Warum Datenträgervernichtung so wichtig ist

Ausgediente IT ist selten wirklich leer. Auf Festplatten, SSDs und anderen Speichermedien bleiben selbst nach dem Löschen oft noch Datenfragmente zurück. Und die lassen sich erstaunlich einfach wiederherstellen. Wer IT-Geräte unbedacht weitergibt, verkauft oder entsorgt, ohne die Datenträger ordnungsgemäß zu vernichten, öffnet Tür und Tor für Datenschutzverletzungen.

Für Unternehmen und Systemhäuser bedeutet das: Es braucht einen prozesssicheren Umgang mit Datenträgern, der DSGVO-konform und im Zweifel auch prüfbar dokumentiert ist.

Denn der Schaden bei Datenlecks ist nicht unerheblich:

• hohe Bußgelder nach DSGVO
• Reputationsverlust bei Kunden und Partnern
• mögliche Schadenersatzforderungen bei Verstößen

Gerade im Systemhaus-Umfeld, wo Kundengeräte im Spiel sind, ist die Verantwortung doppelt groß. Du bist nicht nur für deine eigene IT verantwortlich, sondern auch für die Rückläufer deiner Kunden. Und wenn du bei der Ausmusterung nicht sicherstellst, dass Datenträger lückenlos gelöscht oder vernichtet und dokumentiert wurden, setzt du dich unnötigen Risiken aus.

Rechtliche Vorgaben: DSGVO, BDSG und DIN 66399

Die rechtlichen Anforderungen an die Vernichtung von Datenträgern sind eindeutig und für Unternehmen wie Systemhäuser bindend. Maßgeblich sind hier die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) sowie die technische Norm DIN 66399.

Das Wichtigste aus DSGVO, BDSG & DIN 66399 zusammengefasst:

• Daten auf Altgeräten müssen gelöscht oder vernichtet werden, sobald sie nicht mehr benötigt werden.
• Die gewählte Methode muss den technischen und organisatorischen Anforderungen der DSGVO entsprechen.
• Die DIN 66399 bietet eine praxisnahe Orientierung, wie Datenträger je nach Schutzbedarf zu behandeln sind.
• Werden Dritte beauftragt, ist ein AV-Vertrag verpflichtend.
• Alle Vorgänge sollten nachvollziehbar dokumentiert werden.
  

DSGVO: Löschung ist Pflicht – auch bei Datenträgern

Nach Art. 5 Abs. 1 lit. e DSGVO dürfen personenbezogene Daten nicht unbegrenzt gespeichert werden. Sobald sie für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden, müssen sie gelöscht werden. Dabei verlangt Art. 17 DSGVO ausdrücklich die unverzügliche Löschung.

Was oft übersehen wird: Das schließt auch die Daten auf physischen Datenträgern ein – also auf Festplatten, SSDs, USB-Sticks, Magnetbändern oder sonstigen Speichermedien. Die Verantwortung für die Löschung liegt beim Unternehmen, selbst wenn es sich um Altgeräte handelt, die nicht mehr aktiv genutzt werden.

Art. 32 DSGVO fordert zusätzlich „geeignete technische und organisatorische Maßnahmen“, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählt ausdrücklich auch die sichere Löschung oder physische Vernichtung von Datenträgern.

Wenn externe Dienstleister damit beauftragt werden – etwa zertifizierte Entsorger oder Refurbisher – handelt es sich um eine Auftragsverarbeitung nach Art. 28 DSGVO. In diesem Fall ist ein schriftlicher Vertrag zur Auftragsverarbeitung (AV-Vertrag) erforderlich, der regelt, wie die Daten verarbeitet, gelöscht und nachgewiesen werden.

Bundesdatenschutzgesetz (BDSG): Nationale Ergänzung zur DSGVO

Das BDSG ergänzt die DSGVO in Deutschland. Es betont unter anderem in § 26 den Schutz von Beschäftigtendaten. Für die Datenträgervernichtung ist jedoch vor allem § 22 relevant: Werden besonders schützenswerte Daten (z. B. zu Gesundheit, Religion oder biometrische Merkmale) verarbeitet, gelten verschärfte Anforderungen an Sicherheit und Zweckbindung. Das betrifft insbesondere Unternehmen aus dem Gesundheitswesen, dem Finanzsektor oder der öffentlichen Verwaltung.

Auch hier gilt: Die Vernichtung der Daten muss vollständig und nachweisbar erfolgen – bloßes Formatieren oder „Zurücksetzen“ reicht nicht aus.

