deswegen ist es so wichtig, sich vor Auftragsvergabe zu vergewissern, dass ein Dienstleister die TOMs tatsächlich umsetzt.
Nur wenn diese Maßnahmen stikt umgesetzt werden, ist eine sichere gesetzeskonforme Aktenvernichtung gewährleistet.
Wem das nicht ausreicht, kann sich bei einer Aktenvernichtung vor Ort persönlich vergewissern, dass Daten sicher vernichtet und entsorgt werden. Das ist zwar deutlich teurer bietet aber auch einen Zugewinn an Sicherheit, weil hier z. B. der Datentransport als potenzieller Risikofaktor wegfällt.
Schneller den passenden Service finden
Mit Aktenvernichtung24 können Sie einfach und schnell einen regionalen Entsorgungsdienstleister finden, der Ihre Akten und andere Daten sicher und diskret vernichtet. Wir für (fast) jeden Ort oder Gemeinde eine eigene Seite eingerichtet.
Im Folgenden listen wir die Städte auf mit dem erfahrungsgemäß größten Bedarf auf. Über den direkten Link zu Ihrer Stadt können Sie Ihre Aktenvernichtung in Berlin, Bremen, Dortmund, Dresden, Düsseldorf, Essen, Frankfurt am Main, Hamburg, Hannover, Köln, Leipzig, München, oder Stuttgart noch einfacher bestellen.
