Ende Januar 2013 trat der dritte Teil der neuen DIN 66399 „Büro- und Datentechnik – Vernichtung von Datenträgern“ in Kraft. Sie regelt den Umgang mit Datenträgern aller Art und hat selbstverständlich auch Auswirkungen auf das Bauwesen. Baustoffindustrie, Baustoffhandel, Handwerk und Planer müssen neue Regelungen befolgen.
Es gibt drei Schutzklassen von Daten:
- Die Schutzklasse 1 beschreibt den normalen Schutzbedarf für interne Daten wie beispielsweise Arbeitspläne, Schulungsunterlagen, Telefonlisten oder personalisierte Werbebriefe.
- Die Schutzklasse 2 beschreibt einen hohen Schutzbedarf für vertrauliche Daten wie beispielsweise Mitarbeiter-, Kunden-, Lieferantendaten, personenbezogene Daten, Angebote oder Daten der Finanzbuchhaltung.
- Die Schutzklasse 3 beschreibt schließlich den sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten, beispielsweise personenbezogene Daten wie Gesundheitsdaten, Patente, Daten, die einem Berufsgeheimnis unterliegen (Arzt, Anwalt, Steuerberater), geheime Daten des Bundes und der Länder.
Für den Bau ist die Schutzklasse 2 maßgebend. Die Daten müssen in Sicherheitsbehältern oder entsprechend zugangsgesicherten Räumen gesammelt und zwischengelagert werden, bis diese selbst oder von einem qualifizierten externen Dienstleister professionell vernichtet werden. Zur Vernichtung gilt es, Geräte bestimmter Sicherheitsstufen zu nutzten.
Die neue DIN empfiehlt beispielsweise zur Schutzklasse 2 einen Schredder der Sicherheitsstufe 3, der die Daten auf eine bestimmte Partikelgröße schreddert. Außer Papierunterlagen werden Datenträger wie Festplatten, CD/DVD, Chipkarten, USB-Sticks, Mikrofilme, ID-Karten berücksichtigt. Ihre sichere Vernichtung ist komplizierter, da die hohe Informationsdichte berücksichtigt werden muss.
Das Unternehmen bleibt als verantwortliche Stelle bis zur vollständigen Vernichtung der Datenträger für den jeweiligen Prozess verantwortlich. Wenn das Unternehmen einen Dienstleister im Vernichtungsprozess mit einbezieht, muss dieser nach den Weisungen des Auftraggebers arbeiten.
Um ein Unternehmen rechtssicher zu machen und vor Datenpannen und deren unschönen Folgen zu verschonen, sollte jeder Inhaber, Geschäftsführer, Entscheider eine Arbeitsanweisung für Mitarbeiter anfertigen, die den Umgang mit zu vernichtenden Datenträgern verbindlich regelt.
Unterstützung und Beratung zur angemessenen Anwendung der neuen DIN 66399 bietet die Merentis Datasec GmbH in Bremen.
Teilen: