Warum Datenträgervernichtung ein DSGVO-Thema ist
Datenträgervernichtung ist mehr als „Aufräumen im IT-Lager“: Sobald auf Datenträgern personenbezogene Daten, Geschäftsgeheimnisse oder vertrauliche Projektinformationen gespeichert waren, wird die Entsorgung zum Datenschutz- und Compliance-Prozess. In der Praxis unterschätzen viele Organisationen, wie lange Daten auf ausgemusterten Festplatten, SSDs, USB-Sticks, Backup-Bändern oder auch auf Papierakten rekonstruierbar bleiben. Genau hier setzt Datenträgervernichtung an: Sie soll eine Wiederherstellung nach dem Stand der Technik praktisch ausschließen oder so erschweren, dass ein Zugriff durch Unbefugte nicht mehr realistisch ist.
Die DSGVO verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den Zweck erforderlich ist (Stichwort Löschkonzept und Speicherbegrenzung). Gleichzeitig müssen Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) umsetzen, um Vertraulichkeit und Integrität zu schützen. Datenträgervernichtung ist dabei eine typische TOM am Ende des Lebenszyklus: Sie schließt die Lücke zwischen „Daten müssten gelöscht sein“ und „Daten sind nachweisbar nicht mehr zugreifbar“.
Wichtig ist die Perspektive der Nachweisbarkeit: Nicht nur die Durchführung zählt, sondern auch die Fähigkeit, bei Audits oder Datenschutzprüfungen belegen zu können, dass die Datenträgervernichtung geeignet war, dass Verantwortlichkeiten geregelt sind und dass der Prozess kontrolliert abläuft. Seit 2025 ist dieser Nachweis in vielen Organisationen noch stärker im Fokus, weil IT-Asset-Management, Remote-Arbeit und Cloud-/Hybrid-Betrieb die Zahl der Speicherorte und Datenträger erhöht haben. Dat enträgervernichtung wird damit zum verbindenden Element zwischen IT, Datenschutz, Informationssicherheit, Einkauf und Entsorgung.
Datenträgervernichtung nach DIN 66399: Schutzklassen, Sicherheitsstufen, Materialklassen
Die DIN 66399 ist der praxisnahe Referenzrahmen, um Datenträgervernichtung konsistent zu planen und umzusetzen. Statt „ein Schredder wird schon reichen“ liefert sie ein System aus Schutzklassen und Sicherheitsstufen. Der zentrale Gedanke: Zuerst wird der Schutzbedarf der Informationen bewertet, dann wird die passende Vernichtungsqualität festgelegt. So entsteht eine angemessene, nachvollziehbare Datenträgervernichtung, die weder über- noch unterdimensioniert ist.
Die Norm arbeitet mit drei Schutzklassen: Schutzklasse 1 (normaler Schutzbedarf), Schutzklasse 2 (hoher Schutzbedarf) und Schutzklasse 3 (sehr hoher Schutzbedarf). Parallel dazu gibt es sieben Sicherheitsstufen (1 bis 7). Je höher die Sicherheitsstufe, desto kleiner sind die verbleibenden Partikel nach der Datenträgervernichtung und desto geringer ist die Chance einer Rekonstruktion. Zusätzlich werden Materialklassen unterschieden (z. B. Papier, optische Datenträger, magnetische Datenträger, elektronische Datenträger), weil ein „gleiches Ergebnis“ je nach Medium technisch anders erreicht wird.
In der Praxis hilft eine einfache Leitfrage bei der Einordnung: „Was wäre das realistische Schadensszenario, wenn die Daten doch wiederherstellbar wären?“ Daraus leiten Sie Schutzklasse und Sicherheitsstufe ab. Für viele Unternehmen liegt ein Großteil der Fälle in Schutzklasse 2, weil Personal- und Kundendaten, Vertragsunterlagen, Ticketsystem-Exports oder CRM-Auszüge typischerweise nicht „banal“ sind. Datenträgervernichtung sollte dann auf einem Sicherheitsniveau geplant werden, das diesen Schutzbedarf wirklich abdeckt.
| Datenträgertyp | Typische Inhalte | Praxis-Einstufung | Geeignete Maßnahme |
| Papierakten | Verträge, Personalunterlagen, Kundenschreiben | meist Schutzklasse 2 | Schreddern nach passender Sicherheitsstufe (Partikel statt Streifen) |
| HDD (Festplatten) | System-Images, Dateien, E-Mails, Datenbanken | Schutzklasse 2–3 je nach Branche | Nachweisbare Löschung oder physische Datenträgervernichtung |
| SSD/Flash | Laptops, Thin Clients, mobile Datenträger | meist Schutzklasse 2 | Geeignete Löschverfahren oder physische Datenträgervernichtung (je nach Technikzustand) |
| Optische Medien | Archiv-CD/DVD, Projektübergaben | Schutzklasse 1–2 | Schreddern/Zerkleinerung nach geeigneter Sicherheitsstufe |
| Backup-Bänder | Server-Backups, Langzeitarchive | oft Schutzklasse 2–3 | Häufig physische Datenträgervernichtung, da Löschung je nach Bandtyp begrenzt ist |
Damit Datenträgervernichtung wirklich „DIN-orientiert“ ist, sollten Sie die Einstufung nicht nur im Kopf treffen, sondern als Regelwerk dokumentieren (z. B. „Schutzklasse-2-Daten auf Altgeräten: nur mit dokumentierter Löschung oder definierter Sicherheitsstufe vernichten“). Das schafft Wiederholbarkeit, verhindert Ad-hoc-Entscheidungen und macht Kontrollen einfacher.
DSGVO-Anforderungen: Löschpflicht, TOM, Auftragsverarbeitung und Nachweise
Datenträgervernichtung ist im DSGVO-Kontext vor allem an drei Stellen verankert: Erstens über die Pflicht, Daten nicht länger als erforderlich zu speichern (Speicherbegrenzung). Zweitens über die Pflicht, geeignete TOM zu treffen, um Daten vor unbefugtem Zugriff zu schützen. Drittens über die Pflicht, Dienstleister datenschutzkonform einzubinden, wenn die Datenträgervernichtung ausgelagert wird.
Praktisch bedeutet das: Sie brauchen ein Lösch- und Vernichtungskonzept, das nicht bei „Serverdaten“ endet, sondern ausdrücklich Datenträgervernichtung im Lebenszyklus von Papier, IT-Geräten und Wechseldatenträgern berücksichtigt. Ein gutes Konzept beantwortet mindestens diese Fragen: Welche Datenträger fallen an? Welche Schutzklassen gibt es bei uns? Welche Sicherheitsstufen sind je Medium zulässig? Wer entscheidet über Ausnahmen (z. B. Rechtsstreit, Aufbewahrungspflichten)? Wie werden Protokolle geführt? Und wie wird kontrolliert, dass die Datenträgervernichtung tatsächlich stattfindet?
| Infobox: Mindest-Nachweise für eine belastbare Datenträgervernichtung |
| Planen Sie Datenträgervernichtung so, dass Sie sie auch Monate später noch erklären können: (1) Einstufung nach Schutzbedarf, (2) definierte Methode/Sicherheitsstufe, (3) lückenarme Übergabe- und Transportkette, (4) Protokoll oder Vernichtungsnachweis, (5) Verantwortliche Stelle inkl. Vier-Augen-Kontrolle bei sensiblen Beständen. |
Wenn ein externer Anbieter die Datenträgervernichtung übernimmt, ist die Auftragsverarbeitung der zentrale Hebel: Rollen, Weisungsrechte, Kontrollmöglichkeiten, Subunternehmer und Sicherheitsmaßnahmen müssen vertraglich geregelt sein. Außerdem sollten Sie organisatorisch festlegen, wie die Auswahl und Bewertung erfolgt (z. B. Prüf-Checkliste, Zertifikate, Audit-Rechte, Beschreibung der Prozesskette). Aus Sicht der Rechenschaftspflicht zählt nicht nur „Anbieter hat gesagt, er kann das“, sondern ob Sie als verantwortliche Organisation angemessen geprüft und dokumentiert haben.
Seit 2025 ist in vielen Unternehmen zusätzlich relevant, dass Datenträgervernichtung enger mit Informationssicherheit und Asset-Management verzahnt wird: Geräte wechseln häufiger (Leasing, Device-as-a-Service), mehr Mitarbeiter arbeiten mobil, und Datenträger tauchen an dezentralen Standorten auf. Dadurch steigt die Bedeutung klarer, einfacher Regeln (z. B. „Kein Datenträger verlässt den Standort ohne Freigabe und Kennzeichnung“) sowie standardisierter Nachweise (Seriennummernlisten, Sammelprotokolle, Ticket-Referenzen).
Prozess in der Praxis: Von der Aussonderung bis zum Vernichtungsprotokoll
Eine wirksame Datenträgervernichtung beginnt nicht erst am Schredder, sondern bei der Aussonderung. Der Prozess lässt sich in Phasen denken: Identifizieren, sichern, klassifizieren, vernichten oder löschen, nachweisen, entsorgen bzw. recyceln. Damit wird Datenträgervernichtung planbar und prüfbar – und fällt nicht „nebenbei“ an.
