Es ist im Alltag eines Datenschützers immer wieder zu beobachten, dass Akten- und Datenträgervernichtung nicht gerade zu den Lieblingsdisziplinen der betrieblichen Anwender gehört. Sensible Akten werden oft im Papierkorb „versenkt“ und darauf vertraut, dass die Putzfrau sich schon darum kümmert und den Papiermüll dahin bringt, wo er hin soll. Aus den Augen aus dem Sinn? Aber was passiert außerhalb des eigenen Wahrnehmungsbereiches? Vom privaten Umfeld will ich hier gar nicht erst anfangen. Wer hat schon einen Schredder und sorgt so dafür, dass Kontoauszüge, Bussgeldbescheide, Krankenversicherungsunterlagen oder Arztrechnungen und andere sensible Unterlagen von den Müllmännern, vom Nachbarn, oder von solchen, die einem schaden wollen (wer immer das auch sein mag…), nicht gelesen werden können.
Diese „private“ Arglosigkeit ist mit einer der Gründe, warum im geschäftlichen Betrieb vorhandene Schredder teilweise völlig staubfrei sind, was bedeutet, dass sie niemals benutzt wurden. Ein anderer Grund ist eine fehlende betriebliche Anweisung, wie mit sensiblen, oder unternehmenskritischen Daten umzugehen ist, oder ganz einfach die Voraussetzungen dazu nicht geschaffen wurden.
Dazu gab es in der Vergangenheit eine Norm, die DIN 32757. Darin wurde im wesentlichen über eine Schutzklassendefinition die Partikelgröße im Schredderverfahren vorgegeben. Soll heißen, wir reden über Schnipsel und deren Abmessungen. Das hat sich mit dem Inkrafttreten der DIN 66399 nicht geändert, es sind aber ein paar Schnipselgrößen hinzugekommen, und der gesamte Prozess der Datenträgervernichtung ist genormt worden. Aber eins nach dem anderen.
1. Inkraftreten
An verschiedenen Stellen im Internet ist die Information zu finden, die alte DIN 32757 wäre übergangsweise noch wirksam. Das ist schlichtweg falsch. Es lässt sich nicht verifizieren, aber die hierzu im Netz auffindbaren Quellen basieren allem Anschein nach auf einer Falschaussage, die von anderen kopiert wurde. Jaja, die liebe Quellenarbeit. Gut kopiert ist besser als schlecht selber gemacht, nicht wahr? Ist hier aber leider schlecht kopiert …
Fakt ist, dass eine DIN – Norm den anerkannten Stand der Technik wiedergibt und mit dem Erscheinen in Kraft tritt. Übergangsfristen gibt es nicht, es sei denn, diese sind in der neuen Norm geregelt. Was in der DIN 66399 nicht der Fall ist. Dem datenschutzkundigen Leser wird der Begriff Stand der Technik geläufig sein, allen anderen wird hier analog z.B. der § 109 des TKG (Telekommunikationsgesetz) ans Herz gelegt. Darin heißt es, dass jeder Diensteanbieter erforderliche technische Vorkehrungen und sonstige Maßnahmen gegen die Verletzung des Schutzes personenbezogener Daten zu treffen hat…
Schutz personenbezogener Daten durch den Stand der Technik. Das sind unsere Schlagworte. Damit ist eine Missachtung des Stands der Technik nichts anderes als eine Frage des Unterlassens im Rahmen der Organisationsverantwortung der speichernden Stelle, also der Stelle, die Datenverarbeitung verantwortet. Und mal wieder ist der Geschäftsführer gefragt…
Sollte bei einer Datenträgervernichtung etwas schiefgehen und eine Prüfungsinstanz – wie z.B. eine Aufsichtsbehörde oder ein Gericht – in der Angelegenheit ermitteln, wird die Frage nicht lauten, „Wie konnte das passieren?“, sondern: „Was haben Sie getan, dass das nicht passiert?“ Wenn Sie dann als Geschäftsführer auf eine Norm verweisen, ist es schon ratsam, die richtige Norm parat zu haben. Im Falle der 32757 wird Ihnen die Prüfungsinstanz nämlich vorhalten, dass Sie sich nicht an den anerkannten Stand der Technik gehalten haben, der in der aktuellen Norm vorgegeben wird. Und damit wird die Frage, ob ein Organisationsverschulden vorliegt, bejaht. Hätten Sie den Stand der Technik berücksichtigt, wäre das u.U. nicht passiert.
