Gütesiegel für Datenschutzkonformes Verfahren zur Vernichtung von Datenträgern aller Art, Stand: November 2010
4-6/2004
Rezertifiziert am 26.11.2010
Befristet bis 26.11.2012
Erstzertifizierung 10.06.2004
Vernichtung von Akten, Datenträgern und Mikrofilmen durch die Firma Reisswolf Akten- und Datenvernichtung GmbH & Co. KG, Hamburg, im Auftrag für Auftraggeber aus dem öffentlichen und nicht öffentlichen Bereich.
(Die Vernichtung von Mikrofilmen ist seit der Rezertifizierung am 26.11.2010 nicht mehr von der Zertifizierung umfasst.)
Kurzgutachten:
Kurzgutachten zur Rezertifizierung des Produkts REISSWOLF
Zeitpunkt der Prüfung
13. Juli – 01. September 2008
Adresse des Antragstellers
REISSWOLF
Akten- und Datenvernichtung GmbH & Co.
Wendenstraße 403
20537 Hamburg
Adresse der Sachverständigen
Sachverständiger für IT-Produkte (rechtlich):
Rechtsanwalt Olaf Lange
Rahlstedter Bahnhofstr. 12
22143 Hamburg
http://www.it-rechtsberatung.deSachverständiger für IT-Produkte (technisch):
Dipl. Inf. (FH) Andreas Bethke
B³ | Informationstechnologie
Papenbergallee 34
25548 Kellinghusen
andreas@b3-gruppe.de" style="color: rgb(14, 55, 199); text-decoration: none;">andreas@b3-gruppe.de
Kurzbezeichnung
Das Verfahren der Firma REISSWOLF dient der Vernichtung von Akten, elektronischen und optischen Datenträgern zur Löschung von personenbezogenen Daten im Sinne des § 2 Abs. 2 LDSG SH (Landesdatenschutzgesetz Schleswig-Holstein), § 3 Abs. 4 Nr. 5 BDSG (Bundesdatenschutzgesetz), wie z.B. Festplatten, Mikrofilme, Papier, Magnetbänder und Disketten. Das Gutachten beschreibt den Stand September 2008.
Änderungen seit der letzten Rezertifizierung
Folgende Änderungen wurden seit der letzten Rezertifizierung vorgenommen.
- Erweiterung bei der Abholung
Die Abholung von Behältern im Sicherheitspresswagen wurde um eine weitere Behältergröße erweitert. Es handelt sich hierbei um den Container RW 500 U mit den Maßen: L 118 x B 69 x H 100 cm.
- Änderung bei der Zutrittskontrolle
Die Zutrittskontrolle auf dem Gelände der Betriebsstätte ist verbessert worden: Die Zutrittsberechtigung in das Verwaltungsgebäude als auch in den Produktionsbereich ist nun personen- und bereichsbezogen durch den Einsatz von Transpondern geregelt.
- Erweiterung der Produktpalette - Festplattenvernichtung
Als zusätzliche Dienstleistung bietet die Firma REISSWOLF seinen Kunden auch das Shreddern von Festplatten an. Hierzu wurde ein neuer Shredder angeschafft. Bei dem Shredder handelt es sich um ein Produkt der Firma Untha mit der Typbezeichnung RS 45. Dabei handelt es sich um einen Vierwellenzerkleinerer mit Siebeinsatz, Sieblochung 15 mm Durchmesser.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu eine Bewertung des Vernichtungsgerätes vorgenommen. Die Bewertung wird dem Gutachten beigefügt. Darüber hinaus übernimmt der neue Shredder ebenfalls die im ersten Gutachten beschriebene Vernichtung von „harten Datenträgern“ (Scheckkarten, Magnetkarten, Disketten und CDs) und ersetzt damit den Shredder der Firma Hatlapa. Hier ist zu prüfen, ob die Anforderungen der BSI-TL 03420 erfüllt sind. Die Anforderungen an die Partikelgröße für diese Vernichtungsgeräte für optische Datenträger sind
für eine mittlere Sicherheit (z.B. bis einschließlich Geheimhaltungsgrad VS-NfD): ≤ 200 mm²
und
für eine hohe Sicherheit (z.B. Geheimhaltungsgrad VS-Vertraulich und höher): ≤ 10 mm² (Diagonale ≤ 5 mm).
