Welche Schutzklassen/Sicherheitsstufen für Dokumente gibt es?
Seit dem 25.05.2018 gelten die EU-Datenschutz-Grundverordnung (DSGVO) und eine Neufassung des Bundesdatenschutzgesetzes (BDSG). Die Vernichtung personenbezogener Daten fällt in den Anwendungsbereich der Datenschutzgrundverordnung gemäß Art. 4 Nr. 2 DSGVO. Das Vernichten von Datenträgern ist daher eine technisch-organisatorische Maßnahme zur Gewährleistung der Datensicherheit, insbesondere zur Verhinderung der Kenntnisnahme personenbezogener Daten durch unbefugte Dritte.
Im Oktober 2012 wurde die DIN-Norm 66399 „Büro- und Datentechnik – Vernichten von Datenträgern“ veröffentlicht. Der zuständige DIN-Ausschuss hat damit einen Standard erarbeitet, der den Stand der Technik in der Datenträgervernichtung abbildet.
Diese Norm unterteilt sich in zwei Bereiche, beim ersten handelt es sich um die Schutzklassen, die Dokumente und Daten zunächst in drei grundsätzliche Kategorien des Schutzbedarfs gliedern. Der zweite Bereich der DIN 66399 setzt sich aus 7 Sicherheitsstufen zusammen, nach denen sich die Aktenvernichtung zu richten hat.
Die gewählte Schutzklasse (SK) gibt verallgemeinert an, welche technischen und organisatorischen Maßnahmen getroffen werden müssen, um ein angemessenes Schutzniveau zu gewährleisten.
Schutzklasse 1 – normaler Bedarf für interne Daten: Der Schutz von personenbezogenen Daten muss gewährleistet sein. Andernfalls besteht die Gefahr, dass der Betroffene in seiner Stellung und seinen wirtschaftlichen Verhältnissen beeinträchtigt wird. Beispiele: Telefonlisten, Produktlisten, Lieferantendaten, Adressdaten
Schutzklasse 2 – hoher Bedarf für vertrauliche Daten: Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird. Beispiele: Betriebswirtschaftliche Auswertungen, Interne Reportings, Finanzbuchhaltungsunterlagen, Bilanzen, Jahresabschlüsse
Schutzklasse 3 – sehr hoher Bedarf für besonders geheime Daten: Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein. Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen. Beispiele: Kanzleien, Zeugenschutzprogramme, Informationen aller Geheimhaltungsgrade des Bundes und der Länder, (streng) geheime Unterlagen aus Forschung und Entwicklung von Wirtschaftsunternehmen
Die Sicherheitsstufen geben an, wie klein die Partikel nach der Vernichtung sein müssen.
1 Allgemeine Daten - Reproduktion mit einfachem Aufwand
2 Interne Daten - Reproduktion mit besonderem Aufwand
3 Sensible Daten - Reproduktion mit erheblichem Aufwand
4 Besonders sensible Daten - Reproduktion mit außergewöhnlichem Aufwand
5 Geheim zu haltende Daten - Reproduktion mit zweifelhaften Methoden
6 Geheime Hochsicherheitsdaten - Reproduktion technisch nicht möglich
7 Top Secret Hochsicherheitsdaten - Reproduktion ausgeschlossen
Da öffentliche Stellen in der Regel keine konkreten Vorgaben zu der Einteilung bestimmter Arten von Daten oder Berufsgruppen geben, fällt es Entscheidungsträgern in Kanzleien oft schwer, den richtigen Schutzbedarf zu definieren. In dem Fall der Rechtsanwälte ist der 49. Tätigkeitsbericht des Hessischen Datenschutzbeauftragten aus 2020 hilfreich:
„Unter Ziffer 11.7 (S.110 ff.) stellt der Hessische Datenschutzbeauftragte klar, dass Rechtsanwältinnen und Rechtsanwälte als Berufsgeheimnisträger bei der datenschutzgerechten Vernichtung von Papierdokumenten und Arbeitsunterlagen mit personenbezogenen Daten Dritter besonderen Sorgfaltspflichten unterliegen.“
„Grundsätzlich bestehe das Risiko, dass Papierdokumente auf dem Entsorgungsweg verloren gehen. In jedem Fall gilt es zu beachten, dass Papierdokumente mit personenbezogenen Daten, die nicht aus dem privaten Bereich stammen, mittels eines Aktenvernichters oder qualifizierten Entsorgungsdienstes zu vernichten sind. Dies ergibt sich aus der in Art. 32 DS-GVO bestimmten Pflicht, durch geeignete technische und organisatorische Maßnahmen ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Hierfür sei nach dem Stand der Technik bei besonders sensiblen Daten mindestens die Sicherheitsstufe P-4 gemäß der Norm DIN/ISO 66399-2 zu erfüllen.“
Bettina Kauffel ist seit 2012 bei Soldan als Produktmanagerin für Kanzleiservices / Business Development / Legal Tech zuständig. Vor ihrer Zeit bei Soldan hatte sie mehrere Positionen im Marketing/Vertrieb in der Industrie sowie im internationalen Finanzdienstleistungsbereich inne. Einen langjährigen juristischen Bezug hat sie unter anderem durch ihre "Juristen"-Familie.