Aber soweit brauchen wir dann erst gar nicht mehr argumentieren, die prüfende Einrichtung hat ja schon eine Antwort auf die Frage, „Why the shit happened“. Ob es nun andere Gründe für den Schadensfalls gibt, ist dabei erst einmal nebensächlich.
Wenn wir das mit dem Straßenverkehr vergleichen, wird vielleicht deutlicher, worum es hier geht. Wer im Winter mit Sommerreifen fährt und einen Unfall baut, braucht nicht zu argumentieren, dass der Unfallgegner die Vorfahrt missachtet hat. Denn, wie wir alle wissen, sind Sommerreifen im Winter a. nicht erlaubt und b. sind Winterreifen im Winter Stand der Technik. Wer nach dem Stand der Technik handelt, hilft Schadensfälle zu vermeiden. Ignoranz kann hier auch als Unterlassung ausgelegt werden und wird im Zweifel teuer, insbesondere dann, wenn die Versicherung die Leistung verweigert. Im Falle eines Falles bei der Datenvernichtung ist der Geschäftsführer des Auftraggebers als der Verantwortliche also erst einmal der Dumme, dem die Argumente ausgehen. Also: Der Stand der Technik steht in der DIN 66399. Wirksam seit Oktober 2012 für Teil I und II. Für Teil III können wir uns seit Feb 2013 anschnallen.
Ich sage deswegen anschnallen, weil im Teil III richtig die Post abgeht. Der gesamte Prozess einer Datenträgervernichtung ist darin beschrieben. Etwas, das es nie zuvor gegeben hat und gewaltige Anforderungen an Anbieter als auch Auftraggeber beinhaltet. Auf Basis der 32757 wurde es teilweise als ausreichend angesehen, ein paar Schnipsel in die Hand zu nehmen und mittels „optischer Prüfung“ die Partikelgröße zu definieren. Heute muss es schon genauer zugehen. Und damit komme ich zu Punkt 2., den Inhalten.
2. Inhalt DIN 66399
Es ist sicher enttäuschend für die, die hier ein „Kochbuch“ erwartet haben, aber eine Kopie der Norm gibt es hier nicht. Erstens war ich immer schon ein Freund der Lach- und Sachgeschichten, und selbst den Machern der Sendung mit der Maus dürfte es schwer fallen, die Komplexität der 66399 in wenigen Worten lesbar darzustellen. Zudem steckt eine Menge Zeit, Geld und Energie in der DIN, und es ist nur recht und billig, dass das Deutsche Institut für Normung e.V. einen Ausdruck nur gegen Entgelt herausgibt. Wie andere im Netz das sehen, ist mir hierbei egal, schließlich geht es auch bei dieser Frage um Komplianz, oder neudeutsch Compliance, was in der Betriebswirtschaft auch die Einhaltung von Richtlinien und Regeln bedeutet. Und Urheberrecht ist auch eine Regel …
Also nein. Ich werde hier nicht lang und breit Inhalte diskutieren. Dafür gibt es die DIN. Nur soviel: Die 66399 enthält Vorgaben für die Vernichtung von Datenträgern aller Art. Papier, magnetische Datenträger, Filme usw… alles ist geregelt. Von der Partikelgröße bis zum Verfahren, wobei der Begriff „berührungslos“ eine besondere Bedeutung gewinnt. Dazu weiter unten mehr. Ein How-To steht in der Norm und dies zu verstehen, ist auch eine Anforderung an Auftraggeber im Sinne des § 11 des BDSG. Also die DIN kaufen, wenn Sie es ganz genau wissen wollen …
3. Auftragsdatenverarbeitung
Das übliche Verfahren bei einer Datenträgervernichtung durch einen Dienstleister richtet sich nach § 11 BDSG. Und darauf gehen wir jetzt am Beispiel Aktenvernichtung ein wenig genauer ein. Der Auftraggeber ist gegenüber dem Betroffenen (mitunter Sie oder ich) für die datenschutzkonforme Vernichtung verantwortlich. Und diese Verantwortung kann er nicht an Dritte weitergeben. Er muss also bei einer Beauftragung eines Dritten alles notwendige tun, damit eine Offenbarung personenbezogener Daten gegenüber Unberechtigten ausbleibt.
