Was muss bei externer Datenträgervernichtung beachtet werden?

Externe Datenträgervernichtung erfordert: Auswahlprüfung des Dienstleisters, vertragliche Regelung als Auftragsverarbeitung, definierte Sicherheitsstufen, sichere Transportkette und nachvollziehbare Vernichtungsnachweise mit Seriennummernlisten. Externe Vergabe reduziert Aufwand, ersetzt aber nicht die Verantwortung des Auftraggebers.

Wie wird Datenträgervernichtung pragmatisch dokumentiert?

Dokumentiert werden sollte: Datenträgertyp, Menge, Seriennummern, Datum, verantwortliche Person, Verfahren bzw. Sicherheitsstufe und Vernichtungsnachweis. In der Praxis funktionieren Sammelprotokolle pro Batch, Seriennummernlisten aus dem Asset-Management und eine Vernichtungsbestätigung des Dienstleisters als auditfeste Lösung.

Datenträgervernichtung nach DIN 66399: DSGVO-Anforderungen

Q: Welche Sicherheitsstufe ist bei Datenträgervernichtung nach DIN 66399 Pflicht?

Eine pauschale Pflichtstufe gibt es nicht. Die DIN 66399 bildet den angemessenen Schutzbedarf über Schutzklassen und Sicherheitsstufen ab. Für personenbezogene Daten wird mindestens ein mittleres Sicherheitsniveau angesetzt, das eine Wiederherstellung realistisch ausschließt. Entscheidend ist, dass die Einstufung dokumentiert ist und die gewählte Methode dazu passt.

Q: Reicht Löschen statt Datenträgervernichtung bei Festplatten und SSDs?

Manchmal ja, aber nur wenn die Löschung sicher und nachweisbar ist. Bei SSDs ist zusätzlich zu beachten, dass nicht jedes Überschreiben technisch gleich gut funktioniert. Physische Datenträgervernichtung ist die robustere Option bei defekten Geräten, sehr hohem Schutzbedarf oder fehlenden geeigneten Löschverfahren.

Datenträgervernichtung ist kein optionaler IT-Hygieneschritt, sondern ein verbindlicher Datenschutzprozess: Die DSGVO verpflichtet Unternehmen, personenbezogene Daten nach Ablauf der Speicherfrist nachweisbar unzugänglich zu machen. Wer ausgemusterte Festplatten, SSDs, Backup-Bänder oder Papierakten ohne geregelte Datenträgervernichtung entsorgt, riskiert Bußgelder nach Art. 83 DSGVO von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Gleichzeitig bietet die DIN 66399 einen praxisnahen Rahmen, um Schutzklassen, Sicherheitsstufen und Nachweispflichten systematisch umzusetzen – ohne bürokratischen Overkill.

📌 Das Wichtigste in Kürze

•Die DSGVO verlangt nachweisbare Datenträgervernichtung – Formatieren oder Werksreset genügen nicht, da Daten je nach Medium rekonstruierbar bleiben.
•Die DIN 66399 definiert 3 Schutzklassen und 7 Sicherheitsstufen – je höher die Stufe, desto kleiner die verbleibenden Partikel und desto sicherer die Vernichtung.
•Für personenbezogene Daten (Kundendaten, Personalakten, CRM-Exporte) gilt in der Regel mindestens Schutzklasse 2.
•Externe Datenträgervernichtung erfordert einen Auftragsverarbeitungsvertrag (AVV) – die Verantwortung verbleibt beim Auftraggeber.
•Auditfeste Dokumentation erfordert mindestens: Datenträgertyp, Seriennummern, Datum, Verfahren/Sicherheitsstufe und Vernichtungsnachweis.

Sicherheitsstufen DIN 66399

Schutzklassen

10 Mio. €

Max. DSGVO-Bußgeld

Mindest-Nachweise für Audits

Warum Datenträgervernichtung ein DSGVO-Thema ist

Datenträgervernichtung ist mehr als Aufräumen im IT-Lager: Sobald auf Datenträgern personenbezogene Daten, Geschäftsgeheimnisse oder vertrauliche Projektinformationen gespeichert waren, wird die Entsorgung zum Datenschutz- und Compliance-Prozess. Ausgemusterte Festplatten, SSDs, USB-Sticks, Backup-Bänder und Papierakten enthalten häufig länger lesbare Daten, als IT-Verantwortliche vermuten – selbst nach Löschoperationen.