Für die Umsetzung haben Sie im Kern zwei Wege: Inhouse oder über Dienstleister. Inhouse bietet maximale Kontrolle, erfordert aber passende Technik, geschultes Personal, definierte Verfahren und eine saubere Dokumentation. Externe Datenträgervernichtung reduziert internen Aufwand, bringt aber Anforderungen an Auswahl, Vertrag, Transportkette und Nachweise mit sich. Häufig ist ein Mischmodell sinnvoll: Standardfälle über Dienstleister, Sonderfälle (sehr hohe Schutzklasse oder besonders kritische Medien) über Vor-Ort-Vernichtung oder streng kontrollierte Inhouse-Prozesse.
- Festlegen, welche Datenträger vernichtet werden müssen und welche datenschutzkonform wiederverwendet werden dürfen (z. B. nach nachweisbarer Löschung).
- Schutzklasse bestimmen und passende Sicherheitsstufe je Datenträgertyp festlegen.
- Datenträger bis zur Datenträgervernichtung physisch sichern (verschlossen, zugriffsbeschränkt, dokumentiert).
- Durchführung: Schreddern/physische Zerstörung oder dokumentierte Löschung mit Protokollen.
- Nachweis: Seriennummern, Mengen, Datum, verantwortliche Personen, Verfahren/Sicherheitsstufe, Abweichungen.
Ein kurzes Mini-Rechenbeispiel hilft bei der Entscheidung Inhouse vs. extern: Angenommen, es fallen pro Quartal 120 Laptops (mit SSD) und 40 Server-HDDs an. Interne Bearbeitung mit Sichtung, Ausbau, Vorbereitung und Datenträgervernichtung dauert konservativ 12 Minuten pro Gerät (Laptop) und 8 Minuten pro HDD. Das sind 120 × 12 = 1.440 Minuten plus 40 × 8 = 320 Minuten, zusammen 1.760 Minuten = rund 29,3 Stunden pro Quartal. Rechnen Sie intern mit 55 EUR Vollkosten je Stunde, liegen Sie bei ca. 1.611 EUR pro Quartal, ohne Investitionen für Technik, Wartung, Schulung und ohne Risikoaufschlag. Dieses Modell ersetzt keine Detailkalkulation, macht aber sichtbar, warum Datenträgervernichtung organisatorisch geplant werden sollte und nicht „zwischen Tür und Angel“ laufen darf.
Zusätzlich lohnt sich ein Blick auf Nachhaltigkeit: Datenträgervernichtung ist nicht in jedem Fall die einzige Option. Wenn ein Gerät technisch einwandfrei ist und sich Daten nachweisbar löschen lassen, kann Wiederverwendung (z. B. Refurbishment) wirtschaftlich und ökologisch sinnvoll sein. Die Grenze bleibt jedoch klar: Sobald eine sichere Löschung nicht gewährleistet oder nicht beweisbar ist, wird Datenträgervernichtung zur robusteren Wahl.
Typische Fehler und Missverständnisse bei Datenträgervernichtung
Viele Datenschutzprobleme entstehen nicht aus „fehlendem Willen“, sondern aus falschen Annahmen. Gerade bei Datenträgervernichtung sind Missverständnisse verbreitet, weil IT, Datenschutz und Entsorgung unterschiedliche Sprachen sprechen. Wer die Klassiker kennt, kann mit wenigen Regeln viel Risiko vermeiden.
Ein häufiger Fehler ist die Verwechslung von „Löschen“ mit „Entfernen aus dem Sichtfeld“. Formatieren, Papierkorb leeren oder ein „Werksreset“ sind keine Datenträgervernichtung. Je nach Medium können Daten weiterhin rekonstruierbar sein. Ebenso kritisch: Datenträger werden gesammelt, aber ungesichert gelagert (offene Kartons im Flur, unverschlossene Rollcontainer, frei zugängliche Lagerräume). Das ist keine Datenträgervernichtung, sondern eine neue Angriffsfläche.
Auch organisatorisch passieren typische Fehler: Es gibt kein verbindliches Regelwerk, welche Sicherheitsstufe zu welcher Schutzklasse gehört, oder Abteilungen entscheiden unterschiedlich. Dadurch entsteht eine „Lotterie“: Manche Datenträgervernichtung ist übertrieben aufwendig, andere zu schwach. Ein weiterer Klassiker ist fehlende Nachweisführung. Ohne Protokoll, Seriennummernbezug oder Vernichtungsbestätigung bleibt im Zweifel nur „Wir glauben, es ist passiert“ – das ist für Audits und Vorfälle zu wenig.
