Ende Januar 2013 trat der dritte Teil der neuen DIN 66399 »Büro- und Datentechnik – Vernichtung von Datenträgern« in Kraft. Sie regelt den Umgang mit Datenträgern aller Art und hat selbstverständlich auch Auswirkungen auf das Bauwesen. Architekten und Planer müssen neue Regelungen befolgen.
Ende Januar 2013 trat der dritte Teil der neuen DIN 66399 »Büro- und Datentechnik – Vernichtung von Datenträgern« in Kraft. Sie regelt den Umgang mit Datenträgern aller Art und hat selbstverständlich auch Auswirkungen auf das Bauwesen. Architekten, Bauingenieure, Fachingenieure und Planer müssen neue Regelungen befolgen.
Drei Schutzklassen:
Es gibt drei Schutzklassen von Daten. Die Schutzklasse 1 beschreibt den normalen Schutzbedarf für interne Daten wie beispielsweise Arbeitspläne, Schulungsunterlagen, Telefonlisten oder personalisierte Werbebriefe. Die Schutzklasse 2 beschreibt einen hohen Schutzbedarf für vertrauliche Daten wie beispielsweise Mitarbeiter-, Kunden-, Lieferantendaten, personenbezogene Daten, Angebote oder Daten der Finanzbuchhaltung (Baustoffindustrie, Handel, Handwerk). Die Schutzklasse 3 beschreibt schließlich den sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten, beispielsweise personenbezogene Daten wie Gesundheitsdaten, Patente, Daten, die einem Berufsgeheimnis unterliegen (Arzt, Anwalt, Steuerberater), geheime Daten des Bundes und der Länder.
Bau ist Schutzklasse 2:
Aus dieser neuen Regelung ergibt sich für die Baubranche, vom Baustoffhersteller über den Baustoffhandel bis zum Dachdecker die Notwendigkeit, Daten nach den Vorgaben für die Schutzklasse 2 zu vernichten. Die Daten müssen in Sicherheitsbehältern oder entsprechend zugangsgesicherten Räumen gesammelt und zwischengelagert werden, bis diese selbst oder von einem qualifizierten externen Dienstleister professionell vernichtet werden.
Zur Vernichtung gilt es Geräte bestimmter Sicherheitsstufen zu nutzten. Die neue DIN empfiehlt beispielsweise zur Schutzklasse 2 einen Schredder der Sicherheitsstufe 3, der die Daten auf eine bestimmte Partikelgröße schreddert. Außer Papierunterlagen werden Datenträger wie Festplatten, CD/DVD, Chipkarten, USB-Sticks, Mikrofilme, ID-Karten berücksichtigt. Ihre sichere Vernichtung ist komplizierter, da die hohe Informationsdichte berücksichtigt werden muss.
Unternehmer muss anweisen:
Das Unternehmen bleibt als verantwortliche Stelle bis zur vollständigen Vernichtung der Datenträger für den jeweiligen Prozess verantwortlich. Wenn das Unternehmen einen Dienstleister im Vernichtungsprozess mit einbezieht, muss dieser nach den Weisungen des Auftraggebers arbeiten. Um ein Unternehmen rechtssicher zu machen und vor Datenpannen und deren unschönen Folgen zu verschonen, sollte jeder Inhaber, Geschäftsführer, Entscheider eine Arbeitsanweisung für Mitarbeiter anfertigen, die den Umgang mit zu vernichtenden Datenträgern verbindlich regelt.
Merentis DataSec GmbH, www.merentisdatasec.com