DIN 66399: Schutzklassen und Sicherheitsstufen

In dem Industriestandard DIN 66399 sind alle technischen und organisatorischen Anforderungen an die datenschutzkonforme Aktenvernichtung festgelegt. Das Wichtigste im Überblick.

VON Dominik aktualisiert am 07.12.2022 | Lesedauer ca. 6 Minuten

Was ist die DIN 66399?

Die DIN 66399 mit der Bezeichnung „Büro- und Datentechnik – Vernichtung von Datenträgern“ ist eine rechtlich anerkannte DIN-Norm zum Datenschutz. Sie stellt den Industriestandard für die gesetzeskonforme und datenschutzgerechte Vernichtung schutzwürdiger Unterlagen dar. Mit der DIN 66399 wird erstmals der gesamte Prozess der Aktenentsorgung berücksichtigt – von der Abholung bei Dir bis hin zur ordnungsgemäßen Aktenvernichtung.

Sie ersetzte Anfang 2013 die veraltete DIN 32757 mit aktualisierten Sicherheitsvorgaben und Handlungsempfehlungen.
Die DIN 66399 ist mittlerweile auch international – unter der Bezeichnung ISO 21964 – zur Norm beim Datenschutz in der Büro- und Datentechnik geworden.

DIN 66399: Schutzklassen 1-3

Als Eigentümer von Daten legst Du die Schutzwürdigkeit mithilfe von drei Schutzklassen, die in der DIN 66399 definiert sind, fest:

Schutzklasse 1 ist für den normalen Schutz interner Daten gedacht
Schutzklasse 2 beschreibt vertrauliche Daten mit einem hohen Schutzbedarf
Schutzklasse 3 ist für geheime und besonders vertrauliche Daten, die einen sehr hohen Schutzbedarf haben

Die sieben Sicherheitsstufen im Überblick

Neben den Schutzklassen werden bei der Aktenvernichtung darüber hinaus einzelne Sicherheitsstufen unterschieden. Sie beschreiben, inwiefern eine Wiederherstellung der zerstörten Daten möglich wäre.

Sicherheitsstufe 1 ist für allgemeine Daten, die unlesbar gemacht werden sollen. Eine Wiederherstellung ist ohne besondere Hilfsmittel oder Fachkenntnisse möglich, aber nur unter erheblichen Zeit- und Arbeitsaufwand.
Sicherheitsstufe 2 wird für interne Daten benutzt. Eine Wiederherstellung erfordert neben einem erheblichen Aufwand auch besondere Hilfsmittel.
Sicherheitsstufe 3 gilt für vertrauliche Daten. Die Datenwiederherstellung gelingt nur mit speziellen Hilfsmitteln und erheblichem Aufwand.
Sicherheitsstufe 4 ist für besonders sensible Daten gedacht. Das Vernichtungsgut kann nur mit außergewöhnlichen Hilfsmitteln sowie Zeit- und Arbeitsaufwand wiederherstellt werden.
Sicherheitsstufe 5 wird für geheime Dokumente gewählt. Die Datenwiederherstellung ist nur mit speziell für diesen Zweck entwickelte Prozesse und Geräte möglich.
Sicherheitsstufe 6 wird Hochsicherheits-Daten zugeordnet, deren Wiederherstellung nach aktuellem Stand der Technik ausgeschlossen ist.
Sicherheitsstufe 7 findet bei maximal geheimen und schützenswerten Daten ihre Anwendung. Eine Datenwiederherstellung ist nach dem Stand der Technik und Wissenschaft ausgeschlossen.

Die folgende Tabelle veranschaulicht die empfohlene Kombination von Schutzklassen und Sicherheitsstufen für die Aktenvernichtung:

	Stufe 1	Stufe 2	Stufe 3	Stufe 4	Stufe 5	Stufe 6	Stufe 7
Schutzklasse 1	✓	✓	✓
Schutzklasse 2			✓	✓	✓
Schutzklasse 3			✓	✓	✓	✓	✓

Hinweis: Eine höhere Schutzklasse bzw. -stufe bedeutet einen höheren technischen Aufwand. Wenn Du Deine Akten mit entsorgo vernichten lässt, erfolgt dies grundsätzlich nach der höchsten gewünschten Sicherheitsklasse und -stufe. Auch wenn eventuell nicht alle Dokumente tatsächlich so schützenswert sind. Aus wirtschaftlichen Gründen kann sich daher ein vorheriges Sortieren für Dich lohnen. Bei Fragen zum Thema Akten-, Festplatten- und Datenvernichtung kannst Du uns jederzeit kostenlos anrufen oder eine Nachricht schreiben.

