Grundlagen der ISO 21964
Die ISO 21964 regelt den gesamten Prozess der Datenträgervernichtung: von der Klassifizierung der Informationen über die Auswahl geeigneter Verfahren bis hin zur Dokumentation. Ziel ist es, eine Datenrekonstruktion zuverlässig auszuschließen. Die Norm unterscheidet:
– Materialklassifikation (z. B. Papier, Festplatten, optische Medien, elektronische Speicher)
– Schutzklassen (Einstufung des Schutzbedarfs)
– Sicherheitsstufen (technische Anforderungen an die Zerkleinerung)
Schutzklassen im Detail
Die Schutzklassen definieren die Sensibilität der zu vernichtenden Informationen und leiten daraus das notwendige Schutzniveau ab. Es existieren drei Schutzklassen:
Schutzklasse 1 – Normaler Schutzbedarf
Betrifft allgemeine interne Informationen, deren unberechtigte Weitergabe keine schwerwiegenden Folgen hätte. Dazu zählen beispielsweise betriebsinterne Mitteilungen oder Organisationsunterlagen. Eine Zerstörung auf einfachem Sicherheitsniveau ist ausreichend.
Schutzklasse 2 – Hoher Schutzbedarf
Umfasst vertrauliche Daten, deren Kenntnisnahme durch Unbefugte geschäftsschädigende oder gesetzlich relevante Konsequenzen haben kann. Dazu zählen Kunden- und Mitarbeiterdaten, Verträge, Angebote oder interne Analysen. Hier ist ein erhöhter Vernichtungsstandard anzusetzen.
Schutzklasse 3 – Sehr hoher Schutzbedarf
Gilt für besonders schützenswerte, vertrauliche oder geheime Informationen. Eine unautorisierte Kenntnisnahme kann gravierende Auswirkungen auf das Unternehmen, Dritte oder staatliche Stellen haben. Dies betrifft unter anderem Forschungsdaten, sicherheitsrelevante Unterlagen, Behörden- oder Militärdokumente. Es ist die höchste Sicherheitsstufe erforderlich.
Sicherheitsstufen für elektronische und magnetische Datenträger
Die ISO 21964 definiert neben den Schutzklassen auch spezifische Sicherheitsstufen für unterschiedliche Materialtypen. Für elektronische Datenträger (E-Kategorie) und magnetische/optische Festplatten (H-Kategorie) gelten folgende Stufen:
Sicherheitsstufe E4 (elektronische Datenträger)
Geeignet für Schutzklasse 2. Die Datenwiederherstellung ist durch spezielle technische Verfahren weitgehend ausgeschlossen. Typische Anwendungen: USB-Sticks, SSDs, Flashspeicher mit sensiblen, jedoch nicht geheimhaltungsbedürftigen Informationen.
Sicherheitsstufe H4 (magnetische/optische Datenträger)
Geeignet für Schutzklasse 2 bis 3. Eine Rekonstruktion ist unter hohem Aufwand nur mit forensischen Mitteln denkbar. Angewendet bei der Vernichtung von Festplatten, CDs, DVDs mit vertraulichen Unternehmensdaten.
Sicherheitsstufe E5
Geeignet für Schutzklasse 3. Die Datenwiederherstellung ist mit aktuellen Mitteln ausgeschlossen. Eingesetzt bei besonders schützenswerten elektronischen Speichern – etwa in Behörden, Kliniken oder Entwicklungsabteilungen.
Sicherheitsstufe H5
Geeignet für Schutzklasse 3. Daten auf Festplatten und ähnlichen Medien werden so zerstört, dass selbst eine Wiederherstellung mit Spezialtechnologie ausgeschlossen ist. Typisch für Geheimhaltungsstufen in sicherheitsrelevanten Einrichtungen.
Rechtliche Relevanz
Die ISO 21964 stellt einen anerkannten Stand der Technik dar und erfüllt die Anforderungen aus der DSGVO, insbesondere aus Artikel 32 (Sicherheit der Verarbeitung) sowie Artikel 17 (Recht auf Löschung). Unternehmen, die personenbezogene Daten speichern oder verarbeiten, sind rechtlich verpflichtet, auch für eine sichere Löschung und Entsorgung zu sorgen.
Fazit
Die Vernichtung von Datenträgern ist mehr als eine organisatorische Maßnahme – sie ist ein sicherheitsrelevanter und rechtlich verpflichtender Prozess. Mit der ISO 21964 steht ein klar strukturierter Rahmen zur Verfügung, den Unternehmen verpflichtend berücksichtigen sollten.
K&P erfüllt diese Anforderungen und bietet die fachgerechte, ISO-21964-konforme Vernichtung von Datenträgern als zertifizierte Dienstleistung an. www.kpc.de
Ein Ansprechpartner – weltweiter Service. Die K&P Computer Service- und Vertriebs-GmbH ist eines der führenden herstellerunabhängigen IT-Dienstleistungsunternehmen. Das international aufgestellte Unternehmen betreut mit über 260 engagierten Mitarbeitern mehr als 4.000 Kunden. K&P Computer ist mit seinem internationalen IT Services Partnernetzwerk rund um den Globus für Kunden im Einsatz. Gemeinsam mit seiner Tochtergesellschaft BLUE Consult begleitet der Wiesbadener IT-Service Provider Unternehmen auf ihrem individuellen Weg in die digitale Zukunft. Von Hardware-Services, IT Managed Services, IT-Projekten bis hin zu Consulting- und Cloud-Services – bei K&P und BLUE Consult erhalten Kunden Lösungen aus einer Hand. Dabei profitieren sie von 40 Jahren IT-Expertise und einer exklusiven Nähe zum Hersteller.
K&P Computer Service- und Vertriebs-GmbH
Berta-Cramer-Ring 10
65205 Wiesbaden
Telefon: +49 (6122) 7071-0
Telefax: +49 (6122) 7071-111
http://www.kpc.de
Telefon: +49 (6122) 7071-0
E-Mail: koehler@kpc.de
