ISO/IEC 21964 – Leitplanken für die datenschutzgerechte Vernichtung von Datenträgern
Von Papierschreddern in der Poststelle bis zu Pulverisierern für SSD-Speicher im Rechenzentrum: Datenvernichtung ist längst kein Randthema mehr, sondern ein essenzieller Bestandteil jeder Informationssicherheits- und Datenschutzstrategie. Die internationale Norm ISO/IEC 21964 liefert erstmals ein weltweit abgestimmtes Rahmenwerk, um sämtliche Datenträger so zu zerstören, dass die darin gespeicherten Informationen dauerhaft unlesbar bleiben. Sie definiert Schutzklassen und Sicherheitsstufen, beschreibt verbindliche Anforderungen an Geräte und Prozesse und stellt damit einen unmittelbaren technischen Nachweis für die Pflichten aus DSGVO, BDSG und ISO 27001 bereit. ISO/IEC 21964 verwandelt die oft unterschätzte End-of-Life-Phase von Datenträgern in einen streng geregelten, auditierbaren Prozess. Wer die Norm in seine Governance-Strukturen und IT-Workflows integriert, schafft Rechtssicherheit, minimiert das Risiko unbeabsichtigter Datenabflüsse und demonstriert gegenüber Kunden wie Aufsichtsbehörden eine gelebte Sicherheits- und Compliance-Kultur. Letztlich ist die sichere Vernichtung damit kein lästiger Kostenfaktor, sondern ein sichtbarer Qualitätsbeweis für verantwortungsbewusstes Datenmanagement.
Der Rechtsrahmen ist eindeutig: Artikel 32 DSGVO verpflichtet Verantwortliche, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen – ausdrücklich bis zu ihrer sicheren Entsorgung. § 35 BDSG betont denselben Grundsatz und verlangt ein Vorgehen „nach dem Stand der Technik“. ISO/IEC 21964 gilt hier als anerkannter Maßstab, weil sie abstrakte Anforderungen in messbare Kriterien gießt: In Teil 1 erläutert sie Grundprinzipien und Terminologie, Teil 2 legt Grenzwerte für Partikelgrößen und Geräteprüfungen fest, Teil 3 beschreibt den vollständigen Vernichtungsprozess – von der Risikoanalyse bis zur Dokumentation.
Gleichzeitig verweisen Managementsysteme wie ISO 27001 : 2022 (Kontrolle 7.14 „Secure Disposal“) oder branchenspezifische Standards wie TISAX® ausdrücklich auf „state-of-the-art disposal procedures“. Wer also ISO 21964 implementiert, schafft einen direkten Brückenschlag zwischen Datenschutz- und Informationssicherheitswelt.
Organisatorische Verankerung - Governance
Ein wirksames Vernichtungskonzept beginnt auf Vorstandsebene. Dort werden Risikotoleranz, Verantwortlichkeiten und finanzielle Mittel festgelegt. Informationssicherheits-, Datenschutz- und Fachabteilungen übersetzen diese Vorgaben in eine unternehmensweite Richtlinie, welche den Geltungsbereich (alle Standorte, alle Datenträgerarten), auslösende Ereignisse (z. B. Ablauf von Aufbewahrungsfristen, Hardware-Refresh, Datenpanne) und Mindest-Sicherheitsstufen beschreibt.
Prozesskette
Identifikation: Sobald ein Datenträger ausgemustert wird, erfasst die IT-Asset-Datenbank das Medium samt Schutzklasse.
Gesicherte Zwischenlagerung: Behälter mit manipulationssicherer Versiegelung und Zugriffsprotokoll verhindern unbefugte Einsicht.
Verfahrenswahl: Abhängig von Schutzklasse, Medium und internen Policies wird entschieden, ob logisch gelöscht, entmagnetisiert oder physisch zerstört wird.
Durchführung: Die Vernichtung erfolgt intern oder durch zertifizierten Dienstleister, stets unter Vier-Augen-Prinzip.
Dokumentation: Ein digitales Protokoll (Zeitpunkt, Verantwortliche, Methode, Sicherheitsstufe, Gerät) oder ein Vernichtungszertifikat schließt den Vorgang ab.
Dieser Ablauf verbindet sich idealerweise nahtlos mit bestehenden Workflows des ISMS und des Records-Managements, sodass Lösch- und Vernichtungsfristen automatisch aus den Datensatz-Metadaten abgeleitet werden können.
Technische Umsetzung
Schutz- und Sicherheitsstufen: ISO 21964 unterscheidet drei Schutzklassen – gewöhnlich, hoch, sehr hoch – und sieben Sicherheitsstufen. Hinter jeder Stufe verbergen sich messbare Grenzwerte: Für Papier reichen sie von P-1 (Streifenschnitt ≤ 12 mm) bis P-7 (Partikel < 5 mm²); Festplatten (H-Klasse) und Halbleiterspeicher (E-Klasse) müssen bei Stufe 5 oder höher in wenige Millimeter kleine Fragmente zerlegt oder vollständig pulverisiert werden. Das Prinzip lautet: Je größer das Risiko für Betroffene und Unternehmen, desto kleiner das zulässige Partikelvolumen.
Geräteanforderungen: Hersteller müssen ihre Anlagen unter definierten Laborbedingungen prüfen lassen; maximal zehn Prozent der Proben dürfen den Grenzwert überschreiten. Unternehmen wiederum sind verpflichtet, Wartungs- und Kalibrierintervalle einzuhalten, damit Schneidwerkzeuge nicht „ausleiern“ und plötzlich weniger feine Partikel produzieren. Bei logischen Löschverfahren (Überschreiben) sollten Werkzeuge gewählt werden, die nach anerkannten Leitlinien wie NIST SP 800-88 verifiziert sind.
Ausgelagerte Vernichtung: Wird ein externer Dienstleister beauftragt, muss der Vertrag mindestens folgende Punkte regeln: einzuhaltende Sicherheitsstufe, gesicherte Transportwege, Protokoll- oder Videonachweis, Audit- und Zutrittsrechte sowie Haftungsmodalitäten bei Verstößen. Zertifikate (ISO 21964-3, ISO 27001) sind ein Plus, entbinden den Auftraggeber aber nicht von einer regelmäßigen Überprüfung – etwa durch unangekündigte Stichproben.
Compliance
ISO 21964 erleichtert die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO: Richtlinien, Schulungsnachweise, Geräteprüfberichte und Vernichtungszertifikate bilden einen konsistenten Audit-Trail, der Behörden oder Zertifizierungsauditoren vorgelegt werden kann. Dies verringert nicht nur Bußgeldrisiken; ein dokumentierter Prozess wirkt im Ernstfall auch haftungsbegrenzend, weil das Unternehmen belegen kann, organisatorisch alles Erforderliche getan zu haben.
