DIN 66399 – Ein neuer Standard zur Vernichtung von Datenträgern ab 01.10.2013
Es gibt immer wieder Datenskandale. Gemeint sind nicht PRISM oder das Echelon-System, sondern die Fälle, in denen Nachlässigkeit zu Aufruhr in der Presse führt (www.projekt-datenschutz.de), wie z. B. Container voller Krankenakten, die verschwinden, vor dem Finanzamt herumliegende Akten, Bewerberdaten im Internet … Die Liste ist lang.
(businesspress24) - Mit ein Grund, wieso es zu einer solchen Nachlässigkeit mit alten Datenbeständen kommt, ist der, dass lange unklar war, wie damit zu verfahren ist.
Es wird einem Datenschutzbeauftragten eines Unternehmens klar sein, dass nicht mehr erforderliche Daten gelöscht werden müssen. Es ist ein zentraler Grundsatz des Bundesdatenschutzgesetzes (§ 35 BDSG), dass Daten gelöscht werden müssen, wenn der Zweck der Erhebung wegfällt.
Die Frage war nur lange, wie diese Löschung vorgenommen werden sollte.
In Anpassung an die Erfordernisse der digitalen Datenträger wurde nunmehr eine deutsche Industrienorm (DIN) entwickelt, die DIN 66399, welche am 01. Oktober 2013 veröffentlicht wird.
Sie enthält Sicherheitskonzepte, die eine datenschutzkonforme Vernichtung ermöglichen. Diese wurden auch weitgehend vom Bundesamt für Sicherheit in der Informationstechnik in seinen technischen Leitlinien (TL 03420) und in den BSI-Grundschutzkatalog übernommen (M 2.167)
In diesem Normenkatalog vollzieht sich eine zweifache Sicherheitseinstufung der zu löschenden Daten, an die anschließend entsprechende Voraussetzungen für die Vernichtung der jeweils verschiedenen Datenträger geknüpft werden
Zuerst werden die Datenbestände in drei Schutzklassen eingeteilt. Schutzklasse 1 umfasst einfache Unternehmensinterna, Schutzklasse 2 vertrauliche Daten, wie z. B. Finanzbuchhaltungsunterlagen und Schutzklasse 3 umfasst geheime Daten, wie z. B. Forschungs- und Entwicklungsunterlagen eines Unternehmens, oder der gesetzlichen Schweigepflicht unterliegende Daten.
Ist die Schutzklasse definiert, wird eine Sicherheitsstufe für die Vernichtung der Datenträger festgelegt. Es existieren die Sicherheitsstufen 1 bis 7, die festlegen, wie sicher eine Reproduktion der zu vernichtenden Daten ausgeschlossen werden soll.
Die in drei Teile aufgespaltete DIN 66399 erläutert dabei nicht nur, wie die konkrete physische Vernichtung vollzogen werden soll. Es finden sich auch organisatorische Regeln für den Ablauf der Vernichtung.
Es wird beispielsweise auch geregelt, wie der Kontakt zwischen Vernichtungsdienstleister und den Datenträgern auszusehen hat bzw. wie diese übergeben werden müssen oder wie der Betrieb des Vernichtungsdienstleisters gesichert sein muss.
Mit Veröffentlichung dieser DIN werden Pflichten, die das BDSG den einzelnen Unternehmen auferlegt, konkretisiert. Das betrifft auch die Pflicht der Datenschutzbeauftragten vieler Unternehmen, eine Vernichtung von Datenträgern sicherzustellen, die dem Standard der DIN 66399 genügt. Da die Vernichtung regelmäßig einem Dritten übertragen wird, liegt eine sog. Auftragsdatenverarbeitung im Sinne des § 11 BDSG vor. Das heißt unter anderem, dass ein Dritter im Auftrag eines Anderen mit dessen Daten eine Verarbeitung vornimmt. Unter Verarbeitung fällt auch das Vernichten, weil dies dem Löschen gem. § 3 IV Nr. 5 BDSG gleichkommt.
Den einzelnen Unternehmer trifft mit der neuen DIN die Pflicht, sicherzustellen, dass seine Datenträger nach dem aktuellen Standard vernichtet werden. Als probates Mittel erweist sich hier die Auftragsdatenverarbeitung mit einem entsprechenden Dienstleister.
Die Vernichtung seiner Datenträger nicht nach diesem neuen Standard zu veranlassen birgt, wie im Datenschutzrecht üblich, die Gefahr von Bußgeldern. Erheblicher kann jedoch das gestiegene Interesse der Öffentlichkeit sein, welches im Fall einer Datenpanne wesentlichen Schaden am Ruf des Unternehmens auslösen kann.
Das Datenschutzrecht hat daher eine erhebliche Relevanz für die Organisation des betrieblichen Alltages. Damit betrifft das Datenschutzrecht insbesondere den Bereich der Compliance im Unternehmen.
Fazit:
Jedes Unternehmen sollte daher schnellstens überprüfen, ob die Löschung der Daten nach dieser neuen DIN-Norm auch umgesetzt wird bzw. entsprechende Dienstleister danach fragen.
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
WAGNER Rechtsanwälte webvocat Partnerschaft ist eine Wirtschaftskanzlei mit einer Spezialisierung im Bereich des Geistigen Eigentums (Marken-, Design-, Patent-, Gebrauchsmuster- und Urheberrecht) und des Wettbewerbsrechts. Darüber hinaus berät die Kanzlei in wirtschaftsrechtlichen Bereichen, wie Handels- und Gesellschaftsrecht, Zoll-, Außensteuer- und Steuerstrafrecht, Internationales Vertrags-, Lizenz-, Vertriebs-, IT- und Social-Media-Recht sowie bei Unternehmensgründungen auch mit Auslandsbezug und bei Fragen der Bilanzierung von geistigem Eigentum. Ferner angeschlossen ist eine eigene Mahn- und Zwangsvollstreckungsabteilung.
Die Kanzlei vertritt und berät seit Jahren national und international tätige Unternehmen u.a. der Schuh-, Leder-, Möbel-, Werbe-, IT- und Software-, Pharma-, Energie- und Luftfahrtbranche etc.
WAGNER Rechtsanwälte webvocat® Partnerschaft,
Großherzog-Friedrich-Straße 40, 66111 Saarbrücken,
Tel. 0681 / 95 82 82-0, Fax 0681 / 95 82 82-10,
Email: wagner(at)webvocat.de
Internet: www.webvocat.de, www.geistigeseigentum.de, www.markenschützen.de, www.designschützen.de, www.ideenschützen.de
Datum: 10.10.2013 - 06:23 Uhr
Sprache: Deutsch
News-ID 959792
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Rechtsanwältin Daniela Wagner LL.M.
Stadt:
Saarbrücken
Telefon: 0681 9582820
Kategorie:
Marketing & Werbung
Anmerkungen:
Diese Pressemitteilung wurde bisher 144 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"DIN 66399 – Ein neuer Standard zur Vernichtung von Datenträgern ab 01.10.2013
"
steht unter der journalistisch-redaktionellen Verantwortung von
WAGNER Rechtsanwälte webvocat Partnerschaft (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
