Mittlerweile ist es in den meisten Unternehmen bekannt, dass Papierdokumente, die sensible, personenbezogene Daten enthalten, nicht in der normalen Papiermülltonne entsorgt werden dürfen – dann würde schließlich ein hohes Risiko für einen Datenmissbrauch bestehen.
Allerdings wissen nur wenige Firmen, was sie beachten müssen, wenn es um eine korrekte und vor allem eine DSGVO-konforme Entsorgung von digitalen Datenträgern geht.
So kommt es leider immer wieder vor, dass ausgediente Festplatten im herkömmlichen Restmüll landen. Privatpersonen versuchen sogar häufig, ihre Festplatten noch gebraucht weiterzuverkaufen. Im Vorfeld löschen sie die Festplatte dann lediglich und vertrauen darauf, dass sich keinerlei Daten mehr auf dieser befinden.
Allerdings sind IT-Experten oft ohne große Probleme in der Lage, die zuvor gelöschten Daten der Festplatte wiederherzustellen. So besteht die Gefahr, dass sensible und vertrauliche Informationen in die falschen Hände geraten.
Genau aus diesem Grund kommt einer Festplattenvernichtung nach EU-DSGVO eine äußerst große Bedeutung zu. Dies gilt nicht nur für Unternehmen, sondern auch für Privatpersonen. Allerdings müssen Unternehmen mit besonders schwerwiegenden Konsequenzen rechnen, wenn sie versäumen, nach den Vorgaben der DSGVO zu handeln.
Berücksichtigung von Schutzklassen und Sicherheitsstufen
Soll sichergestellt werden, dass kein Risiko für einen Datenmissbrauch nach der Entsorgung des Datenträgers besteht, stellt die Beauftragung eines spezialisierten Dienstleisters oft die beste Lösung dar. Dieser hält die jeweiligen Datenschutzstandards, welche durch die DIN 66399 vorgegeben werden, sowie die Vorgaben der DSGVO, der Datenschutzgrundverordnung, ein.
Nach der DIN 66399 werden Datenträger in verschiedene Schutzklassen eingeteilt. Entscheidend ist dabei, welche Informationen auf diesen gespeichert wurden. Die Schutzklasse fällt umso höher aus, je größer das potentielle Risiko für einen Missbrauch der Daten ausfällt. Für interne Daten und Informationen gilt so die Schutzklasse 1. Die Schutzklasse 2 bezieht sich auf vertrauliche Daten, die einen hohen Schutzbedarf aufweisen. Geheime und hoch vertrauliche Daten fallen in die Schutzklasse 3 – sie benötigen somit einen sehr hohen Schutz.
Neben den Schutzklassen existieren ebenfalls unterschiedliche Sicherheitsstufen. Diese geben Aufschluss darüber, welche Größe die Partikel des Datenträgers nach seiner Vernichtung noch aufweisen dürfen. Damit ist auszuschließen, dass eine Wiederherstellung der Daten möglich ist. Die Überbleibsel müssen umso kleiner ausfallen, je höher sich die Sicherheitsstufe gestaltet.
Externen Dienstleister mit der Festplattenvernichtung beauftragen
Möchten Unternehmen ihre ausgedienten Festplatten nicht selbstständig schreddern und anschließend korrekt entsorgen, stellt die Beauftragung eines externen Dienstleisters die passende Lösung dar. Wird die Vernichtung an ein spezialisiertes Entsorgungsunternehmen übertragen, wird dafür ein Auftragsverarbeitungsvertrag geschlossen.
Dieser enthält Informationen darüber, welche Schutzbedürftigkeit die Daten auf der Festplatte aufweisen. Im Gegenzug verpflichtet sich der Dienstleister zu einer datenschutzkonformen Vernichtung. Daneben gewährleistet er, dass die nötigen Sicherheitsvorkehrungen getroffen werden, um einen Datenmissbrauch vor der Vernichtung auszuschließen. So können die Datenträger unter anderem in verschlossenen Metallcontainern transportiert werden. Daneben dokumentiert der Dienstleister genau, wer Zugang zu den Datenträgern im Laufe der Vernichtungsarbeit hat. Die ausrangierten Festplatten einfach zu löschen oder die auf ihnen vorhandenen Daten zu überschreiben, ist keinesfalls zu empfehlen. Kommt es dann im Nachgang zu einem Missbrauch der sensiblen, personenbezogenen Daten, müssen Unternehmen mit hohen Strafzahlungen rechnen. Nicht zu vernachlässigen ist auch der Imageverlust, der mit einem Datenschutzskandal, der an die Öffentlichkeit gelangt, einhergeht