Sichere Datenträgervernichtung nach ISO 21964

Grundlagen der ISO 21964

Die ISO 21964 regelt den gesamten Prozess der Datenträgervernichtung: von der Klassifizierung der Informationen über die Auswahl geeigneter Verfahren bis hin zur Dokumentation. Ziel ist es, eine Datenrekonstruktion zuverlässig auszuschließen. Die Norm unterscheidet:

– Materialklassifikation (z. B. Papier, Festplatten, optische Medien, elektronische Speicher)
– Schutzklassen (Einstufung des Schutzbedarfs)
– Sicherheitsstufen (technische Anforderungen an die Zerkleinerung)

Schutzklassen im Detail

Die Schutzklassen definieren die Sensibilität der zu vernichtenden Informationen und leiten daraus das notwendige Schutzniveau ab. Es existieren drei Schutzklassen:

Schutzklasse 1 – Normaler Schutzbedarf

Betrifft allgemeine interne Informationen, deren unberechtigte Weitergabe keine schwerwiegenden Folgen hätte. Dazu zählen beispielsweise betriebsinterne Mitteilungen oder Organisationsunterlagen. Eine Zerstörung auf einfachem Sicherheitsniveau ist ausreichend.

Schutzklasse 2 – Hoher Schutzbedarf

Umfasst vertrauliche Daten, deren Kenntnisnahme durch Unbefugte geschäftsschädigende oder gesetzlich relevante Konsequenzen haben kann. Dazu zählen Kunden- und Mitarbeiterdaten, Verträge, Angebote oder interne Analysen. Hier ist ein erhöhter Vernichtungsstandard anzusetzen.

Schutzklasse 3 – Sehr hoher Schutzbedarf

Gilt für besonders schützenswerte, vertrauliche oder geheime Informationen. Eine unautorisierte Kenntnisnahme kann gravierende Auswirkungen auf das Unternehmen, Dritte oder staatliche Stellen haben. Dies betrifft unter anderem Forschungsdaten, sicherheitsrelevante Unterlagen, Behörden- oder Militärdokumente. Es ist die höchste Sicherheitsstufe erforderlich.

Sicherheitsstufen für elektronische und magnetische Datenträger

Die ISO 21964 definiert neben den Schutzklassen auch spezifische Sicherheitsstufen für unterschiedliche Materialtypen. Für elektronische Datenträger (E-Kategorie) und magnetische/optische Festplatten (H-Kategorie) gelten folgende Stufen:

Sicherheitsstufe E4 (elektronische Datenträger)

Geeignet für Schutzklasse 2. Die Datenwiederherstellung ist durch spezielle technische Verfahren weitgehend ausgeschlossen. Typische Anwendungen: USB-Sticks, SSDs, Flashspeicher mit sensiblen, jedoch nicht geheimhaltungsbedürftigen Informationen.

Sicherheitsstufe H4 (magnetische/optische Datenträger)

Geeignet für Schutzklasse 2 bis 3. Eine Rekonstruktion ist unter hohem Aufwand nur mit forensischen Mitteln denkbar. Angewendet bei der Vernichtung von Festplatten, CDs, DVDs mit vertraulichen Unternehmensdaten.

Sicherheitsstufe E5

Geeignet für Schutzklasse 3. Die Datenwiederherstellung ist mit aktuellen Mitteln ausgeschlossen. Eingesetzt bei besonders schützenswerten elektronischen Speichern – etwa in Behörden, Kliniken oder Entwicklungsabteilungen.

Sicherheitsstufe H5

Geeignet für Schutzklasse 3. Daten auf Festplatten und ähnlichen Medien werden so zerstört, dass selbst eine Wiederherstellung mit Spezialtechnologie ausgeschlossen ist. Typisch für Geheimhaltungsstufen in sicherheitsrelevanten Einrichtungen.

Rechtliche Relevanz

Die ISO 21964 stellt einen anerkannten Stand der Technik dar und erfüllt die Anforderungen aus der DSGVO, insbesondere aus Artikel 32 (Sicherheit der Verarbeitung) sowie Artikel 17 (Recht auf Löschung). Unternehmen, die personenbezogene Daten speichern oder verarbeiten, sind rechtlich verpflichtet, auch für eine sichere Löschung und Entsorgung zu sorgen.

Fazit

Die Vernichtung von Datenträgern ist mehr als eine organisatorische Maßnahme – sie ist ein sicherheitsrelevanter und rechtlich verpflichtender Prozess. Mit der ISO 21964 steht ein klar strukturierter Rahmen zur Verfügung, den Unternehmen verpflichtend berücksichtigen sollten.
K&P erfüllt diese Anforderungen und bietet die fachgerechte, ISO-21964-konforme Vernichtung von Datenträgern als zertifizierte Dienstleistung an. www.kpc.de