Aktenvernichtung – Datenschutz fängt bereits im Kleinen an

Datenschutz betrifft nicht nur Megakonzerne. Datenschutz bedeutet nicht nur, dass Unternehmen betriebliche und personenbezogene Sachverhalte für sich behalten. Datenschutz beginnt bereits bei Kleinigkeiten, zum Beispiel bei einem Ein-Personen-Unternehmen und der Notiz auf einem Blatt Papier. Der nicht mehr benötigte Zettel gehört nicht in Papierkorb oder Hausmüll, wo immer noch Dritte Zugriff auf ihn hätten. Auch ein Zerreißen mit der Hand in kleine Schnipsel erfüllt die Datenschutzanforderungen nicht.

Zugegeben: Es ist unwahrscheinlich, dass jemand den Abfall ausgerechnet nach solchen handschriftlichen Notizen durchsucht. Alte Kontoauszüge oder Vertragsunterlagen sind da sicher interessanter. Ausschließen können Sie ein solches Interesse jedoch nicht. Ebenso wenig können Sie ahnen, welche scheinbar banalen Notierungen für andere dennoch Informationswert haben.

Wer braucht einen DSGVO-gerechten Aktenvernichter?

Die Antwort ist ganz einfach: Jeder Betrieb und jeder Verein benötigt einen Aktenvernichter, der den Anforderungen der DSGVO entsprechen muss. Dabei sind mit „Betrieb“ auch Einzelunternehmer und freiberufliche Selbstständige gemeint. Ob Handwerksbetrieb, Ladengeschäft, Praxis oder Home Office: eine DSGVO-konforme Aktenvernichtung ist Pflicht. Ausnahmslos – sofern sich der Betrieb oder Verein in der EU befindet oder personenbezogene Daten von EU-Bürgern verarbeitet. Es genügt also nicht, lediglich den Sitz außerhalb der EU zu haben.

Wie Aktenvernichter funktionieren

Aktenvernichter sind mit einem Schneidemechanismus ausgestattet, der die über einen Zuführungsschlitz eingegebenen Papierbögen zerkleinert. Die Kraft dazu liefert ein Elektromotor in Verbindung mit einem Zahnrad- oder Kettenantrieb. Ein wesentliches Unterscheidungsmerkmal von Aktenvernichtern ist der jeweils vorhandene Schnitttyp

  • Streifenschnitt
  • Kreuzschnitt
  • Partikelschnitt

Neben herkömmlichen Aktenvernichtern, die zum Schreddern von Papier entwickelt wurden, gibt es solche, die auch Pappe  zerkleinern können oder sogar Kunststoffe, aus denen Kreditkarten, Bonuskarten, EC-Karten, CDs und DVDs hergestellt sind. Es ist klar, dass der Streifenschnitt keinen strengen Datenschutzanforderungen standhält. Mit ein wenig Zeit und Kombinationsgabe lassen sich aus den Streifen wie in einem Puzzlespiel die ehemaligen Dokumente wiederherstellen. Wie Schredder nach ihrer datenschutzgerechten Aktenvernichtung beurteilt werden, erfahren Sie nachfolgend.

Schutzklassen und Sicherheitsstufen von Aktenvernichtern

Schutzklassen

Ihrer inhaltlichen Bedeutung nach werden Papierdokumente in drei Schutzklassen nach DIN 66399 eingeteilt:

  • Schutzklasse 1: Es handelt sich hierbei um Daten mit sogenanntem normalem Schutzbedarf. Eine unzulässige Veröffentlichung dieser Daten hätte kaum negative Folgen – wie zum Beispiel Notizzettel, allgemeine beziehungsweise nicht Know-how-relevante Korrespondenz, Wurfsendungen, Prospekte, Kataloge oder personalisierte Werbung.
  • Schutzklasse 2: Es geht um Daten mit sogenanntem erhöhten Schutzbedarf, das heißt, vertrauliche auf einen kleinen Personenkreis beschränkte und in besonderem Maße schutzwürdige Informationen. Die Auswirkungen einer unzulässigen Weitergabe wären erheblich und könnten sogar gegen Vertragsverpflichtungen oder Gesetze verstoßen. Das betrifft beispielsweise Bewerbungsunterlagen, aber auch Know-how-relevante Korrespondenz wie Memos, Anfragen, Angebote, Aushänge, Personaldaten und Ähnliches.
  • Schutzklasse 3: Hier ist der Schutzbedarf erheblich. Betroffen sind besonders vertrauliche beziehungsweise geheime Informationen, deren Kenntnis zudem auf einen kleinen und untereinander namentlich bekannten zugriffsberechtigten Personenkreis beschränkt ist. Eine unzulässige Offenlegung der Daten könnte Unternehmen in ihrer Existenz bedrohen sowie Patienten und Mandanten enorm schaden. Im Raum steht hier außerdem ein möglicher Verstoß gegen besondere Berufsgeheimnisse, Verträge oder Gesetze, der strafrechtlich geahndet werden kann. Zu derartigen besonders schutzwürdigen Daten zählen unter anderem Unterlagen der Geschäftsführung, Finanzdaten und Verschlusssachen.

Es liegt hiernach bereits auf der Hand, dass die Schutzklasse 1 nur für private Zwecke infrage kommt und für berufliche Zwecke ungeeignet ist.

