Datenträgervernichtung nach DIN 66399

Aktenordner tragenHäufige Ursache für Datenmissbrauch ist der unbedachte Umgang mit Daten und Datenträgern bei deren Entsorgung. Beauftragt ein Unternehmen dafür ein Entsorgungsunternehmen, so ist dies nach BDSG (Bundesdatenschutzgesetz) eine Datenverarbeitung im Auftrag. Somit bleibt es auch beim Prozess der Entsorgung bei der datenschutzrechtlichen Verantwortlichkeit des Unternehmens und damit der Pflicht zur sorgfältigen Auswahl und Überwachung des Dienstleisters. Der Datenschutzbeauftragte hat dies zu prüfen und sollte frühzeitig bereits in die Auswahl des Dienstleisters einbezogen werden.

Für die Beurteilung steht nun den Datenschutzbeauftragten eine wesentlich verbesserte und detailliertere DIN-Norm zur Verfügung. Die neue Norm ersetzt die alte DIN 32757 und ist ein Hilfsmittel zur Wahrung des Datenschutzes und der Datensicherheit im Unternehmen. Sie besteht aus der DIN 66399-1, DIN 66399-2 und DIN-SPEC 66399-3. Vorteil der neuen Bestimmung ist insbesondere die Integration der unterschiedlichen Löschprozesse und von verschiedenen Datenträgern (Papier, Festplatten, CD, Mikrofilm, USB etc).

DIN-66399-1

definiert dabei die Begriffe und die relevanten Faktoren, insbesondere die Schutzklassen 1-3 und die Sicherheitsstufen 1-7. Unternehmen und Datenschutzbeauftragte müssen bei der Anwendung der Norm daher die zu behandelnden Daten und Datenträger vorab in Schutzklassen einteilen, bevor sie vertraglich die konkret zu erreichenden Sicherheitsstufen durch das Entsorgungsunternehmen beauftragen.

Wesentliche Neuerungen sind:

Drei Schutzklassen

Die Ermittlung des Schutzbedarfs und die Zuordnung der Schutzklasse sowie der Sicherheitsstufen dient der Klassifizierung der anfallenden Daten.

Sechs Materialklassifizierungen

Erstmals definiert die Norm unterschiedliche Materialklassifizierungen, die auch die Größe der Informationsdarstellung auf den Datenträgern berücksichtigt (Papierdokumente, optische, magnetische oder elektronische Datenträger und Festplatten).

Sicherheitsstufen

Anstatt wie bisher fünf Sicherheitsstufen definiert die neue DIN 66399 nun sieben Sicherheitsstufen. Ein wesentlicher Unterschied ist die neue Stufe P-4 mit einer Teilchenfläche von max. 160 mm².

(Die bisherige Stufe 4 wird zur Stufe P-5, aus Stufe 5 wird P-6 und der bisher nicht in der Norm berücksichtigte „Level 6“ wird zur Stufe P-7).

Schutzbedarf und Zuordnung zu Schutzklassen

Um bei der Datenträgervernichtung dem Wirtschaftlichkeitsprinzip bzw. Verhältnismäßigkeitsprinzip Rechnung zu tragen, sind die Daten in Schutzklassen eingeteilt. Ausschlaggebend für die Wahl der Sicherheitsstufe in Bezug auf die Vernichtung der Datenträger ist dabei der Grad der Schutzbedürftigkeit.

Schutzklasse 1:
Normaler Schutzbedarf für interne Daten.

Diese Informationen sind für größere Gruppen bestimmt und zugänglich. Unberechtigte Offenlegung hätte begrenzte negative Auswirkungen auf das Unternehmen. Der Schutz personenbezogener Daten muss gewährleistet sein.

Beispiele: Nicht Knowhow-relevante Korrespondenz, personalisierte Werbung, Kataloge, Wurfsendungen, Notizen …

Schutzklasse 2:
Hoher Schutzbedarf für vertrauliche Daten, die auf einen kleinen Personenkreis beschränkt sind.

Die ungerechtfertigte Weitergabe hätte erhebliche Auswirkungen auf Unternehmen und könnte gegen vertragliche Verpflichtungen oder Gesetze verstoßen. Der Schutz personenbezogener Daten muss hohen Anforderungen genügen.

Beispiele: Knowhow-relevante Korrespondenz wie Angebote, Anfragen, Memos, Aushänge, Personaldaten …

Schutzklasse 3:
Sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten mit Beschränkung auf einen kleinen, namentlich bekannten Kreis von Zugriffsberechtigten.