Bei großen Durchsatzmengen und Mischung mit nicht eingestuften CD/DVD können auch Datenträger der Geheimhaltungsstufe VS-Vertraulich mit einer Partikelgröße ≤ 200 mm² vernichtet werden.
Wie das BSI in seiner Bewertung des Shredders bestätigt, hat die Mehrzahl der Fragmente eine Fläche von < 200 mm². Damit wäre die mittlere Sicherheit erreicht bzw. im Mischverhältnis auch Datenträger der Geheimhaltungsstufe VS-Vertraulich.
Um eine kleinere Fläche zu erreichen, bietet REISSWOLF ein zweistufiges Verfahren an (s. Anlage), bei dem die geshredderten CD/DVDs nach dem Untha-System noch durch die Herbold-Mühle geschickt werden. Hier wird dann eine Fläche von ≤ 10 mm² erreicht, so dass auch Datenträger für hohe Sicherheit von Reisswolf vernichtet werden können. Zudem findet im Anschluss eine Sammlung des Granulats in einem verschlossenen Presscontainer statt. Hierzu hat REISSWOLF ein entsprechendes Merkblatt für die Kunden erstellt.
Tools, die zur Herstellung des IT-Produktes verwendet wurden
Nicht gegeben, da es sich um ein automatisiertes Verfahren handelt.
Zweck und Einsatzbereich
Hier hat sich nichts geändert.
Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde
Anforderungskatalog Version 1.2
Zusammenfassung der Prüfungsergebnisse
In datenschutzrechtlicher Hinsicht sind die zwischenzeitlich erfolgten Änderungen am Verfahren erneut positiv zu bewerten. Zum einen wurde die Zutrittskontrolle deutlich verbessert, da man hier von einer einfachen „Sichtkontrolle“ zu einer elektronischen Lösung übergegangen ist, wodurch gewährleistet ist, dass sich in der Betriebsstätte und in den sicherheitsrelevanten Bereichen nur berechtigte Personen aufhalten. Auch das neue Shreddersystem insbesondere in Verbindung mit einer zweistufigen Vernichtung für harte Datenträger und Festplatten ist positiv zu bewerten, da das System durch das BSI abgenommen wurde und die Anforderungen für hohe Sicherheit der BSI-TL 03420 erfüllt.
Es gibt derzeit kein vom BSI empfohlenes Gerät für die mechanische Zerkleinerung von Mikrofilmen, obgleich in der Norm DIN 32757 noch Angaben über die Partikelgröße gemacht sind. Im Bereich der Mikrofilm-Vernichtung müssen daher nach der Richtllinie Abstriche gemacht werden. Es wird eine Teilchengröße von ca. 2 mm² erreicht, womit aus Sicht des Gutachters zwar keine Verschlusssachen (oder höher), jedoch „sonstige Daten“ hinreichend vernichtet werden können. Der Kunde wird hierauf von REISSWOLF durch ein Merkblatt hingewiesen.
Zusammenfassend kann das Vernichtungsverfahren für Datenträger als vorbildlich umgesetzt bewertet werden. Die Firma REISSWOLF hat eine positive Änderung an dem Verfahren vorgenommen, die zu einer besseren Einhaltung der Anforderungen von Datenschutz und Datensicherheit führen. Es bestehen aus technischer Sicht keinerlei Bedenken gegen eine Rezertifizierung des Verfahrens.