Die DSGVO verlangt nach Art. 5 Abs. 1 lit. e, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den Zweck erforderlich ist (Speicherbegrenzung). Art. 32 DSGVO verpflichtet Unternehmen zusätzlich, geeignete technische und organisatorische Maßnahmen (TOM) umzusetzen. Datenträgervernichtung ist dabei eine typische TOM am Ende des Datenlebenszyklus: Sie schließt die Lücke zwischen „Daten müssten gelöscht sein“ und „Daten sind nachweisbar nicht mehr zugreifbar“.

Entscheidend ist die Perspektive der Nachweisbarkeit: Nicht nur die Durchführung zählt, sondern auch die Fähigkeit, bei Audits oder Datenschutzprüfungen zu belegen, dass die Datenträgervernichtung geeignet war, Verantwortlichkeiten geregelt sind und der Prozess kontrolliert abläuft. Remote-Arbeit und Cloud-/Hybrid-Betrieb haben die Zahl der Speicherorte und Datenträger erhöht – Datenträgervernichtung wird damit zum verbindenden Element zwischen IT, Datenschutz, Informationssicherheit, Einkauf und Entsorgung.

📖

Definition: Datenträgervernichtung

Datenträgervernichtung bezeichnet die gezielte, nachweisbare Unbrauchbarmachung von Datenträgern aller Art – digital (HDD, SSD, USB, Bänder) und analog (Papier, Mikrofilm) – sodass gespeicherte Informationen nach dem Stand der Technik nicht mehr rekonstruiert werden können. Rechtliche Grundlage im deutschen Umfeld ist die DIN 66399, die Schutzklassen, Sicherheitsstufen und Materialklassen definiert.

Datenträgervernichtung nach DIN 66399: Schutzklassen, Sicherheitsstufen, Materialklassen

Die DIN 66399 ist der praxisnahe Referenzrahmen, um Datenträgervernichtung konsistent zu planen und umzusetzen. Statt pauschaler Lösungen liefert sie ein System aus Schutzklassen und Sicherheitsstufen. Der zentrale Gedanke: Zuerst wird der Schutzbedarf der Informationen bewertet, dann wird die passende Vernichtungsqualität festgelegt – weder überdimensioniert noch zu schwach.

Die Norm arbeitet mit drei Schutzklassen: Schutzklasse 1 (normaler Schutzbedarf), Schutzklasse 2 (hoher Schutzbedarf) und Schutzklasse 3 (sehr hoher Schutzbedarf). Parallel dazu gibt es sieben Sicherheitsstufen (1 bis 7): Je höher die Sicherheitsstufe, desto kleiner sind die verbleibenden Partikel und desto geringer ist die Chance einer Rekonstruktion. Zusätzlich werden Materialklassen unterschieden, weil Papier, optische Medien, magnetische Datenträger und elektronische Datenträger technisch unterschiedlich vernichtet werden müssen.

🔒 Schutzklassen nach DIN 66399 – Anforderungsniveau

Schutzklasse 1 – Normaler Schutzbedarf
Stufen 1–2

Interne Informationen ohne besondere Vertraulichkeit (z. B. allgemeine Geschäftsunterlagen)

Schutzklasse 2 – Hoher Schutzbedarf
Stufen 3–4

Personenbezogene Daten, Kundendaten, Vertragsunterlagen, CRM-Exporte – Standardfall für die meisten Unternehmen

Schutzklasse 3 – Sehr hoher Schutzbedarf
Stufen 5–7

Staatsgeheimnisse, Militär, kritische Infrastrukturen – physische Vernichtung auf höchstem Niveau erforderlich

In der Praxis liegt ein Großteil der Unternehmensfälle in Schutzklasse 2, weil Personal- und Kundendaten, Vertragsunterlagen, Ticketsystem-Exporte oder CRM-Auszüge typischerweise hohen Schutzbedarf aufweisen. Die Leitfrage bei der Einordnung lautet: „Was wäre das realistische Schadensszenario, wenn die Daten doch wiederherstellbar wären?“ Daraus leiten sich Schutzklasse und Sicherheitsstufe direkt ab.