DIN 66399-2: Technischer Standard für Datenträgervernichtung

Die DIN 66399 konkretisiert, wie Datenträger vernichtet werden müssen, um datenschutzkonform zu sein. Sie ist kein Gesetz, aber ein anerkannter technischer Standard, der von Aufsichtsbehörden als Best-Practice-Nachweis akzeptiert wird.

Die Norm unterscheidet:

• drei Schutzklassen, je nach Sensibilität der Daten (z. B. intern, vertraulich, streng vertraulich)
• sieben Sicherheitsstufen, die die Partikelgröße nach der Vernichtung definieren (je höher, desto feiner zerkleinert)

Für die meisten Unternehmen und Systemhäuser ist Schutzklasse 2 relevant. Sobald personenbezogene Daten verarbeitet werden, muss die Datenträgervernichtung auf einem entsprechend hohen Sicherheitsniveau erfolgen – mindestens H-3 für Festplatten.

Die drei Schutzklassen nach DIN 66399

Sie legen fest, wie sensibel die Informationen auf einem Datenträger sind und damit, wie sorgfältig sie vernichtet werden müssen

• ‍Schutzklasse 1
  Normaler Schutzbedarf: bei internen Daten, deren Verlust keinen großen Schaden verursacht
  Beispiele: Interne E-Mails, Projektpläne, Marketingunterlagen‍
• Schutzklasse 2
  Hoher Schutzbedarf: bei vertraulichen, personenbezogenen oder geschäftskritischen Daten
  Beispiele: Kundendaten, Mitarbeiterakten, Vertragsunterlagen‍
• Schutzklasse 3
  Sehr hoher Schutzbedarf: bei geheimhaltungsbedürftigen oder sicherheitsrelevanten Daten
  Beispiele: Daten aus Behörden, Forschung, Finanzsektor, Gesundheitswesen

Die Sicherheitsstufen nach DIN 66399 – was bedeuten H-3, E-4 & Co.?

Die Sicherheitsstufen der DIN 66399 geben an, wie klein die Daten auf einem Träger nach der Vernichtung sein müssen, damit eine Wiederherstellung ausgeschlossen ist. Die Buchstaben bezeichnen den Datenträgertyp, z. B.:

• H = Festplatten (HDD)
• E = elektronische Datenträger (z. B. SSD, USB-Sticks, Speicherkarten)
• O = optische Medien (CDs, DVDs)
• T = Magnetbänder
• F = Mikrofilm

Beispiel: Sicherheitsstufen für Festplatten (H-Stufen)

Ergänzende Stufen für SSDs (E-Stufen)

Da SSDs und andere Flash-Speicher keine magnetischen oder optischen Strukturen haben, gelten andere Anforderungen:

• ‍E-2
  Datenrekonstruktion möglich‍
• E-3
  Datenwiederherstellung stark erschwert‍
• E-4
  ‍Datenwiederherstellung ausgeschlossen (empfohlen für sensible SSDs)

Inhouse oder extern vernichten – was lohnt sich?

Wenn Altgeräte anfallen, stellt sich schnell die Frage: Soll die Datenträgervernichtung intern organisiert werden – oder ist es sinnvoller, einen spezialisierten Dienstleister zu beauftragen?

Beide Varianten sind zulässig. Entscheidend ist, dass die gewählte Methode den Anforderungen der DSGVO, des BDSG und – wenn als technischer Maßstab herangezogen – der DIN 66399 genügt. Und dass der gesamte Prozess nachvollziehbar dokumentiert ist.

Inhouse-Lösungen: Mehr Kontrolle, aber auch mehr Aufwand

Unternehmen und Systemhäuser, die Datenträger selbst vernichten oder löschen möchten, behalten die volle Kontrolle über ihre Geräte und Prozesse. Das kann ein Vorteil sein – insbesondere bei hochsensiblen Daten, bei denen ein physisches Verlassen des Gebäudes vermieden werden soll.

Voraussetzungen für eine DSGVO-konforme Inhouse-Löschung oder -Vernichtung:

• Verwendung spezieller Löschsoftware (z. B. mit Überschreibverfahren nach BSI-Empfehlung)
• Erstellung manipulationssicherer Löschprotokolle
• Einsatz von professionellen Schreddern, das der DIN 66399-2 entspricht
• geschultes Personal und dokumentierte Verfahren

Die Investitionskosten sind sowohl für die technische Ausstattung als auch für Schulungen und interne Aufwände, nicht unerheblich. Gerade bei größeren Stückzahlen kann das zeitintensiv werden.

Externe Dienstleister: Weniger Aufwand und mehr Sicherheit

Zertifizierte Entsorgungsunternehmen oder IT-Refurbisher bieten oft die komplette Abwicklung an – inklusive Abholung, gesicherter Transportkette, Vernichtung oder DSGVO-konformer Datenlöschung und Nachweisdokumenten.