Kurzgutachten zur Rezertifizierung des Produkts REISSWOLF
Download des Kurzgutachtens als PDF Dokument
Zeitpunkt der Prüfung
31.05. – 26.06.2006
Adresse des Antragstellers
REISSWOLF
Akten- und Datenvernichtung GmbH & Co. KG
Wendenstraße 403
20537 Hamburg
Adresse der Sachverständigen
Sachverständiger für IT-Produkte (rechtlich):
Rechtsanwalt Olaf Lange
Rahlstedter Bahnhofstr. 12
22143 Hamburg
info@it-rechtsberatung.de" style="color: rgb(14, 55, 199); text-decoration: none;">info@it-rechtsberatung.deSachverständiger für IT-Produkte (technisch):
Dipl. Inf. (FH) Andreas Bethke
An de Au 6
25548 Mühlenbarbek
andreas@b3-gruppe.de
Änderungen und Neuerungen des Produktes
Die einzige Neuerung bzw. Veränderung aus technischer Sicht ist der Einsatz einer neuen Lösung für die Videoüberwachung. Hierfür wird nun das „Digital Surveillance System Multicam v7“ der Firma Polvision (Polen) eingesetzt. Auf der Hardwareseite bedeutet dies den Einsatz einer entsprechenden Karte (Geovision GV-250), die Bilder mit 12 fps (frames per second) an die Software liefert. Diese zeichnet die Bildsequenzen auf, sobald eine Änderung der Bildinhalte erfolgt – quasi als Bewegungsmelder. Damit ist gesichert, dass nicht permanent aufgezeichnet wird. Durch die niedrige Bildübertragungsrate sind keine flüssigen Bewegungen zu erkennen. Die Auflösung der Bilder beträgt 720 x 567 Pixel. Die Daten werden mit der MPEG4-Methode komprimiert. Die Darstellung erfolgt über einen HTML-Browser in dem alle Kameraübertragungen gleichzeitig dargestellt werden.
Die Software bietet eine komfortable Konfiguration mit der u.a. die Anzahl der Tage für die Aufbewahrung der Aufnahmen (sog. Logs) gesetzt werden kann.
Die Ersetzung der ursprünglichen Videoaufzeichnungsanlage durch die neue führt aus datenschutzrechtlicher Sicht zu einer positiveren Bewertung des Verfahrens. Im Unterschied zu der vorherigen Videoaufzeichnung kann nun eine automatische Löschung der Videodaten implementiert werden. Diese Form der „automatisierten periodischen Löschung“ wird vom Gesetzgeber (Bundestagsdrucksache 14/5793, Seite 63) und in der datenschutzrechtlichen Fachliteratur für am wirksamsten erachtet. Die nach dem Gesetz geforderte Löschung der Daten wird von der Firma Reisswolf gewährleistet, da die Daten unverzüglich, spätestens jedoch nach 7 Tagen entsprechend §20 Abs. 2 LDSG bzw. §6b Abs. 5 BDSG gelöscht werden. Die Forderung der Aufsichtsbehörden, die aufgezeichneten Daten unverzüglich und automatisch zu löschen, wenn diese zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen, wird bei der Firma Reisswolf somit beachtet.
Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde
Anforderungskatalog Version 1.2
Zusammenfassung der Prüfungsergebnisse
In datenschutzrechtlicher Hinsicht sind die zwischenzeitlich erfolgten Änderungen am Verfahren durchweg positiv zu bewerten, da weniger Daten produziert werden. Durch die Konfiguration der Software ist zudem einstellbar, wie lange (wieviel Tage) die Daten auf der Festplatte des PC gehalten werden sollen, bevor sie im Rotationsmodus überschrieben werden.
Zusammenfassend kann das Vernichtungsverfahren für Datenträger als vorbildlich umgesetzt bewertet werden. Die Firma Reisswolf hat eine positive Änderung an dem Verfahren vorgenommen, die zu einer besseren Einhaltung der Anforderungen von Datenschutz und Datensicherheit führen. Es bestehen aus technischer und rechtlicher Sicht keinerlei Bedenken gegen eine Rezertifizierung des Verfahrens.
Kurzgutachten
REISSWOLF
Zeitpunkt der Prüfung
Dezember 2002 bis Mai 2004
Adresse des Antragstellers
REISSWOLF
Akten- und Datenvernichtung GmbH & Co.
