Typischerweise sind wir damit beschäftigt, Daten zu sichern, zu verwalten und den Kunden zugänglich zu machen. Manchmal will man Daten absichtlich total zerstören – zum Beispiel nach dem Tausch des Arbeitsplatzes, nach dem Ablauf von Aufbewahrungsfristen oder wenn Behörden das verlangen. Die Datenschutz-Grundverordnung (DSGVO) vom Mai 2018 verlangt in Artikel 17 („Recht auf Vergessenwerden“) zudem, dass Unternehmen personenbezogene Daten von Kunden löschen, wenn diese Informationen nicht mehr benötigt werden.
„Gewöhnliches“ Löschen reicht nicht aus
Wenn Dateien in den Papierkorb gezogen werden und dieser anschliessend geleert wird, sind Daten noch lange nicht gelöscht. Dabei werden nämlich nur die Einträge im Inhaltsverzeichnis gelöscht und der Speicherplatz zur Löschung freigegeben. Passieren tut den Daten dabei noch nichts.
Es gibt nur eine Methode, Daten auf Speichermedien sicher zu löschen: Überschreiben, überschreiben und dann nochmal überschreiben“
Ing. Alfred Gunsch, zertifizierter Datenschutzexperte nach EN17024
Digitale Daten sind eine Sammlung von Nullen und Einsern. Diese Muster müssen nach dem Zufallsprinzip gestört werden – oder gleich das ganze Speichermedium wird professionell zerstört. Hier setzt unser systematische Arbeit an:
- Anforderungsanalyse
- Bestandsaufnahme
- Abgleich mit dem DSGVO Verarbeitungsverzeichnis
- Sind interne Spezialisten vorhanden oder kann Datenlöschung erlernt werden?
- zulässige Tools für den Anwendungsfall
Wer keine eigenen IT-Abteilung hat oder besonders sensible Daten hat, kann diese Aufgabe auch an uns auslagern. Gerne übernehmen wir den professionellen Umgang mit Ihren sensiblen alten Daten. Bei Bedarf dokumentieren wir die Vernichtung der Geräte incl. Seriennummernverwaltung und stellen wir auch Bestätigungen über die ordnungsgemäße Entsorgung aus:
- Wann die Datenlöschung durchgeführt wurde,
- wie lange dies dauerte,
- welche Medien gelöscht wurden (Daten zum Hersteller, Modell und der Größe der gelöschten Festplatte oder SSD sowie deren Seriennummer) sowie
- welches Löschverfahren zum Einsatz kam.
Fragen Sie uns, wenn sie mit den Anforderungen zum gesetzeskonformen Betreiben überfordert sind..
Gesetzeskonforme Entsorgung von Computerschrott und sensiblen Daten.
BSI sagt: 3* überschreiben bei Firmendaten, 7* überschreiben bei vertraulichen Informationen aus Forschung und Entwicklung, Gesundheitsdaten oder Verschuß-Sachen. Eingesetzte Technologien (egal ob schreddern oder überschreiben) müssen über die erforderlichen Zertifizierungen verfügen, etwa gemäß „Common Criteria ISO/ IEC 15408 (CC)“ und der europäischen Norm „Information Technology Security Evaluation Criteria“ (ITSEC).
DIN 66399 ersetzt die DIN 32757 und beschreibt die Anforderungen an Maschinen und Prozesse zur Vernichtung von Datenträgern und regelt die Anforderungen zum Schutz jeder Art von Medien:
Die drei Sicherheitsklassen:
- Klasse 1 steht für die normale Sicherheit, welche für interne Daten erforderlich ist, bei denen ein Unternehmen zu Schaden kommen könnte, wenn es an die Öffentlichkeit kommen würde, oder die Gefahr von Identitätsraub besteht.
- Klasse 2 steht für die höhere Sicherheit für vertrauliche Daten, bei denen es zu negative Auswirkungen für ein Unternehmen oder zur Verletzung gesetzlicher Bestimmungen kommen kann, wenn diese an die Öffentlichkeit gelangen.
- Klasse 3 steht für die höchste Sicherheit, welche für besonders vertrauliche oder geheime Daten, bei denen es zu schwersten Schäden in einem Unternehmen oder Regierungseinrichtung kommen kann, wenn diese an die Öffentlichkeit gelangen.
Die sechs Unterkategorien:
- P Papierprodukte
- F Informationen in verkleinerter Form wie Filme, Mikrofiche usw.
- O Optische Datenträger wie CD’s, DVD’s and Blu-ray usw.
- T Magnetische Datenträger wie Disketten, Ausweise, magnetische Bänder und Kassetten usw.
- H Festplatten mit magentischen Datenträgern, Laptops und externe Festplatten
- E Elektronische Datenträger wie Memorysticks, Laufwerke und Mobiltelefone
Bei Fragen oder konkretem Bedarf stehen unsere Experten gerne zur Verfügung.