Datenträgertyp	Typische Inhalte	Praxis-Einstufung	Geeignete Maßnahme
Papierakten	Verträge, Personalunterlagen, Kundenschreiben	Schutzklasse 2	Schreddern (Partikel statt Streifen)
HDD (Festplatten)	System-Images, Dateien, E-Mails, Datenbanken	Schutzklasse 2–3	Nachweisbare Löschung oder physische Vernichtung
SSD/Flash	Laptops, Thin Clients, mobile Datenträger	Schutzklasse 2	Geeignete Löschverfahren oder physische Vernichtung
Optische Medien	Archiv-CD/DVD, Projektübergaben	Schutzklasse 1–2	Schreddern/Zerkleinerung nach Sicherheitsstufe
Backup-Bänder	Server-Backups, Langzeitarchive	Schutzklasse 2–3	Physische Vernichtung (Löschung je nach Bandtyp begrenzt)

DSGVO-Anforderungen: Löschpflicht, TOM, Auftragsverarbeitung und Nachweise

Datenträgervernichtung ist im DSGVO-Kontext an drei zentralen Stellen verankert: der Speicherbegrenzungspflicht (Art. 5 DSGVO), der TOM-Pflicht (Art. 32 DSGVO) und der Pflicht zur datenschutzkonformen Einbindung externer Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO). Alle drei Aspekte müssen zusammengedacht werden, damit Datenträgervernichtung rechtlich belastbar ist.

Konkret bedeutet das: Ein Lösch- und Vernichtungskonzept muss nicht bei Serverdaten enden, sondern ausdrücklich Papier, IT-Geräte und Wechseldatenträger im Lebenszyklus berücksichtigen. Ein belastbares Konzept beantwortet mindestens: Welche Datenträger fallen an? Welche Schutzklassen gelten? Welche Sicherheitsstufen sind je Medium zulässig? Wer entscheidet über Ausnahmen (z. B. Rechtsstreit, Aufbewahrungspflichten)? Wie werden Protokolle geführt und kontrolliert?

📋

5 Mindest-Nachweise für auditfeste Datenträgervernichtung

Eine belastbare Datenträgervernichtung muss auch Monate später noch erklärbar sein: (1) Einstufung nach Schutzbedarf, (2) definierte Methode und Sicherheitsstufe, (3) lückenlose Übergabe- und Transportkette, (4) Protokoll oder Vernichtungsnachweis mit Seriennummern, (5) verantwortliche Stelle inklusive Vier-Augen-Kontrolle bei sensiblen Beständen.

Wenn ein externer Anbieter die Datenträgervernichtung übernimmt, ist die Auftragsverarbeitung der zentrale Hebel: Rollen, Weisungsrechte, Kontrollmöglichkeiten, Subunternehmer und Sicherheitsmaßnahmen müssen vertraglich geregelt sein. Aus Sicht der Rechenschaftspflicht zählt nicht nur, dass der Anbieter die Fähigkeit zur Datenträgervernichtung behauptet, sondern ob die beauftragende Organisation angemessen geprüft und dokumentiert hat.

Datenträgervernichtung und Auftragsverarbeitungsvertrag (AVV)

Jede externe Datenträgervernichtung löst nach Art. 28 DSGVO die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrags (AVV) aus. Der AVV muss die weisungsgebundene Verarbeitung, zulässige Unterauftragnehmer, Kontrollrechte des Auftraggebers und die konkreten Sicherheitsmaßnahmen regeln. Fehlt der AVV oder ist er unvollständig, kann die Aufsichtsbehörde unabhängig von einem Datenschutzvorfall Bußgelder verhängen – laut Bundesdatenschutzbeauftragtem (BFDI) gehört fehlende Auftragsverarbeitung zu den häufigsten Feststellungen bei Prüfungen.

Datenträgervernichtung bei dezentralen Strukturen (Homeoffice, Leasing)

Geräte wechseln häufiger durch Leasing- und Device-as-a-Service-Modelle, mehr Mitarbeitende arbeiten mobil, und Datenträger tauchen an dezentralen Standorten auf. Ohne klare Rückgabe- und Sperrprozesse können Datenträger verschwinden, bevor Datenträgervernichtung überhaupt startet. Bewährt haben sich einfache Regeln wie: „Kein Datenträger verlässt den Standort ohne Freigabe und Kennzeichnung“ – kombiniert mit standardisierten Rückläufer-Prozessen für Homeoffice-Geräte.

Prozess der Datenträgervernichtung: Von der Aussonderung bis zum Vernichtungsprotokoll

Wirksame Datenträgervernichtung beginnt nicht am Schredder, sondern bei der Aussonderung. Der Prozess lässt sich in klar abgrenzbare Phasen gliedern: Identifizieren, sichern, klassifizieren, vernichten oder löschen, nachweisen und entsorgen bzw. recyceln. Diese Struktur macht Datenträgervernichtung planbar, prüfbar und delegierbar.

🔄 Prozess der Datenträgervernichtung in 5 Schritten

Identifizieren

Welche Datenträger fallen an? Seriennummern erfassen, Schutzklasse bestimmen.

Sichern

Physisch sichern: verschlossen, zugriffsbeschränkt, dokumentiert bis zur Vernichtung.

Klassifizieren

Passende Sicherheitsstufe je Datenträgertyp festlegen, Wiederverwertbarkeit prüfen.

Vernichten

Schreddern/physische Zerstörung oder dokumentierte Löschung mit Protokoll.

✓

Nachweisen

Vernichtungsprotokoll mit Mengen, Datum, Verfahren und Seriennummern ablegen.

Inhouse vs. externe Datenträgervernichtung: Kostenvergleich

Für die Umsetzung gibt es im Kern zwei Wege: Inhouse oder über Dienstleister. Inhouse bietet maximale Kontrolle, erfordert aber passende Technik, geschultes Personal, definierte Verfahren und saubere Dokumentation. Externe Datenträgervernichtung reduziert internen Aufwand, bringt aber Anforderungen an Auswahl, Vertrag, Transportkette und Nachweise mit sich.

💶 Rechenbeispiel: Inhouse vs. externe Datenträgervernichtung

Inhouse (pro Quartal)

~1.611 €

120 Laptops + 40 HDDs × 55 €/Std. Vollkosten, ohne Technik-Investitionen

Oft günstiger

Extern (pro Quartal)

variabel

Fixpreise pro Gerät/kg, inkl. Abholung, Nachweis und AVV – keine Rüstkosten

Kalkulationsbasis: 120 Laptops (je 12 Min.) + 40 Server-HDDs (je 8 Min.) = 1.760 Min. = 29,3 Std. × 55 €/Std. intern. Dienstleister-Preise abhängig von Volumen, Sicherheitsstufe und Standort.

Häufig ist ein Mischmodell sinnvoll: Standardfälle über Dienstleister, Sonderfälle mit sehr hoher Schutzklasse oder besonders kritischen Medien über Vor-Ort-Vernichtung oder streng kontrollierte Inhouse-Prozesse. Lohnenswert ist zudem ein Blick auf Nachhaltigkeit: Wenn ein Gerät technisch einwandfrei ist und sich Daten nachweisbar löschen lassen, kann Refurbishment wirtschaftlich und ökologisch sinnvoll sein – die Grenze bleibt klar, sobald sichere Löschung nicht gewährleistet oder nicht beweisbar ist.

Typische Fehler bei der Datenträgervernichtung – und wie sie vermieden werden

Viele Datenschutzprobleme entstehen nicht aus fehlendem Willen, sondern aus falschen Annahmen. Gerade bei Datenträgervernichtung sind Missverständnisse verbreitet, weil IT, Datenschutz und Entsorgung unterschiedliche Sprachen sprechen. Die häufigsten Klassiker kosten im Ernstfall Bußgelder, Reputationsschäden oder beides.

⚠️ Typische Fehler

Was in der Praxis regelmäßig schiefläuft

−Formatieren/Werksreset als Datenträgervernichtung werten
−Datenträger ungesichert lagern (offene Kartons, Flur)
−Kein verbindliches Regelwerk für Schutzklassen-Zuordnung
−Fehlende Protokolle und Vernichtungsnachweise
−Kein AVV mit externem Dienstleister abgeschlossen

✅ Best Practice

So wird Datenträgervernichtung auditfest

+Physische Vernichtung oder zertifiziertes Löschverfahren mit Nachweis
+Sichere Zwischenlagerung: verschlossen, zugriffsbeschränkt, dokumentiert
+Klares Regelwerk: welche Schutzklasse für welchen Datenträgertyp
+Sammelprotokoll mit Seriennummern, Datum, Verfahren, Vier-Augen-Prinzip
+AVV mit Dienstleister, Audit-Recht und definierten Sicherheitsstufen

⚠️

Achtung: Outsourcing entbindet nicht von der Verantwortung

Externe Datenträgervernichtung überträgt die Durchführung, nicht die datenschutzrechtliche Verantwortung. Wer keinen AVV abschließt, den Dienstleister nicht prüft oder die Transportkette nicht absichert, haftet bei Datenpannen wie ein Unternehmen, das die Vernichtung selbst fehlerhaft durchgeführt hätte – inklusive Bußgeldrisiko nach Art. 83 DSGVO.

Häufig gestellte Fragen zur Datenträgervernichtung

Welche Sicherheitsstufe ist bei Datenträgervernichtung nach DIN 66399 Pflicht?
▼

Eine pauschale Pflichtstufe gibt es nicht, weil die DIN 66399 über Schutzklassen und Sicherheitsstufen den angemessenen Schutzbedarf abbildet. Je sensibler die Daten, desto höher muss die Datenträgervernichtung ausfallen. Für personenbezogene Daten wird häufig mindestens ein mittleres Sicherheitsniveau angesetzt (Sicherheitsstufe 3–4), damit eine Wiederherstellung realistisch ausgeschlossen oder stark erschwert ist. Entscheidend ist, dass die Einstufung nach Schutzklasse dokumentiert ist und die gewählte Methode dazu passt.

