Datenträgervernichtung
Es wird immer wieder gerne davon berichtet, dass vertrauliche Informationen bekannt geworden oder in falsche Hände gelangt sind. Häufig liegt die Ursache in der nicht sorgfältigen Vernichtung der Daten. Dabei spielen oft die Unkenntnis über technische Zusammenhänge eine Rolle, aber meistens sind es organisatorische Mängel, die dazu geführt haben.
Zunächst sollte der Grundsatz beachtet werden, nur Daten zu sammeln, die auch wirklich gebraucht werden und die Daten, die nicht mehr gebraucht werden, zu löschen. Das ist konzeptionell festzulegen – Da stellt sich schon die erste Frage: Wo befinden sich die Daten und wie löscht man sie dauerhaft?
Als Datenträger kommen viele Medien in Frage. Der Klassiker ist nach wie vor das Papier. Das hat sich auch im Zuge der elektronischen Datenverarbeitung nicht geändert, im Gegenteil, es wird immer mehr vetrauliches Material ausgedruckt – geht ja auch ganz einfach. Als elektronische Datenträger werden vor allem Festplatten verwendet. Diese findet man in jedem Rechner, aber auch einigermaßen versteckt z.B. in Kopierern und Druckern. Daten werden auf Speichersticks, Disketten, CD, DVD, Speicherkarten oder Handys und Tabletts erst abgelegt und dann vergessen. Selbst auf verbrauchten Thermotransferbändern aus Faxgeräten kann man später alle Texte lesen.
Die Vernichtung der gespeicherten Daten ist bei Papier ziemlich offensichtlich durch Zerkleinern des Papiers möglich. Dabei ist darauf zu achten, dass das Papier nur ausreichend klein zerstückelt ist. Nach der DIN 32 757-1 wird die Sicherheit in 6 Stufen eingeteilt. Die ersten Stufen sind im Sinne des Datenschutz ungeeignet und dazu noch unpraktisch. Die riesigen Berge Papierwolle, die bei der Vernichtung entstehen, lassen sich wieder zusammensetzen. Ab der Stufe 4 werden Akten in Partikel zerkleinert, die nur noch mit erheblichem Aufwand oder gewerbeunüblichen Einrichtungen rekonstruiert werden können. Praktischerweise fallen diese Partikel auch zu komprimierten Müllbergen zusammen.
Bei elektronischen Medien ist das Löschen nicht so trivial, denn das Löschen aus einer Anwendung heraus vernichtet nicht die Informationen auf dem Datenträger. Beispielsweise werden bei den üblichen Programmen die Informationen in einen Papierkorb verschoben und können genau so schnell wiederhergestellt werden wie sie „gelöscht“ wurden. Auf einer Festplatte werden die Bereiche mit den gelöschten Informationen nur für die Wiederbenutzung freigegeben, die gespeicherten Informationen bleiben so lange bestehen, bis sie tatsächlich überschrieben werden.
Zum „richtigen“ Löschen sollten spezielle Anwendungen genutzt werden, die alle Speicherzellen tatsächlich löschen. Dabei werden die Speicher zur Sicherheit mehrfach überschrieben.
Werden alte Geräte ausgemustert, dann zerstört man sicherheitshalber die Datenträger mechanisch, oder auch gleich das ganze Gerät. So kann man sicher sein, dass ein Datenträger nicht doch in einer Auktion oder auf einem Flohmarkt mit den Daten wieder auftaucht.
Bei der Entsorgung von Datenträgern durch einen Dienstleister ist zu beachten, dass es sich dabei um eine Auftragsdatenverarbeitung gemäß §11 des Bundesdatenschutzgesetzes (BDSG) handelt. Der Auftraggeber ist für die ordnungsgemäße Vernichtung verantwortlich und muss sich vergewissern, dass der gesamte Prozess datenschutzkonform abläuft.
Detaillierte Informationen findet man z.B. beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in den Maßnahmenkatalogen Organisation M 2.435 „Auswahl geeigneter Aktenvernichter“ oder M 2.167 „Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten“
Ebenfalls kann man beim BSI einen Mustervertrag über die Übernahme und Vernichtung von Datenträgern herunterladen.