Bau -> Redaktion  || < älter bausoftware/2013/0017 jünger > >>|  

Neue „Schredder-DIN“ 66399 regelt Vernichtung von Datenträgern


  

(24.2.2013) Ende Januar 2013 trat der dritte Teil der DIN 66399 „Büro- und Datentechnik - Vernichtung von Datenträ­gern“ in Kraft. Sie regelt den Umgang mit Datenträgern aller Art und hat auch Auswirkungen auf das Bauwesen. Baustoff­industrie, Baustoffhandel, Handwerk und Planer werden diese neue Regelungen befolgen müssen.

Es gibt drei Schutzklassen von Daten:

  • Die Schutzklasse 1 beschreibt den normalen Schutz­bedarf für interne Daten wie beispielsweise Arbeitsplä­ne, Schulungsunterlagen, Telefonlisten oder personali­sierte Werbebriefe.
  • Die Schutzklasse 2 beschreibt einen hohen Schutz­bedarf für vertrauliche Daten wie beispielsweise Mitar­beiter-, Kunden-, Lieferantendaten, personenbezogene Daten, Angebote oder Daten der Finanzbuchhaltung (Baustoffindustrie, Handel, Handwerk).
  • Die Schutzklasse 3 beschreibt schließlich den sehr ho­hen Schutzbedarf für besonders vertrauliche und ge­heime Daten, beispielsweise personenbezogene Daten wie Gesundheitsdaten, Patente, Daten, die einem Be­rufsgeheimnis unterliegen (Arzt, Anwalt, Steuerberater), geheime Daten des Bundes und der Länder.

Schutzklasse 2 im Bauwesen

Aus dieser neuen Regelung ergibt sich für die Baubranche die Notwendigkeit, Daten nach den Vorgaben für die Schutzklasse 2 zu vernichten. Dazu müssen die Daten in Sicherheitsbehältern oder entsprechend zugangsgesicherten Räumen gesammelt und zwischengelagert werden, bis sie von eigenen Leuten oder von einem qualifizierten externen Dienstleister professionell vernichtet werden.

Zur Vernichtung gilt es Geräte bestimmter Sicherheitsstufen zu nutzten. Die neue DIN empfiehlt beispielsweise zur Schutzklasse 2 einen Schredder der Sicherheitsstufe 3, der die Daten auf eine bestimmte Partikelgröße zerkleinert.

Außer Papierunterlagen werden Datenträger wie Festplatten, CD/DVD, Chipkarten, USB-Sticks, Mikrofilme, ID-Karten berücksichtigt. Ihre sichere Vernichtung ist kompli­zierter, da die hohe Informationsdichte berücksichtigt werden muss.

Unternehmer trägt Verantwortung

Das Unternehmen bleibt als verantwortliche Stelle bis zur vollständigen Vernichtung der Datenträger für den jeweiligen Prozess verantwortlich. Wenn das Unternehmen einen Dienstleister im Vernichtungsprozess mit einbezieht, muss dieser nach den Wei­sungen des Auftraggebers arbeiten. Um ein Unternehmen rechtssicher zu machen und von Datenpannen und deren unschönen Folgen zu verschonen, sollte jeder Inhaber, Geschäftsführer, Entscheider eine Arbeitsanweisung für Mitarbeiter anfertigen, die den Umgang mit zu vernichtenden Datenträgern verbindlich regelt.

Weitere Informationen zur Datenvernichtung bzw. der Anwendung der neuen DIN 66399 können per E-Mail an Merentis DataSec angefordert werden.

siehe auch für zusätzliche Informationen: