DIN 66399: Die Norm für sichere Datenvernichtung

Was ist DIN 66399?

DIN 66399 ist eine deutsche Norm, die genau festlegt, wie Datenträger zerstört werden müssen, damit die enthaltenen Informationen nicht mehr rekonstruierbar sind. Sie ersetzt die ältere DIN 32757 und geht in ihrer Definition deutlich weiter.

Neben der Partikelgröße nach der Vernichtung berücksichtigt die Norm auch die Sensibilität der Daten und klassifiziert diese entsprechend.

DIN 66399 ist Teil einer Reihe von Standards zur Informationssicherheit – sie konzentriert sich jedoch speziell auf die physische und digitale Vernichtung von Daten.

Schutzklassen und Sicherheitsstufen

Die Norm unterteilt die Datenvernichtung in drei Schutzklassen, die jeweils mit sieben Sicherheitsstufen (Stufe 1 bis 7) verknüpft sind. Je höher die Stufe, desto kleiner die Partikel und desto sicherer die Vernichtung.

Die 7 Sicherheitsstufen der DIN 66399

• Stufe 1: Allgemeine Dokumente – geringe Sicherheitsanforderung
• Stufe 2: Interne Dokumente – Basisschutz für den internen Gebrauch
• Stufe 3: Vertrauliche Daten, z. B. personenbezogene Informationen
• Stufe 4: Besonders vertrauliche Informationen – erhöhte Anforderungen
• Stufe 5: Geheime Daten – sehr hohe Vernichtungsanforderungen
• Stufe 6: Hochgeheime Daten – für sicherheitskritische Bereiche
• Stufe 7: Streng geheime Informationen – maximale Sicherheit, minimale Partikelgröße

Schutzklasse 1 – Normaler Schutz

Diese Klasse gilt für allgemeine oder interne Daten, die einem größeren Personenkreis innerhalb einer Organisation zugänglich sind.

• Beispiele: interne Mitteilungen, Verwaltungspapiere
• Risiko bei Datenleck: begrenzt, dennoch Schutz personenbezogener Daten erforderlich
• Personenbezogene Daten: müssen weiterhin geschützt werden, um Risiken für Privatsphäre oder finanzielle Schäden zu vermeiden
• Zulässige Sicherheitsstufen: 1, 2, 3

Schutzklasse 2 – Hoher Schutz

Hierunter fallen vertrauliche Daten, die nur einem eingeschränkten, autorisierten Personenkreis zugänglich sind.

• Beispiele: Personalakten, Kundendaten, Verträge
• Risiko bei Datenleck: mittel bis hoch – mögliche rechtliche oder finanzielle Folgen
• Personenbezogene Daten: erfordern strengeren Schutz aufgrund möglicher finanzieller oder sozialer Auswirkungen
• Zulässige Sicherheitsstufen: 4, 5

Schutzklasse 3 – Sehr hoher Schutz

Diese Klasse betrifft hochsensible oder geheime Informationen, auf die nur wenige autorisierte Personen Zugriff haben.

• Beispiele: Regierungsdokumente, medizinische Daten, geheime Unternehmensinformationen
• Risiko bei Datenleck: schwerwiegend – rechtliche Verstöße oder Sicherheitsrisiken möglich
• Personenbezogene Daten: maximaler Schutz erforderlich aufgrund möglicher Folgen für Gesundheit, Sicherheit oder persönliche Freiheit
• Zulässige Sicherheitsstufen: 6, 7

Auf Sicherheitsstufe 7 werden Daten so fein zerstört, dass eine Wiederherstellung nahezu ausgeschlossen ist. Wer Datenlecks vermeiden möchte, sollte sich daher unbedingt an die Vorgaben der DIN 66399 Schutzklassen halten.

Materialklassifizierung: Die PFOTHE-Kodierung

Die Norm unterscheidet sechs Materialkategorien, um den Typ des Datenträgers anzugeben. Diese werden mit einer Sicherheitsstufe kombiniert – z. B. P-5 oder H-3.

• P – Papier und Drucksachen (z. B. Dokumente, Bücher)
• F – Filmbasiertes Material (z. B. Mikrofilm)
• O – Optische Datenträger (z. B. CDs, DVDs)
• T – Magnetbänder (z. B. Kassetten, Karten)
• H – Magnetische Festplatten
• E – Elektronische Speicher (z. B. USB-Sticks, Speicherkarten)

Je nach Materialtyp und Datenart gelten unterschiedliche Anforderungen innerhalb der DIN-Normen.

ISO-Zertifizierungen: Warum sie wichtig sind

Ein Anbieter, der nach DIN 66399 arbeitet, verfügt häufig auch über internationale ISO-Zertifizierungen, die sichere und nachhaltige Prozesse garantieren.

• ISO 9001 – Qualitätsmanagement
• ISO 14001 – Umweltmanagement
• ISO 27001 – Informationssicherheit

Ein Unternehmen mit allen drei Zertifizierungen folgt meist strenger den Anforderungen der DIN 66399 Schutzklassen. Diese Zertifikate werden regelmäßig von externen Stellen überprüft.

WEEELABEX-konforme Entsorgung

Viele Datenträger wie USB-Sticks oder Festplatten fallen unter die WEEE-Richtlinie (Elektro- und Elektronik-Altgeräte). Wählen Sie daher unbedingt einen Anbieter, der WEEELABEX-konform arbeitet.

Das bedeutet:

• Lückenlose Rückverfolgbarkeit der vernichteten Geräte
• Umweltgerechte Entsorgung von E-Waste
• Einhaltung nationaler und europäischer Vorschriften

So leisten Sie auch einen Beitrag zu Ihren Nachhaltigkeitszielen und einem verantwortungsvollen IT-Management.

Vernichtungszertifikat: Maximale Transparenz

Nach der Vernichtung erhalten Sie bei seriösen Anbietern ein Zertifikat, das Folgendes dokumentiert:

• Welche Daten/Datenträger zerstört wurden
• Wann und wo die Vernichtung stattgefunden hat
• Auf welche Weise und auf welcher Sicherheitsstufe

Gerade bei ISO-zertifizierten Unternehmen ist dies bei Audits oft ein entscheidender Nachweis dafür, dass Daten gemäß der DIN 66399 Schutzklassen ordnungsgemäß vernichtet wurden.

Warum DIN 66399 so wichtig ist

Die DIN 66399 bietet klare Richtlinien und ein strukturiertes System für die sichere Datenvernichtung. Mit ihren sieben Sicherheitsstufen und drei Schutzklassen stellt sie sicher, dass jede Organisation die passende Lösung für ihre Daten findet.

Wer die Norm versteht, sie konsequent anwendet und mit einem zertifizierten, transparenten und umweltbewussten Partner zusammenarbeitet, schützt nicht nur seine Daten, sondern erfüllt auch gesetzliche und gesellschaftliche Anforderungen.