Schließlich wird Outsourcing oft missverstanden: Externe Datenträgervernichtung entbindet nicht von Verantwortung. Sie müssen Dienstleister prüfen, vertraglich einbinden und die Prozesskette (inkl. Transport) beherrschbar machen. Seit 2025 ist außerdem häufiger zu sehen, dass Datenträger über mehrere Stationen wandern (Standortwechsel, Homeoffice-Rückläufer, Leasingrückgabe). Ohne klare Rückgabe- und Sperrprozesse können Datenträger „verschwinden“, bevor Datenträgervernichtung überhaupt startet.
Wenn Sie diese Fehler vermeiden wollen, beginnen Sie pragmatisch: Legen Sie wenige, klare Standards fest (Schutzklassen, Sicherheitsstufen, Verantwortliche, Nachweise) und setzen Sie sie konsequent um. Datenträgervernichtung wird damit berechenbar – technisch, organisatorisch und rechtlich.
FAQs
Welche Sicherheitsstufe ist bei Datenträgervernichtung nach DIN 66399 „Pflicht“?
Eine pauschale Pflichtstufe gibt es nicht, weil die DIN 66399 über Schutzklassen und Sicherheitsstufen den angemessenen Schutzbedarf abbildet. In der Praxis gilt: Je sensibler die Daten, desto höher muss die Datenträgervernichtung ausfallen. Für personenbezogene Daten wird häufig mindestens ein mittleres Sicherheitsniveau angesetzt, damit eine Wiederherstellung realistisch ausgeschlossen oder stark erschwert ist. Entscheidend ist, dass Ihre Einstufung (Schutzklasse) dokumentiert ist und die gewählte Datenträgervernichtung dazu passt.
Reicht „Löschen“ statt Datenträgervernichtung bei Festplatten und SSDs?
Manchmal ja, aber nur, wenn die Löschung wirklich sicher und nachweisbar ist. Datenträgervernichtung ist die robustere Option, wenn Datenträger defekt sind, wenn keine geeigneten Löschverfahren verfügbar sind oder wenn der Schutzbedarf sehr hoch ist. Bei SSDs ist zusätzlich zu beachten, dass nicht jedes Überschreiben technisch gleich gut funktioniert. Wenn Sie auf Löschung setzen, brauchen Sie ein belastbares Verfahren, Löschprotokolle und klare Prozessregeln. Ohne Nachweis wird „gelöscht“ im Audit schnell zum Risiko.
Was muss ich bei externer Datenträgervernichtung mit Dienstleister beachten?
Sobald ein Dienstleister Datenträgervernichtung für Sie übernimmt, sollten Sie das als Datenschutzprozess behandeln: Auswahlprüfung, vertragliche Regelung (Auftragsverarbeitung), definierte Sicherheitsstufen, sichere Transport- und Übergabekette sowie nachvollziehbare Nachweise. Achten Sie darauf, wie Datenträger identifiziert werden (z. B. Seriennummernlisten), wie Abweichungen dokumentiert werden und welche Nachweise Sie erhalten (Vernichtungsprotokoll, Mengen, Datum, Verfahren). Externe Datenträgervernichtung reduziert Aufwand, ersetzt aber nicht Ihre Verantwortung.
Zählt Aktenvernichtung auch zur Datenträgervernichtung?
Ja. Datenträgervernichtung umfasst nicht nur digitale Medien wie HDD, SSD oder USB-Sticks, sondern auch Papierunterlagen, sofern darauf schützenswerte Informationen stehen. Für DSGVO und DIN 66399 ist entscheidend, dass eine Rekonstruktion nach der Vernichtung praktisch ausgeschlossen ist. Darum sollte Aktenvernichtung nicht als „separates Thema“ laufen, sondern im gleichen Regelwerk zur Datenträgervernichtung verankert sein: Schutzklasse bestimmen, passende Sicherheitsstufe wählen, Prozess dokumentieren, Nachweise ablegen.
Wie dokumentiere ich Datenträgervernichtung pragmatisch im Alltag?
Halten Sie die Datenträgervernichtung so fest, dass sie später nachvollziehbar ist: Was wurde vernichtet (Datenträgertyp, Menge, idealerweise Seriennummern), wann, durch wen, nach welchem Verfahren bzw. welcher Sicherheitsstufe, und mit welchem Ergebnis/Nachweis. In der Praxis funktionieren einfache Standards gut: Sammelprotokoll pro Abholung/Batch, Seriennummernlisten aus dem Asset-Management, Ticket-Referenz zur Aussonderung und eine Vernichtungsbestätigung. So wird Datenträgervernichtung auditfest, ohne übermäßig bürokratisch zu werden.