Wichtig ist:

• Es muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen werden.
• Der Dienstleister sollte nachweislich nach DIN 66399 arbeiten (z. B. mit TÜV-Zertifikat oder ISO-Nachweisen).
• Für besonders sensible Daten empfiehlt sich eine Vernichtung vor Ort, z. B. mit mobilen Schreddern, oder ein Hochsicherheitstransport.

Für viele Unternehmen lohnt sich das Outsourcing ab mittlerem Gerätevorkommen oder wenn regelmäßig Altgeräte anfallen. Auch Systemhäuser, die im Kundenauftrag Geräte zurücknehmen, können den Prozess über Dienstleister effizienter und rechtssicher abbilden.

Erfahre hier, wie wir Datensicherheit nach DSGVO und DIN 66399 konkret umsetzen:
‍www.bb-net.eu/datensicherheit.

Fazit:

• Inhouse lohnt sich nur, wenn du über entsprechende Technik und Know-how verfügst.
• Externe Dienstleister bieten geprüfte Prozesse, sparen Ressourcen und liefern rechtssichere Nachweise.

Refurbishment: Wenn Löschen besser ist als Zerstören

Datenträgervernichtung ist in vielen Fällen erforderlich. Insbesondere, wenn sich Daten softwareseitig nicht mehr löschen lassen. Etwa bei mechanisch beschädigten SSDs oder bei Speichermedien, die sich technisch grundsätzlich nicht überschreiben lassen. Dazu zählen z. B. LTO-Bänder, die nur durch physische Zerstörung sicher gelöscht werden können. Auch bei besonders hohen Schutzanforderungen ist Vernichtung oft die einzig zulässige Option. 

Doch wenn ein Gerät technisch einwandfrei ist und sich die Daten sicher und nachweisbar löschen lassen, stellt sich die Frage: Warum es vernichten, wenn man es auch sinnvoll weiterverwenden kann? Nämlich durch Refurbishment.

Refurbishment bedeutet: Ausgemusterte Geräte werden aufbereitet und wiederverwendet – aber nur, wenn zuvor alle enthaltenen Daten nachweislich gelöscht wurden. Das geschieht mit spezialisierter Software und unter Einhaltung der Anforderungen der DSGVO sowie der DIN 66399. Die Löschung wird detailliert dokumentiert und ist damit auch für Audits oder Nachweispflichten geeignet.

Refurbishment ist meistens die bessere Lösung, denn:

• Sie ist nachhaltig
  Funktionstüchtige Hardware muss nicht entsorgt werden. Das reduziert Elektroschrott und schont Ressourcen.
• Sie ist wirtschaftlich
  Wiederverwendung spart Entsorgungskosten und kann durch den Restwert sogar Einnahmen generieren.
• Sie ist kombinierbar
  Datenträger, die nicht gelöscht werden können, lassen sich gezielt aussortieren und vernichten. Der Rest wird verwertet.

Der Schlüssel liegt daher in der Unterscheidung: Was kann sicher gelöscht werden und was muss physisch zerstört werden? Systemhäuser und Unternehmen, die hier klare Prozesse etablieren, handeln nicht nur gesetzeskonform, sondern auch wirtschaftlich und nachhaltig sinnvoll.

Fazit: Datenträger sicher löschen und IT sinnvoll weiterverwenden

Am Ende ist eines klar: Datenträgervernichtung ist keine Randnotiz, sondern ein zentrales Thema für Datenschutz, Compliance und Unternehmensreputation. Ob du intern löschst oder extern vernichten lässt: entscheidend ist, dass es nachvollziehbar, sicher und rechtskonform geschieht.

Doch wenn deine Altgeräte technisch noch verwertbar sind, lohnt sich der Blick über den Tellerrand: Refurbishment ist nicht nur eine Alternative zur Zerstörung, sondern bietet echten Mehrwert – ökologisch wie wirtschaftlich.

Als eines der führenden Refurbishment-Unternehmen in Deutschland bereiten wir jährlich über 160.000 IT-Geräte auf. Volldigital, transparent und mit höchsten Datenschutzstandards.

Dabei bieten wir:

• DSGVO-konforme Datenlöschung oder eine Vernichtung nach DIN 66399, je nach Zustand der Datenträger
• Technische und optische Aufbereitung in unserem eigenen Technologiecenter
• Effiziente Prozesse für maximale Wiederverwendung oder fachgerechte Entsorgung

Erfahre hier mehr über unseren Refurbishing-Prozess.