Thema der Woche

03. Mai 2010

Neue Norm zur Datenträgervernichtung

Die relativ neue europäische Norm zur Datenträgervernichtung [externer Link] DIN EN 15713 "Sichere Vernichtung von vertraulichen Unterlagen" beginnt sich am Markt durchzusetzen. Versäumnisse, gemäß den einschlägigen Datenschutzbestimmungen zu handeln, Verfahren zu überwachen und für die professionelle Vernichtung von Datenträgern (auf Papier und auch elektronisch) eine fachmännische Firma zu beauftragen, können schwerwiegende negative Konsequenzen nach sich ziehen, warnt aus diesem Anlass der [externer Link] TeleTrusT Deutschland e.V..

Die neue Norm fordert von Firmen, die vertrauliche Daten vernichten, die Einhaltung einer Reihe von Qualitätskriterien. Da nur wenige Unternehmen über genügend innerbetriebliche Mittel verfügen, um eine wirkungsvolle Datenträgervernichtung sicherzustellen sei hierzu häufig der Einsatz von externen Dienstleistern vorzuziehen, empfiehlt TeleTrusT-Geschäftsführer Dr. Holger Mühlbauer. DIN EN 15713 gibt Hinweise sowohl für die Durchführung als auch die Überwachung der Vernichtung vertraulicher Unterlagen – ihr Regelungsgehalt sei somit ein Mischthema aus Datensicherheit und Dienstleistungserbringung. Als Beispiele für Maßgaben aus der Norm nennt der TeleTrusT:

Das Unternehmen muss eine Verwaltungsstelle oder ein betriebliches Zentrum haben, wo Belege, fachliche und geschäftliche Dokumente, Zertifikate, Schriftverkehr, Akten et cetera aufbewahrt werden, die für die Ausführung der Geschäftsvorgänge erforderlich sind.
In den Geschäftsräumen muss eine nach EN 50131-1 zugelassene Einbruchmeldeanlage mit Überwachung durch eine Alarmempfangszentrale installiert sein.
Zwischen Auftraggeber und ausführendem Unternehmen muss ein schriftlicher Vertrag bestehen, der alle Vorgänge abdeckt.
Fahrzeuge zur Abholung zu vernichtender Daten müssen entweder einen Kofferaufbau oder einen gesicherten auswechselbaren Containeraufbau besitzen.
Die Vernichtung vertraulicher Unterlagen sollte innerhalb eines Werktags nach Eintreffen beim Dienstleister erfolgen.

Auftraggeber und Dienstleister zur Akten- und Datenträgervernichtung seien gemeinsam verantwortlich, wenn es um den Umgang mit persönlichen oder sensitiven Informationen geht, betont Dr. Mühlbauer. Es sei wichtig, belegen zu können, dass die erforderliche Sorgfalt an den Tag gelegt wird – dazu gehöre auch der Nachweis sicherer Methoden der Datenträgervernichtung. Bei der Auswahl eines professionellen Akten- oder Datenvernichtungs-Dienstleisters sollte man daher sichergehen, dass dieser auch den Anforderungen der neuen DIN EN 15713 entspricht und nach Möglichkeit von eine neutralen Stelle zertifiziert wurde.