Sicherheitsstufen im Überblick

Die DIN 66399 bezieht sich auch auf die Sicherheitsstufen von Aktenvernichtungsgeräten. Der neue DIN-Standard bedeutet eine Erweiterung der Sicherheitsstufen von 5 auf nunmehr 7. Er berücksichtigt nun die Datenschutzanforderungen sämtlicher Medien, also nicht nur von Papierdokumenten, sondern beispielsweise auch von Mikrofiches, Filmen, CDs, DVDs, Blu-rays, Disketten, Kassetten, Ausweisen und so weiter. Zum besseren Verständnis beginnen wir mit den einzelnen Sicherheitsstufen von
Aktenvernichtern, beziehungsweise Schreddern. Die jeweiligen Sicherheitsstufen erstrecken sich auf:

  • Sicherheitsstufe 1: Allgemeine Daten = Wiederherstellung mit einfachem Aufwand möglich
  • Sicherheitsstufe 2: Interne Daten = Wiederherstellung mit besonderem Aufwand möglich
  • Sicherheitsstufe 3: Sensible Daten = Wiederherstellung mit erheblichem Aufwand möglich
  • Sicherheitsstufe 4: Besonders sensible Daten = Wiederherstellung mit außergewöhnlichem Aufwand möglich
  • Sicherheitsstufe 5: Geheimzuhaltende Daten = Wiederherstellung mit zweifelhaften Methoden möglich
  • Sicherheitsstufe 6: Geheime Hochsicherheitsdaten = Wiederherstellung technisch nicht möglich
  • Sicherheitsstufe 7: Top-Secret-Hochsicherheitsdaten = Wiederherstellung ausgeschlossen

Welche Schutzklasse ist mit welcher Sicherheitsklasse vereinbar?

Unsere Tabelle zeigt Dir auf einen Blick, welche Schutzklassen und Sicherheitsstufen zusammenpassen.

[ip_image src="/wp-content/uploads/2021/06/schutzklassen.png" align="left" fullwidth="true" width="800"]

Material-Kürzel der Datenträger

Weil für die Art eines Aktenvernichters außer der Schutzklasse und Sicherheitsstufe auch das Material der zu vernichtenden Datenträger von Bedeutung ist, wird der Sicherheitsstufenangabe bei der Produktbeschreibung ein bezeichnendes Buchstabenkürzel vorangestellt. Es kennzeichnet die Eignung des Schredders für ein bestimmtes Datenträgermaterial. Die Gesamtheit dieser Kürzel wird auch als PFOTHE bezeichnet. Hierfür stehen die einzelnen Kürzel:

  • P: Papier
  • F: Informationsträger in verkleinerter Form wie Filme oder Mikrofiches
  • O: optische Datenträger wie CDs, DVDs oder Blu-rays
  • T: magnetische Datenträger, beispielsweise Disketten, Ausweise, Kassetten oder magnetische Bänder (Tapes)
  • H: Festplatten, Laptops sowie externe Festplatten (Hard Disks)
  • E: elektronische Datenträger, zum Beispiel Memorysticks, Laufwerke oder Mobiltelefone

Sicherheitsstufen der P-Kategorie ab P-4

Anhand der DSGVO-gerechten Sicherheitsstufen für Aktenvernichter zeigt diese Übersicht, worauf es bei den einzelnen Stufen ab P-4 ankommt:

Sicherheitsstufe P-4

Die Sicherheitsstufe 4 der Kategorie P befindet sich bereits auf hohem Standard. Betriebe, die sensible personenbezogene Daten verarbeiten, zum Beispiel Bewerbungsunterlagen oder Personalakten, wählen mindestens ein Gerät der Sicherheitsstufe P-4.

Sicherheitsstufe P-5

Aktenvernichter mit dem Sicherheitsmerkmal P-5 sind auf den Schutzbedarf von Daten mit Geheimhaltungsstatus ausgerichtet. Entsprechend schreddern sie die Dokumente extra fein. Zum typischen Datenmaterial für diese Kategorie zählen Patientenakten und Prozessakten.

Sicherheitsstufe P-6

Die Sicherheitsstufe P-6 ist für Datenträger erforderlich, deren Schutzbedarf über den der vorherigen Stufe hinausgeht. Das sind außer dem Geheimhaltungsstatus weitere erhöhte Sicherheitsanforderungen. In dieser Sicherheitsstufe wird das Datenmaterial um das Dreifache kleiner zerschnitten als in der Stufe zuvor. Als Dokumentenbeispiele seien hier Baupläne und Bauzeichnungen sowie Alarmpläne genannt.

Sicherheitsstufe P-7

P-7 als Sicherheitsstufe ist für absolut geheime Dokumente und Datenträger gedacht. Hier sind die Partikelteilchen nur noch halb so groß wie bei der vorherigen Sicherheitsstufe. Er ist vor allem für Unterlagen von Geheimdiensten und militärischen Organisationen vorgesehen.

Welche Aktenvernichter sind DSGVO-konform?

Soll der Aktenvernichter DSGVO-konform sein, darf er nicht unterhalb der Sicherheitsstufe P-4 liegen. Aktenvernichter ab Sicherheitsstufe P4 arbeiten vor allem mit Partikelschnitt, der ein Wiederherstellen geschredderter Dokumente extrem erschwert.

Mit der Datenvernichtung von Dokumenten verhält es sich ein bisschen wie mit dem Einbruchschutz für Haus oder Wohnung: Hundertprozentige Sicherheit gibt es nicht, aber man kann es dem Datendieb oder Einbrecher so schwer wie möglich machen. Dann ist die Chance groß, dass er aufgibt oder es woanders versucht, wo jemand weniger gut vorgesorgt hat.