Aus der Praxis kennt man mitunter folgendes Szenario. Ein Auftraggeber verlässt sich darauf, dass ein Dienstleister gem. § 11 BDSG weiß, was er tut. Im ungünstigsten Fall bestellt er also einen Dienstleister, der das zu vernichtete Papier auf die offene Ladefläche eines Planen-LKW verbringt und dann das ganze Zeug an seiner Station in einen Schredder wirft, der ursprünglich einmal angeschafft wurde, um Holz zu zerkleinern. Im Ergebnis haben wir dann Partikel entsprechend der Größe eines Holzscheits, mit dem wir am Wochenende den wohnzimmerlichen Kamin in Betrieb nehmen könnten. „Mann macht Feuer“.
Der Auftraggeber bekommt davon nichts mit, weil er ja jemanden hat, der für ihn – gegen Bezahlung – die Aufgabe ausführt. Das ist wie mit der Putzfrau, die nach Feierabend die Papierkörbe leert. Jeder kennt das gute Gefühl, wenn man morgens ins Büro kommt und die Körbe sind leer. Alles so schön sauber :-).
So denkt auch unser Auftraggeber. Das Papier ist weg und wir können munter neues produzieren. Was aber, wenn jemand die Holzscheite mit nach Hause nimmt und das Zeugs nicht im Recycling landet? Bevor „Mann macht Feuer“, liegt das Zeug irgendwo herum. Der Auftraggeber hat hiervon keine Kenntnis. Und schon haben wir ein Problem mit der Auftraggeberverantwortung. gem § 11 BDSG.
4. Schutzklassendefinition
Um das zu verhindern, ist eine Reihe Dienstleister zur Datenträgervernichtung am Markt tätig, die wissen, dass Partikel von der Größe eines Holzscheits mitunter schlechte Presse bringen. Somit ist das Gefahrenpotential erst einmal geringer. Aber: Der Dienstleister muss nicht wissen, mit welcher Art von personenbezogenen Daten er es zu tun hat. Im Falle einer Klassifizierung der Daten als Schutzklasse 3 darf er das auch gar nicht. Hier kommt der Begriff „berührungslos“ ins Spiel. Je höher die Schutzklasse, desto weniger Berührung des zu vernichtenden Materials durch den Dienstleister ist gefragt. Der Auftraggeber als „Herr der Daten“ muss also erst einmal die Schutzklasse definieren, bevor er einen Dienstleister mit der Vernichtung beauftragt und dann die Frage klären, ob der Dienstleister die Voraussetzungen erfüllt, die seine Schutzklassendefinition per DIN 66399 an den Dienstleister stellt.
DIN 66399 hält dazu zunächst drei Schutzklassen bereit. Aus Anwendersicht könnte man die drei Klassen als „harmlos“ „wichtig“ und „brisant“ bezeichnen. Die DIN verwendet natürlich besser klingende Begriffe, aber a. möchte ich keinen Auftraggeber dazu verleiten, diesen Beitrag als Entscheidungsgrundlage zur Aktenvernichtung zu betrachten. Darüber hinaus sind die Einzelheiten der DIN so umfänglich, dass der Rahmen dieses Beitrags gesprengt würde. Und b. soll dieser Beitrag dazu dienen, die Funktionen der DIN und die Verantwortung eines Auftraggebers besser zu verstehen und Ihnen damit einen Einblick zu verschaffen, wie Sie nach DIN 66399 Ihre Akten vernichten können und auch sollten. Aus dieser Betrachtung ist etwas anderes, vielleicht völlig Unerwartetes sehr wichtig, und damit komme ich zu Zertifizierungen nach DIN 66399.
