Tatort Rheinland: Ein Kunde droht mit Auftrag. Aber zuvor soll der Kölner IT-Dienstleister im Auftrag seines zukünftigen Auftraggebers zum Daten- und Informationsschutz auditiert werden. Im Fokus der Prüfung stehen die technischen und organisatorischen Maßnahmen zum Schutz der Daten des Auftraggebers. Sind die Schutzmaßnahmen, die der Dienstleister im Kleingedruckten seiner Verträge versprochenen hat, ausreichend? Die lange Liste von Fachwörtern reicht von „A“ wie Aktenvernichtung bis „Z“ wie zentrales Sicherheitsmanagement. Sind alle diese Maßnahmen tatsächlich wirksam und nach dem Stand der Technik umgesetzt? Von dem positiven Ergebnis dieses Audits soll die Beauftragung des Dienstleisters abhängen.
Zertifizierung oder Einzelfallprüfung
Der Autor dieses Artikels ist Datenschützer und prüft regelmäßig Unternehmen zum Daten- und Informationsschutz. Hintergrund sind die gesetzlichen Rahmenbedingungen in Deutschland und Europa, die von Unternehmen zunehmend Transparenz und nachgewiesene Zuverlässigkeit bei den eigenen Dienstleistern und Lieferanten verlangen. Große Unternehmen belegen ihre Zuverlässigkeit oftmals über Zertifizierungen. Mittelständische und kleine Unternehmen sehen seltener den Mehrwert für den teilweise erheblichen Aufwand, um die Voraussetzungen für eine Zertifizierung zu schaffen und dauerhaft aufrecht zu halten. Das führt nun zunehmend dazu, dass große Auftraggeber sich durch eigene Prüfer selbst davon überzeugen, ob ein zukünftiger Dienstleister ausreichend geeignet ist. Aber auch altbewährte Bestandsdienstleister müssen sich in solchen Audits bewähren.
Papier ist geduldig, die Folgen von Datenschutzverletzungen sind es nicht
Auch in Zeiten der Digitalisierung ist Papier in Form von Briefen, Ausdrucken, Akten und Ordnersammlungen einer der häufigsten Datenträger. Selbst in sogenannten papierlosen Büros lassen sich einerseits Drucker und andererseits persönliche Notizsammlungen antreffen. Neben den vielen Sicherheitsmaßnahmen für die digitalen Systeme wird das konventionelle Papier oft übersehen.
In den langen Listen geforderter oder versprochener Schutzmaßnahmen ist das Thema Papier bestenfalls mit dem Stichwort „Datenträgervernichtung nach DIN 66399“ vertreten. Und einer der häufigsten Auditbefunde lautet: Datenträger werden nicht nach dem Stand der Technik vernichtet (repräsentiert durch die zuvor genannte DIN66399).
Die Überraschung ist dann groß, wenn der Auditor erklärt, dass der eingesetzte Entsorgungsdienstleister zwar passend zertifiziert ist, dieser aber nicht korrekt beauftragt wurde.
Aktenvernichtung: bitte richtig beauftragen
Die Beauftragung einer Datenträgervernichtung läuft oft so ab.
Kunde: „Wir möchten gerne unsere alten Akten entsorgen lassen. Können Sie uns bitte ein Angebot erstellen?“
Dienstleister: „Wie viele Ordner sind es denn?“
Das Ganze wird dreimal gefragt und der günstigste Anbieter erhält den Zuschlag.
Der Preis einer Aktenvernichtung ist sicherlich ein ausschlaggebendes Kriterium für die Anbieterauswahl. Doch oft wird der berühmte Apfel mit der, entfernt verwandten, Birne verglichen.
Die DIN66399 unterscheidet verschiedene Qualitäten der Aktenvernichtung. Je umfassender die Vernichtungsmaßnahmen, desto unwahrscheinlicher ist es, dass jemand aus dem Endprodukt der Vernichtung noch verständliche Informationen ermitteln kann. Welche Qualität die Grundlage eines angebotenen Preises ist, lässt sich manchmal nur aus dem Kleingedruckten ermitteln. Die Angaben zu sogenannten Schutzklassen und Sicherheitsstufen sind aber nicht selbsterklärend: vor allem Auftraggeber, die nicht durch einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte beraten werden, können mit diesen technischen Angaben wenig anfangen.
