C.ebra

Anforderungen für die Datenvernichtung

Bei der Procurement-Veranstaltung auf der Paperworld stellte Stefan Latz, Senior Consultant des TÜV Hessen, seinen Vortrag unter das Motto „Daten, Dokumente, Informationen – Anforderungen und Normen für die Datenvernichtung“.

Stefan Latz vom TÜV Hessen bei seinem Vortrag auf der Procurement-Veranstaltung.
Stefan Latz vom TÜV Hessen bei seinem Vortrag auf der Procurement-Veranstaltung.

Zunächst widmete er sich den Grundlagen der Persönlichkeitsrechte, die zu den höchsten vom Grundgesetz geschützten Werten gehören. Das Bundesverfassungsgericht hat aus den ersten beiden Artikeln des Grundgesetzes das Recht des Einzelnen abgeleitet, selbst über die Verwendung seiner Daten zu bestimmen. Stefan Latz stellte klar, dass zu den personenbezogenen Daten alle persönlichen und sachlichen Verhältnisse einer Person zählen. Außerdem muss aus seiner Sicht beachtet werden: Was im Zusammenhang mit dem Datenschutz nicht ausdrücklich erlaubt ist, ist verboten.

In Unternehmen müssen demnach alle Personen, die Umgang oder Zugang zu personenbezogenen Daten haben, auf die Wahrung des Datengeheimnisses verpflichtet werden, dies gilt auch für Aushilfen. Für den Einkauf ist der Paragraf 11 „Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag“ des Bundesdatenschutzgesetzes wichtig. Geht es um die Erhebung, eine weitere Verarbeitung oder Nutzung von Daten bleibt immer der Auftraggeber verantwortlich für die Einhaltung der Vorschriften. Das heißt, selbst wenn ein Dienstleister mit der Vernichtung von Datenträgern beauftragt wird, trägt der Auftraggeber die Verantwortung. Vertraglich muss im Vorfeld unter anderem der Gegenstand und die Dauer des Auftrags festgelegt werden, die zu treffenden technischen und organisatorischen Maßnahmen und die mitzuteilenden Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen. Hierzu zählt außerdem die Pflicht des Auftraggebers, sich regelmäßig von der Einhaltung der getroffenen Maßnahmen zu überzeugen.

Im zweiten Teil seines Vortrags fasste Stefan Latz noch einmal die neue DIN zur Datensicherheit zusammen, die sich angefangen von den Grundlagen und Begriffen des Vernichtens von Datenträgern über die Anforderungen an Maschinen bis hin zum Prozess der Datenträgervernichtung dem gesamten Ablauf und den Vorgaben widmet. Entscheidend ist zunächst die Einstufung der Daten in die Schutzklassen eins bis drei. Daraus erfolgt die entsprechende Einordnung in die insgesamt sieben Sicherheitsstufen. Stufe eins heißt: „Datenträgervernichtung derart, dass die Reproduktion der auf ihnen wiedergegebenen Daten ohne besondere Hilfsmittel und Fachkenntnisse, jedoch nicht ohne besonderen Zeitaufwand möglich ist. Stufe sieben verlangt die höchste Sicherheit: „Datenträgervernichtung derart, dass die Reproduktion der auf ihnen wiedergegebenen Daten nach dem Stand von Wissenschaft und Technik unmöglich ist“.

Aus Sicht des TÜV-Experten kann der Entsorgungsprozess mit den neuen Normen DIN 66339 Teil eins bis Teil drei für jedwede Art von Information prozessorientiert im Unternehmen eingeführt und umgesetzt werden. Dadurch erlange die Datenentsorgung die Sicherheit, die notwendig ist und die definiert wurde. Er betont allerdings, dass Normen nicht zwingend angewendet werden müssen, in einem Gerichtsverfahren würden sie jedoch als Stand der Technik herangezogen.

www.tuev-hessen.de

Verwandte Themen
53 Prozent der Befragten haben oft Zugriff auf Dokumente, die nicht für sie bestimmt sind. Grafik: Statista-Online-Befragung für Kyocera Document Solutions Deutschland GmbH, 2017
Mangelhafte Dokumentensicherheit im Mittelstand weiter
Die Vertreter der ausgezeichneten Arbeitsschutzfachhändler bei der allerersten Zertifikatsübergabe im Frühjahr 2017 in Düsseldorf. Foto: VTH
VTH-Prüfsiegel bietet Einkäufern Orientierung weiter
Einprägsam: das Key Visual der neuen Datenschutzkampagne
HSM startet Datenschutz-Kampagne weiter
Die DOMK 2017 beleuchtet alle Themen rund um Dokumenten-Software, Scanner, Drucker, Kopierer sowie Service-Konzepte und richtet sich dabei an Einkäufer, IT-Projektleiter und Händler.
DMS im Spannungsfeld zwischen IT und Fachabteilung weiter
Zwölf Unternehmen aus Hannover veranstalteten den Gesundheitstag "Morgen noch gesund", der in den in den neu gestalteten Räumen des Büroeinrichters office360 stattfand.
office360 macht Gesundheitsförderung aktiv erlebbar weiter
Die Befragungsergebnisse zeigen, dass Führungskräfte bei akuten Krisen eine wichtige Rolle einnehmen. Bild: Thinkstock/iStock/shironosov
Gesundheit, Krisen und der Job weiter