Die verschiedenen Datenträger nach DIN 66399

Für die Datenvernichtung müssen die verschiedenen Datenträger zunächst nach Material getrennt werden. Der Grund: Die Speichermedien haben unterschiedliche Speicherdichten, weshalb sich das mit der Partikelgröße verbundene Sicherheitslevel unterscheidet. Die Differenzierung der Materialarten erfolgt nach DIN 66399 in:

P: Die Informationen sind in Originalgröße dargestellt, z.B. Papier, Druckformen, Film
F: Die Informationen werden verkleinert dargestellt, z.B. Mikrofilm, Folien
O: Die Daten lagern auf optischen Datenträgern, z.B. CDs, DVDs, Blu-rays
T: Informationsdarstellung auf magnetischen Datenträgern, z.B. Disketten, ID-Karten
H: Die Daten sind auf Festplatten mit magnetischem Datenträger gespeichert, z.B. SSD- oder HDD-Festplatten
E: Die Informationen sind auf elektronischen Datenträgern gespeichert, z.B. USB-Sticks, SD-Karten, Chipkarten

Diese sogenannte PFOTHE-Darstellung bestimmt in Kombination mit der Sicherheitsstufe die maximale Partikelgröße, die das Speichermedium nach der Zerstörung noch haben darf.

Ein Beispiel: Papierakten – Materialart P – dürfen bei Sicherheitsstufe 1 maximal 2.000 mm² groß sein. Bei der höchsten Sicherheitsstufe 7, also P-7, sind es nur noch 5 mm². Eine Festplatte – Kategorie H – mit Sicherheitsstufe 1 muss wiederum nur mechanisch bis zur Funktionsuntüchtigkeit zerstört werden. Bei Sicherheitsstufe 7, also H-7, muss die Festplatte aber ebenfalls auf max. 5 mm² kleine Stücke geschreddert werden.

	P	F	O	T	H	E
Sicherheitsstufe 1	2000 mm²	160 mm²	2000 mm²	funktionsuntüchtig	funktionsuntüchtig	funktionsuntüchtig
Sicherheitsstufe 2	800 mm²	30 mm²	800 mm²	2000 mm²	beschädigt	zerteilt
Sicherheitsstufe 3	320 mm²	10 mm²	160 mm²	320 mm²	verformt	160 mm²
Sicherheitsstufe 4	160 mm²	2,5 mm²	30 mm²	160 mm²	2000 mm²	30 mm²
Sicherheitsstufe 5	30 mm²	1 mm²	10 mm²	30 mm²	320 mm²	10 mm²
Sicherheitsstufe 6	10 mm²	0,5 mm²	5 mm²	10 mm²	10 mm²	1 mm²
Sicherheitsstufe 7	5 mm²	0,2 mm²	0,2 mm²	2,5 mm²	5 mm²	0,5 mm²

Der erweiterte Datenschutz der DSGVO

Seit Mai 2018 gilt in allen europäischen Mitgliedsstaaten die Datenschutzgrundverordnung (DSGVO). Sie vereinheitlicht die Vorgaben und Regeln zum Datenschutz und erweitert die Rechte von Betroffenen. Zu den Anforderungen der DSGVO gehören unter anderem:

Generelle Datensparsamkeit
Sichere Systeme zur Datenhaltung
Dokumentierte Datenvernichtung
Komplette Prozesskontrolle und Abschätzung möglicher Gefahren
Das Dokumentieren der getroffenen Sicherheitsmaßnahmen

Nach Artikel 4 der DSGVO fällt die Vernichtung von Datenträgern unter die Datenschutzgrundverordnung, wenn darauf personenbezogene Daten gespeichert werden. So gehört zur Gewährleistung der Datensicherheit auch die Vernichtung der Datenträger. Dadurch muss verhindert werden, dass unbefugte Dritte Zugriff auf die personenbezogenen Daten bekommen. Wie die Vernichtung der Daten ablaufen muss, regelt wiederum die DIN-Norm 66399.

entsorgo ist Dein zuverlässiger Entsorgungs-Partner, unser Service erfolgt DSGVO-konform:

Die Fahrzeuge, Sicherheitsbehälter und Standorte entsprechen den Vorgaben der DIN 66399
Die stationäre Dokumenten- und Aktenvernichtung erfolgt mithilfe modernster Technik
Innerhalb der Anlage sind alle Schritte kameraüberwacht
Die Prozesse und Management-Systeme sind gemäß ISO 9001:2008 zertifiziert
Unsere Partnerunternehmen sind als Entsorgungsfachbetrieb gemäß EfbV zertifiziert
Die Entsorgungsfachbetriebe verwenden das Qualitätsmanagementsystem nach ISO 9001:2015

Hast Du noch Fragen hierzu? Unsere qualifizierten Mitarbeiter beraten Dich gern zu geeigneten Maßnahmen für die Daten- und Aktenvernichtung.