Eine unberechtigte Weitergabe hätte ernsthafte, existenzbedrohende Auswirkungen für Unternehmen und würde gegen Berufsgeheimnisse, Verträge und Gesetze verstoßen. Der Schutz personenbezogener Daten muss uneingeschränkt gewährleistet sein.

Beispiele: Unterlagen der Geschäftsleitung, F&E-Dokumente, Finanzdaten, Verschluss-Sachen …

Die Zuordnung der drei Schutzklassen zu den Sicherheitsstufen kann mit folgender Tabelle vorgenommen werden:

Schutzklassen DIN 66399

Für Arztpraxen ist demnach die Schutzklasse 3 mit der Sicherheitsstufe 4 anzusetzen.

Keinesfalls dürfen Papierdokumente einer Arztpraxis in den normalen Papiermüll gelangen.

Materialklassifizierung der neuen Norm DIN 66399

In der modernen Kommunikation gibt es zahlreiche neue Datenträger, die in der DIN 66399 nun ebenfalls berücksichtigt wurden. Deshalb nachstehend ein kurzer Überblick:

Sicherheitsstufen Informationsdarstellung
P-1 bis P-7 in Originalgröße,z.B. Papier, Filme, Druckplatten.  Grafik Sicherheitsstufe P-1
F-1 bis F-7 verkleinert,z.B. Mikrofilme, Folie.  Grafik Sicherheitsstufe F-1
O-1 bis O-7 optische Datenträgerz.B. CDs/DVDs.  Grafik Sicherheitsstufe O-1
T-1 bis T-7 magnetische Datenträgerz.B. ID-Karten, Disketten.  Grafik Sicherheitsstufe T-1
H-1 bis H-7 Festplatten mit magnetischen Datenträgern.  Grafik Sicherheitsstufe H-1
E-1 bis E-7 elektronischen Datenträgernz.B. USB-Sticks, Chipkarten.  Grafik Sicherheitsstufe E-1

Papierdokumente  P-1 bis P-7

(Sicherheitsstufen der DIN 66399 für Informationsdarstellung in Originalgrösse)

Die vorangegangen Seiten haben die Materialklassen in der Übersicht erläutert. Da hauptsächlich Papierdokumente (= Informationsdarstellung in Originalgröße) fachgerecht entsorgt werden müssen, nachfolgend die Materialklassen P-1 bis P-7 noch etwas näher spezifiziert:

Papierdokumente

Bei der gewerblichen Entsorgung von Unterlagen mit personenbezogenen Daten handelt es sich nach BDSG (Bundesdatenschutzgesetz) um eine Datenverarbeitung im Auftrag. Es muss zwingend ein entsprechender Vertrag mit dem Entsorgungsunternehmen abgeschlossen werden, denn letztlich bleibt in jedem Fall die Arztpraxis verantwortlicher Besitzer der übergebenen Daten.

Bitte sprechen Sie uns an, wenn Sie nähere Erläuterungen zu dem Thema wünschen oder wenn Sie beabsichtigen ein Aktenvernichtungs- oder Entsorgungsunternehmen zu beauftragen.

Ihr

Datenschutzberater

Weitere Blätter unsere Arzt-Info-Reihe:

 

Info 40    Datenübermittlung an Hausarztverband

Info 42    Datenschutzrisiken in einer Praxis

Info 43    Datenschutz und KV

Info 44    Der Datenschutzbeauftragte in der Arztpraxis

Info 47    Videoüberwachung in Patiententoiletten

Info 51    Datenschutz und Schweigepflicht

Info 53    Praxissicherheit

Info 54    Auskunftsbereitschaft

Info 56    Pro + Contra Datenschutz durch internen MitarbeiterIn

Advertisements

Über behr consult

Datenschutz, Informationssicherheit und IT-Security

Veröffentlicht am 11. Juni 2013, in Arzt, Arztpraxis, Ärzte, Beratung, Datenschutz, Datenschutz. Arzt, Datenschutzbeauftragter, Datenschutzerklärung, eGK, elekrtronische Gesundheitskarte, elektronische Gesundheitskarte, Gesundheitswesen, Kartenlesegerät, Krankenhaus, KV, KVB, MVZ, Praxis, Unsere Services. Setze ein Lesezeichen auf den Permalink. Kommentare deaktiviert für Datenträgervernichtung nach DIN 66399.

Die Kommentarfunktion ist geschlossen.