4. Zertifizierungen
Datenträgervernichtung kostet Geld, mitunter viel Geld. Je höher die Schutzklasse, desto höher die Kosten. Ein möglicher Reputationsverlust, ein wirtschaftlicher Schaden durch Industriespionage, oder auch ein mögliches Bußgeld führen dazu, dass eine beachtliche Zahl von Unternehmen heute professionelle Datenträgervernichtung durch Auftragsdatenverarbeitung in Anspruch nimmt. Aus Komplianzgründen werden hierbei Unternehmen vorgezogen, die konform zu DIN-Normen oder ISO – Zertifikaten sind und hierbei wird insbesondere durch die Auftraggeber darauf geachtet, dass durch die Auswahl des Unternehmens keine Zweifel in der Öffentlichkeit am „Compliancewillen“ des Auftraggebers aufzukommen vermag. TÜV-Stempel und ISO-Zertifikate sind echt schick und machen im Eingangsbereich eines Dienstleisters einen guten Eindruck. Der Teufel steckt aber auch hier wie so oft im Detail.
Wenn ein Auftraggeber einen Dienstleister in Anspruch nimmt, der seine Dienstleistung als DIN 66399 konform beschreibt, ist das zunächst sicher eine gute Sache. DIN 66399 ist aber auch gegeben, wenn jemand Akten zu Schnipseln in Holzscheitformat verarbeiten lässt. Salopp formuliert: Schutzklasse 1 nach DIN 66399 kann jeder. Wenn Sie genug Zeit haben, die Inhalte Ihres Papierkorbs händisch immer weiter zu zerkleinern, könnten Sie das auch erreichen. Aber Schutzklasse 1 ist nur in Ausnahmefällen für personenbezogene Daten mit geringstem Schutzbedarf zulässig, ansonsten gehören nach DIN 66399 diese Daten immer mindestens in Schutzklasse 2.
Die Schutzklasse zu definieren, ist aber nicht Aufgabe des Dienstleisters. Hier ist aus datenschutzrechtlicher Sicht der Auftraggeber in der Verantwortung. Wenn also ein Auftraggeber Akten in der Schutzklasse 1 durch einen DIN 66399 konformen Dienstleister vernichten lässt, heißt das nicht zwingend, dass beim Dienstleister die Voraussetzungen für eine Schutzklasse 3 nach DIN 66399 auch erfüllt sind. Und hier kommt die oben erwähnte Berührungslosigkeit ins Spiel. Je weniger Möglichkeit der Auftragnehmer hat, zu vernichtetes Material zu „berühren“, desto höher die Schutzklasse in der der Dienstleister nach DIN 66399 vernichten kann. Höhere Schutzklasse bedeutet auch mehr Aufwand. Sowohl in technischer als auch organisatorischer Sicht. Mehr Aufwand, gleich mehr Kosten, was sich letztendlich in einer höheren Rechnung an den Auftraggeber niederschlägt. So kann eine Vernichtung in Schutzklasse 3 um ein Vielfaches teurer sein, als eine Vernichtung in Klasse 1.
Wenn nun die Daten tatsächlich durch den Auftraggeber als Schutzklasse 3 zu klassifizieren wären, er aber die Daten aus Kostengründen als 1 klassifiziert, würde es durch den Auftraggeber gegenüber Dritten nicht einmal gelogen sein, dass die Daten durch den Dienstleister nach DIN 66399 vernichtet wurden. Der Auftragnehmer tut schließlich das, wofür man ihn bezahlt. Dem Auftragnehmer kann man hieraus in aller Regel keinen Vorwurf machen. Allenfalls kann dies relevant werden, wenn der Auftragnehmer den Auftraggeber bei der Auftragsgestaltung nicht darauf hinweist, welche Schutzklassen er als Dienstleister erfüllen kann. Tatsächlich ist es aber oft so, dass der Auftraggeber um diese Anforderung nicht weiß, oder aber – wie schon erwähnt – aus finanziellen Gründen die Schutzklassendefinition geringer ansetzt.