Reicht Löschen statt Datenträgervernichtung bei Festplatten und SSDs?
▼

Manchmal ja, aber nur, wenn die Löschung sicher und nachweisbar ist. Physische Datenträgervernichtung ist die robustere Option, wenn Datenträger defekt sind, wenn keine geeigneten Löschverfahren verfügbar sind oder wenn der Schutzbedarf sehr hoch ist. Bei SSDs ist zusätzlich zu beachten, dass nicht jedes Überschreiben technisch gleich effektiv funktioniert. Ohne belastbares Verfahren, Löschprotokoll und klare Prozessregeln wird „gelöscht“ im Audit schnell zum Risiko.

Was muss bei externer Datenträgervernichtung mit Dienstleister beachtet werden?
▼

Sobald ein Dienstleister Datenträgervernichtung übernimmt, ist das als Datenschutzprozess zu behandeln: Auswahlprüfung, Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, definierte Sicherheitsstufen, sichere Transport- und Übergabekette sowie nachvollziehbare Vernichtungsnachweise. Zu prüfen ist, wie Datenträger identifiziert werden (Seriennummernlisten), wie Abweichungen dokumentiert werden und welche Nachweise – Protokoll, Mengen, Datum, Verfahren – der Dienstleister liefert.

Zählt Aktenvernichtung auch zur Datenträgervernichtung?
▼

Ja. Datenträgervernichtung umfasst neben digitalen Medien wie HDD, SSD oder USB-Sticks auch Papierunterlagen, sofern darauf schützenswerte Informationen stehen. Für DSGVO und DIN 66399 ist entscheidend, dass eine Rekonstruktion nach der Vernichtung praktisch ausgeschlossen ist. Aktenvernichtung sollte daher im gleichen Regelwerk verankert sein: Schutzklasse bestimmen, passende Sicherheitsstufe wählen, Prozess dokumentieren, Vernichtungsnachweis ablegen.

Wie dokumentiere ich Datenträgervernichtung pragmatisch im Alltag?
▼

Auditfeste Dokumentation der Datenträgervernichtung erfordert mindestens: Datenträgertyp und Menge, Seriennummern aus dem Asset-Management, Datum und verantwortliche Person, Verfahren bzw. Sicherheitsstufe sowie Vernichtungsnachweis oder Dienstleister-Bestätigung. In der Praxis funktionieren Sammelprotokolle pro Abholung, Ticket-Referenzen zur Aussonderung und standardisierte Formulare gut – ohne übermäßigen bürokratischen Aufwand.

🎯 Fazit

Datenträgervernichtung ist kein einmaliger Entsorgungsakt, sondern ein dauerhafter Compliance-Prozess, der IT, Datenschutz und Einkauf verbindet. Die DIN 66399 liefert mit ihren drei Schutzklassen und sieben Sicherheitsstufen den praxistauglichen Rahmen, um Datenträgervernichtung weder zu über- noch zu unterdimensionieren. Für die meisten Unternehmen bedeutet das: Schutzklasse 2 als Standard für personenbezogene Daten, klare Regelwerke für jeden Datenträgertyp, Auftragsverarbeitungsverträge bei externen Dienstleistern und lückenlose Vernichtungsprotokolle. Wer Datenträgervernichtung so strukturiert, erfüllt nicht nur DSGVO-Pflichten, sondern schützt das Unternehmen auch vor Reputationsschäden durch vermeidbare Datenpannen.

Quellenverzeichnis

Gesetzliche Grundlagen

DSGVO – Datenschutz-Grundverordnung (EU) 2016/679

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679

DIN 66399 – Norm zur Datenträgervernichtung (Beuth Verlag)

https://www.beuth.de/de/norm/din-66399-1/176511822

Behörden & Aufsicht

Bundesdatenschutzbeauftragter (BFDI) – Prüfungshinweise Auftragsverarbeitung

https://www.bfdi.bund.de/

Weiterführende Informationen

akta – Professionelle Datenträgervernichtung nach DIN 66399

https://www.akta.de/leistungen/datentraegervernichtung/

Wirtschaftsradar – Remote Work in Deutschland 2025

https://wirtschaftsradar.com/remote-work-in-deutschland-2025/