Aktenvernichtung mit Qualität – aber welche ist die richtige?
Je höher der Schutzbedarf von Informationen ist, desto höher muss die Qualität der Datenträgervernichtung sein. Der DIN-konforme Vernichtungsprozess unterscheidet zwischen drei Schutzklassen und sieben Sicherheitsstufen.
Die Schutzklassen beschreiben Anforderungen an den Prozess von Lagerung, Transport und Vernichtung. So müssen ab der Schutzklasse 2 die zu vernichtenden Akten in einem Fahrzeug mit geschlossenem und verschlossenem festem Aufbau transportiert werden. Soll das Personal des Dienstleisters auch keinen Zugriff auf die Akten in Originalgröße haben (also auf das Papier, das noch nicht geschreddert wurde), muss bereits Schutzklasse 3 beauftragt werden.
Die sieben Sicherheitsstufen beschreiben das Maß der Vernichtung. Dazu gehört beispielsweise die Größe der Papierschnipsel, die am Ende einer Aktenvernichtung übrig bleiben dürfen. Kennen Sie noch die alten Aktenvernichter fürs Büro, mit denen sich lange Streifen produzieren lassen. Wenn sie noch einen solchen besitzen, dann tauschen sie diesen bitte umgehend aus. Diese Streifen lassen sich auch ohne wesentliches Puzzle-Talent einfach wieder zusammensetzen.
Eine einfache Orientierungshilfe
Als erste Orientierung, um zu prüfen, ob Sie bisher richtig beauftragt haben, können Sie die folgenden Empfehlungen nutzen:
Schutzklasse 2 sollte für Akten mit Unternehmensdaten die Mindestqualität sein. Schutzklasse 1 wäre bestenfalls für altes Prospektmaterial geeignet. Schutzklasse 3 sollte gewählt werden, wenn sie z. B. sicherstellen wollen, dass das Personal des Dienstleisters keinen Kontakt zu den Originalakten haben soll.
Für Unternehmensdaten mit personenbezogenen Inhalten sollte Sicherheitsstufe 3 die Mindestqualität sein. Personaldaten sollten mindestens mit Sicherheitsstufe 4 vernichtet werden. Für geheime Forschungs- und Entwicklungsunterlagen kann die Sicherheitsstufe 5 erforderlich werden. Die Stufen 6 und 7 sind eher für den militärischen und nachrichtendienstlichen Bereich relevant.
Fazit
Eine datenschutzkonforme und wirksame Aktenvernichtung beginnt mit der Auswahl eines DIN66399-zertifizierten Dienstleisters. Machen Sie bei der Angebotsanfrage nicht nur Angaben zu der Menge der zu vernichtenden Akten, legen Sie auch Schutzklasse und Sicherheitsstufe fest. Ihr Dienstleister kann Sie dazu beraten – am Ende sind Sie aber selbst rechtlich hierfür verantwortlich. Zur Erinnerung: Für übliche personenbezogene Akten in Unternehmen liegt der empfohlene Mindeststandard bei Schutzklasse 2 und Sicherheitsstufe 3 bzw. 4 (Personaldaten).
Noch unsicher? Lassen Sie sich bei der einmaligen Erstellung eines Vernichtungskonzeptes von einem erfahrenen Datenschützer beraten.
Über den Autor:
Thomas Rosin ist Experte für Daten- und Informationsschutz. Er ist als Datenschutzbeauftragter und Berater für Unternehmen und Unternehmensgruppen mit Hauptsitz in Deutschland tätig. Daneben lehrt er Datenschutz im Masterstudiengang Wirtschaftsinformatik an der Rheinischen Fachhochschule Köln.
Kontakt: info@thomasrosin.de