Unbestätigten Gerüchten zu Folge soll es am Markt durchaus Unternehmen geben, die sich Unwissenheit von Auftraggebern zu Nutze machen und mit einer Datenträgervernichtung nach DIN 66399 werben, ohne auf den Umstand hinzuweisen, dass sie die Anforderungen an eine Schutzklasse 2 oder 3 nicht erfüllen. Schließlich ist das aber ein Problem der Auftraggeber, unter denen es sicher auch nicht nur Engel gibt. Angesichts der Kosten könnte man durchaus Verständnis für einen Geschäftsführer haben, der den falschen Weg einschlägt und sich hierbei sicher fühlt, weil er ja mit der DIN 66399 argumentieren kann und kaum jemand weiß, was das inhaltlich bedeutet. Aber datenschutzrechtlich ist das schlichtweg unzulässig und bussgeldbewehrt.
Schließlich ist das alles eine Frage der Bewusstseinsebene. Wenn etwas zertifiziert ist, kann es nicht schlecht sein, oder? Ein TÜV-Stempel, eine ISO – Zertifizierung oder eine durch ein Audit bestätigte DIN-Konformität öffnet bekanntlich Türen. Manchmal jedoch recht trügerisch.
Das im Datenschutzumfeld viel diskutierte Gütesiegel des ULD soll hier nicht unerwähnt bleiben. Natürlich versucht auch das Gütesiegel das positive Bewusstsein in der Öffentlichkeit zu Zertifikaten, TÜV-Stempeln, blauen Engeln, grünen Punkten und dergleichen anzusprechen. Im Unterschied zu einer ISO oder DIN – Norm basiert das Gütesiegel jedoch auf einer gesetzlichen Grundlage, der Gütesiegelverordnung nach § 4, Abs 2 Landesdatenschutzgesetz Schleswig – Holstein. Im Umfeld von Datenträgervernichtung ist das Gütesiegel nicht gebunden an ISO oder DIN – Normen, obwohl es sich dieser bei der Bewertung von technischen und organisatorischen Rahmenbedingungen bedient. Eben weil z.B. eine DIN den Stand der Technik widerspiegelt.
Bei einer Zertifizierung eines Aktenvernichtungsverfahrens nach Gütesiegelverordnung geht es aber insbesondere aus der rechtlichen Perspektive um eine Auftragsdatenverarbeitung gem. § 11 BDSG. Und hierbei speziell um die Frage, inwieweit ein Dienstleister einen Auftraggeber bei der Wahrnehmung seiner gesetzlichen Verpflichtung unterstützt und zu unterstützen vermag. Was man als Auftraggeber hierzu wissen muss, ist, dass ein Gütesiegel ein Auszug aus dem Portfolio der Datenträgervernichtung sein kann und ein Auftraggeber sich selbst vergewissern muss, was genau der Zertifizierungsgegenstand ist. Dazu obliegt es dem Auftraggeber im Rahmen seiner gesetzlichen Verpflichtung den Zertifizierungsgegenstand zu hinterfragen und dementsprechend die von ihm gewünschte Dienstleistung vertraglich auszugestalten. Wenn der Dienstleister offen, transparent und ehrlich einem Kunden gegenüber seine Dienstleistung beschreibt, Dokumentationen zu technischen und organisatorischen Rahmenbedingungen bereit hält, und den aktuellen Stand der Technik bei der Ausgestaltung einer Auftragsdatenverarbeitung anbietet, ist das schon ziemlich nah an einer Zertifizierungsreife gem. Gütesiegelverordnung. Was man als Kunde wissen muss, ist folgendes. Ein Gütesiegel sagt nicht zwingend aus, dass ein Unternehmen, dass DIN 66399 konform ist, auch tatsächlich allen datenschutzrechtlichen Anforderungen gerecht wird. Die spezialgesetzlichen Anforderungen z.B. an Berufsgeheimnisträger gem. § 203 Strafgesetzbuch würden in einem Gütesiegel ausgeklammert, wenn die dazu erforderliche Schutzklasse vom Dienstleister nicht gewährleistet werden kann.
