Wenn Daten endgültig verschwinden müssen:: ISO 21964 schafft Klarheit

Die datenschutzkonforme Vernichtung von Datenträgern ist ein entscheidender Bestandteil moderner Sicherheitsstrategien. Die internationale Norm ISO 21964 legt detailliert fest, wie Datenträger je nach Schutzbedarf und Material zu behandeln sind – von der Einstufung des Informationswerts bis hin zur lückenlosen Dokumentation des Vernichtungsprozesses.

Unternehmen und Behörden, die personenbezogene oder vertrauliche Daten verarbeiten, sind rechtlich verpflichtet, die Vorgaben der Norm einzuhalten. Das betrifft längst nicht mehr nur Papierunterlagen, sondern sämtliche digitalen Speicherträger – von Festplatten über USB-Sticks bis zu optischen Datenträgern. Neben der Einhaltung der Datenschutz-Grundverordnung (DSGVO) steht vor allem die technische Sicherheit im Vordergrund: Die Wiederherstellung gelöschter Daten soll unter allen Umständen ausgeschlossen sein.

Grundlagen der ISO 21964

Die Norm beschreibt den gesamten Lebenszyklus eines Datenträgers bis zu seiner endgültigen Vernichtung. Sie definiert drei zentrale Kategorien, die zusammen den Schutzstandard bestimmen:

• Materialklassifikation – Unterscheidung nach Datenträgertyp, etwa Papier, elektronische Speicher oder magnetische Medien.
• Schutzklassen – Bewertung des Schutzbedarfs der gespeicherten Informationen.
• Sicherheitsstufen – Festlegung der technischen Anforderungen an die Zerstörung, um eine Rekonstruktion unmöglich zu machen.

Das Ziel ist ein überprüfbarer und dokumentierter Prozess, der Manipulation und Datenwiederherstellung effektiv ausschließt.

Schutzklassen im Detail

Die Schutzklassen der ISO 21964 definieren, wie sensibel Daten sind und welche Sicherheitsmaßnahmen erforderlich sind.

Schutzklasse 1 – Normaler Schutzbedarf

Umfasst interne Informationen ohne kritische Relevanz. Einfache Zerkleinerung oder Löschung reicht aus, etwa bei interner Korrespondenz oder allgemeinen Organisationsunterlagen.

Schutzklasse 2 – Hoher Schutzbedarf

Betrifft vertrauliche Daten, deren Offenlegung rechtliche oder wirtschaftliche Schäden verursachen kann – etwa Verträge, Personalakten oder Kundeninformationen. Hier gelten erhöhte Sicherheitsanforderungen an die Vernichtung.

Schutzklasse 3 – Sehr hoher Schutzbedarf

Gilt für besonders vertrauliche oder geheime Informationen. Eine Offenlegung könnte gravierende Folgen für Unternehmen oder staatliche Einrichtungen haben. Dazu zählen Forschungsdaten, sicherheitsrelevante Unterlagen oder Verschlusssachen. Hier ist die höchste Sicherheitsstufe vorgeschrieben.

Sicherheitsstufen für elektronische und magnetische Datenträger

Neben den Schutzklassen definiert die ISO 21964 spezifische Sicherheitsstufen, die sich nach der Art des Datenträgers richten. Für elektronische (E) und magnetische beziehungsweise optische (H) Datenträger gelten folgende Abstufungen:

Sicherheitsstufe E4 – Elektronische Datenträger

Geeignet für Schutzklasse 2. Eine Datenwiederherstellung ist mit gängigen Methoden praktisch ausgeschlossen. Anwendbar für USB-Sticks, SSDs oder Flashspeicher mit sensiblen, jedoch nicht geheimen Daten.

Sicherheitsstufe H4 – Magnetische oder optische Datenträger

Ebenfalls für Schutzklasse 2 bis 3 geeignet. Eine Wiederherstellung ist nur mit hohem forensischem Aufwand denkbar. Typisch bei der Vernichtung von Festplatten, CDs oder DVDs mit vertraulichen Unternehmensdaten.

Sicherheitsstufe E5 – Elektronische Datenträger höchster Stufe

Eingesetzt in besonders sensiblen Bereichen wie Behörden, Kliniken oder Forschungseinrichtungen. Eine Wiederherstellung ist mit aktuellen technischen Mitteln ausgeschlossen.

Sicherheitsstufe H5 – Magnetische oder optische Datenträger höchster Stufe

Diese Stufe verhindert selbst mit Spezialtechnologien jegliche Rekonstruktion. Sie kommt in sicherheitskritischen Einrichtungen zum Einsatz, etwa im Verteidigungs- oder Geheimschutzbereich.

Rechtliche Relevanz

Die ISO 21964 gilt als anerkannter Stand der Technik und erfüllt zentrale Anforderungen der Datenschutz-Grundverordnung, insbesondere Artikel 32 („Sicherheit der Verarbeitung“) und Artikel 17 („Recht auf Löschung“). Damit trägt sie direkt zur Erfüllung gesetzlicher Pflichten bei. Wer personenbezogene oder vertrauliche Daten speichert, muss nicht nur deren sichere Aufbewahrung, sondern auch ihre endgültige Vernichtung gewährleisten.

Verstöße können nicht nur Bußgelder, sondern auch erhebliche Reputationsschäden nach sich ziehen. Eine nachweisbar normgerechte Vernichtung ist daher nicht nur ein Beitrag zur Compliance, sondern auch ein Zeichen verantwortungsvoller Unternehmensführung.

Fazit

Die sichere Vernichtung von Datenträgern ist kein formaler Akt, sondern ein sicherheitskritischer Prozess, der über die Integrität sensibler Informationen entscheidet. Mit der ISO 21964 steht ein verbindlicher internationaler Standard zur Verfügung, der technische, organisatorische und rechtliche Aspekte bündelt und damit eine verlässliche Grundlage für den Datenschutz schafft.

Zertifizierte Dienstleister wie K&P gewährleisten eine fachgerechte und nach ISO 21964 geprüfte Datenträgervernichtung, die sowohl gesetzlichen Anforderungen als auch den Sicherheitsinteressen moderner Organisationen gerecht wird – ein entscheidender Baustein für nachhaltige Datensicherheit.