Zielsetzung der DIN 66399

Der Titel der DIN 66399 lautet "Büro- und Datentechnik - Vernichten von Datenträgern". Die DIN 66399 regelt Aspekte der physischen Vernichtung von Datenträgern. Sie besteht aus drei Teilen.

Die Teile DIN 66399-1 und DIN 66399-2 beschreiben, wie Datenbestände in Schutzklassen eingeordnet werden sollen. Für diese Schutzklassen wird festgelegt, welche Sicherheitsstufen der Vernichtung geeignet sind, um dem jeweiligen Schutzbedarf Rechnung zu tragen.

Datenträger aus verschiedenen Materialien haben unterschiedlich hohe Informationsdichten und können unterschiedlich gut rekonstruiert werden. Für die verschiedenen Materialien, z.B. Papier, CDs oder Festplatten, werden deshalb im Teil 2 Grade der Vernichtung definiert. Dazu wird jeweils festgelegt, welche maximale Größe die Partikel nach der Vernichtung haben dürfen. Die Norm bezeichnet dies als Grenzwert der Materialteilchenflächen. Für Papierschredder wird z.B. festgelegt, wie groß Partikel nach einem Schreddervorgang sein dürfen, damit der Schredder eine bestimmte Sicherheitsstufe erfüllt.

Teil 3 der DIN 66399 stellt Anforderungen an die Gestaltung der Entsorgungsprozesse auf. Es werden drei Varianten unterschieden:

  • Datenträgervernichtung direkt durch die verantwortliche Stelle,
  • Datenträgervernichtung in der verantwortlichen Stelle vor Ort durch einen Dienstleister und
  • Datenträgervernichtung außerhalb der verantwortlichen Stelle durch einen Dienstleister

Für diese Varianten wird beschrieben, welche technischen und organisatorischen Maßnahmen notwendig sind, um durch die Gestaltung des Vernichrungsprozesses die Anforderungen der Schutzklasse der Daten zu erreichen.

Zielsetzung der DIN 66398

Die DIN 66398 schlägt vor, wie Löschregeln entwickelt werden können und wie diese in Umsetzungsvorgaben verwendet werden sollten, also wann Daten gelöscht oder Datenträger vernichtet werden sollen. Außerdem macht sie Vorschläge für eine Dokumentationsstruktur für Löschregeln und Umsetzungsvorgaben 

Inhaltliche Bezüge zwischen DIN 66398 und DIN 66399

Die beiden Normen DIN 66398 und DIN 66399 ergänzen sich. Die Regeln der DIN 66399 können im Löschkonzept herangezogen werden, um 

  • Schutzklassen für Datenarten zu identifizieren.
  • Umsetzungsvorgaben für Datenbestände zu formulieren, soweit die Löschung physisch erfolgt.
  • technisch-organisatorische Maßnahmen für die Gestaltung des Löschprozesses zu entwickeln, insbesondere auch, wenn Datenträger an externe übergeben werden. Diese Aspekte können auch relevant sein, wenn Dienstleister die Daten verarbeiten. Da nach der DIN 66398 die Löschregeln auch an die Dienstleister weitergegeben werden sollen, können in den Umsetzungsvorgaben auch Anforderungen an den Vernichtungsprozess geregelt werden.   

In der  DIN 66399 sind wiederum keine Löschregeln formuliert, die aber benötigt werden, um zu entscheiden, welche Datenträger wann vernichtet werden sollen. Außerdem kann die DIN 66398 durch den Vorschlag zur Dokumentationsstruktur helfen, die Vorgaben aus beiden Normen für die jeweilige Organisation auf Dokumente zu verteilen.  

Weiterführende Informationen

In der Rubrik "Materialien" sind die Referenzen zur DIN 66399 aufgeführt.