Da wir hier Lach- und Sachgeschichten erzählen, das Ganze nochmal weniger kompliziert anhand eines Beispiels. Wenn eine Krankenversicherung Altakten zu vernichten hat und damit einen Dienstleister beauftragen möchte, muss zunächst die Schutzklasse der Daten bestimmt werden. Krankenversicherungsdaten sind besondere personenbezogene Daten und müssen demzufolge in einer hohen Schutzstufe vernichtet werden. Also kuckt sich der Herr Kaiser von der Versicherung in seiner Nachbarschaft um, wer diese Anforderungen erfüllen könnte. Wenn der Herr Kaiser schlau ist, schaut er hierzu ins Internet und sucht sich die Anbieter heraus, die ein Gütesiegel haben. Dann dürfen diese Dienstleister ihre Angebote vorstellen und der Herr Kaiser schaut sich die Betriebe der Dienstleister und die Prozesse zusammen mit dem Datenschutzbeauftragten der Versicherung an. Unter Einbeziehung des Gutachtens zum Gütesiegel und den in der DIN 66399 beschriebenen Prozesse wird der Herr Kaiser dann einen Auftragsdatenverarbeitungsvertrag abschließen, der allen Anforderungen der hier beschriebenen Normen und Gesetze entspricht. Die Akten werden in einer hohen Schutzklasse vernichtet und alles ist gut.
Was aber, wenn Herr Kaiser bei der Angebotserstellung der Aktenvernichter feststellt, dass sein Budget für eine höhere Schutzklasse nicht ausreicht? Kein Problem, wir haben ja Gestaltungsspielraum. Wir klassifizieren die Daten einfach als Schutzklasse 1 und stellen uns ein paar Holzscheite her. Der nette Herr bei der Schredderfirma weist zwar darauf hin, dass der Herr Kaiser damit ein Problem bekommen könnte, weil er seinen Pflichten als Auftraggeber im Sinne des § 11 BDSG nicht nachkommt, aber der Herr Kaiser hat auch dafür eine Lösung. Wenn jemand fragt, erklärt er einfach, dass die Akten durch ein Unternehmen vernichtet wurden, das ein Gütesiegel hat und konform zur DIN 66399 ist. Der eine Beschwerde hierüber erhebende interne betriebliche Datenschutzbeauftragte wird subtil auf seinen Status als Angestellter des Unternehmens verwiesen und alles wird gut. Oder etwa nicht?
5. Fazit
Wenn Sie das nächste Mal bei Ihrer Kranken- oder Lebensversicherung nachfragen, was eigentlich mit Ihren Altakten passiert, lassen Sie sich nicht damit abspeisen, dass die Akten nach DIN 66399 vernichtet werden. Wichtig ist die Schutzklasse, in der Ihre Versicherung die Daten klassifiziert. Transparenz ist nicht nur ein Gebot für einen Dienstleister, sondern gilt vor allem für Auftraggeber. Banken, Versicherungen, Behörden, Ärzte … Sie alle arbeiten mit sensiblen Daten und solange keiner fundiert nachfragt, was mit alten Akten passiert, gibt es auch keinen Grund für Ihre Versicherung, Ihren Arzt, Bangster .. sorry, Banker oder sonstigen Dienstleister, nervös zu werden.
Sehr geehrter Herr Erner,
zunächst einmal möchte ich meine vollkommene Zustimmung zu Ihrem Beitrag zum Ausdruck bringen; Sie haben da den Finger auf dem richtigen Loch.
Was die Irritationen hinsichtlich des Inkrafttretens bzw. irgendwelcher Übergangsfristen angeht:
Ich selbst war Mitglied des Arbeitskreises, der die DIN 66399 entwickelt hat. Es gab einmal eine Anfrage, woher genau weiß ich nicht mehr, die in die Richtung ging „Müssen wir (Entsorgungsdienstleister) bestehende Verträge mit Kunden sofort nach Inkrafttreten der neuen DIN auf diese umschreiben oder können Verträge, die sich auf die alte DIN 32757 beziehen, erst einmal weiter laufen“. Im Ausschuss herrschte die Meinung vor, dass Neuverträge, die nach dem Inkrafttreten der DIN 66399 abgeschlossen werden, sich auch auf die neue DIN beziehen müssen und das Altverträge (sofern sich nichts an den Sicherheitsstufen ändert) zunächst einmal bestehen bleiben können.
Möglicherweise hat jemand daraus eine, wie auch immer geartete, Übergangsfrist abgeleitet.
Gruss aus Wiesbaden
Markus Gauer