Wendenstraße 403
20537 Hamburg
Adresse der Sachverständigen
Sachverständiger für IT-Produkte (rechtlich):
Rechtsanwalt Olaf Lange
Beltgens Garten 15
20537 HamburgSachverständiger für IT-Produkte (technisch):
Dipl. Inf. (FH) Andreas Bethke
An de Au 6
25548 Mühlenbarbek
andreas@b3-gruppe.de
Kurzbezeichnung
Das Verfahren der Firma REISSWOLF dient der Vernichtung von Akten, elektronischen und optischen Datenträgern zur Löschung von personenbezogenen Daten im Sinne des § 2 Abs. 2 LDSG SH (Landesdatenschutzgesetz Schleswig-Holstein), § 3 Abs. 4 Nr. 5 BDSG (Bundesdatenschutzgesetz), wie z.B. Festplatten, Mikrofilme, Papier, Magnetbänder und Disketten. Das Gutachten beschreibt den Stand Mai 2004.
Detaillierte Bezeichnung
Das Verfahren der Firma REISSWOLF basiert ausschließlich auf pysikalischen Datenträgervernichtungsfunktionalitäten.
REISSWOLF bietet im Rahmen eines Auftrages zur Vernichtung folgende Löschverfahren an:
- Abholung der Daten im patentierten Sicherheitspresswagen mit Vermischung von Daten mit anderen Daten zum frühestmöglichen Zeitpunkt. Beschickung der Shredderanlage nach Entleerung des Sicherheitspresswagens.
- Alternativ: Abholung von geschlossenen Einzelbehältern (Containern) oder persönliche Anlieferung durch den Kunden. Dann manuelle Beschickung der Shredderanlage (bei Selbstanlieferung auch für sensible Daten geeignet).
Eine Kenntnisnahme der Inhalte der Container oder des Sicherheitspresswagens wird durch technische Sicherungsmaßnahmen unterbunden.
- Vernichtung der personenbezogenen Daten durch mehrstufige Shreddersysteme, in denen das geshredderte Material zwischen den einzelnen Stufen verwirbelt wird.
- Pressen des zerkleinerten Materials für spätere Recyclingaufgaben.
Tools, die zur Herstellung des IT-Produktes verwendet wurden
Nicht gegeben, da es sich um ein automatisiertes Verfahren handelt.
Zweck und Einsatzbereich
Der Zweck der Verarbeitung dient der irreversiblen Löschung von personenbezogenen Daten nach §§ 4 LDSG, § 5 LDSG, § 17 LDSG, § 20 LDSG, § 23 LDSG, § 28 LDSG, § 183 ff. LVwG, § 196 ff. LVwG, § 3 BDSG, § 6 b BDSG, § 9 BDSG i.V.m. Anlage zu § 9 BDSG Satz 1 Ziffer 4, § 11 BDSG, § 35 BDSG, § 80 und §§ 84 ff. SGB-X.
Das Datenträgervernichtungsverfahren eignet sich aufgrund seiner Skalierbarkeit zum Einsatz in den Behörden des Bundeslandes Schleswig-Holstein, insbesondere bei der Polizei oder den Sozial- und Finanzbehörden.
Das Verfahren der Firma REISSWOLF dient der Vernichtung von Akten/Mikroformen. Die betreffenden Akten, Datenträger und Mikroformen werden in elektronisch verschlossenen Behältern vom Kunden gesammelt. Die Behälter werden entweder verschlossen zum Vernichtungszentrum transportiert, oder sie werden direkt vor Ort in einem Sicherheitspresswagen entleert und mit anderen Datenträgern vermengt. Eine Kenntnisnahme der Inhalte der Container ist dabei durch technische Maßnahmen unterbunden.
Von der Firma REISSWOLF werden grundsätzlich jede Art von Datenträgern und alle Arten von personenbezogenen Daten vernichtet, wie z.B. Festplatten, Mikrofilme, Papier, Magnetbänder und Disketten.
Modellierung des Datenflusses
Für das Verfahren kann kein Datenfluss dargestellt werden. Alternativ wird die Ablauforganisation anhand eines (UML-konformen) Aktivitäten-Diagrammes dargestellt.
Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde
Anforderungskatalog Version 1.0a
Zusammenfassung der Prüfungsergebnisse
Zusammenfassend ist festzustellen, dass die Löschung der Daten durch das Datenträgervernichtungsverfahren der Firma REISSWOLF insgesamt datenschutzkonform realisiert wird.
Bei der persönlichen Anlieferung und eigenhändigen Beschickung der Shredderanlage können auch Daten vernichtet werden, deren Schutzbedarf höher einzustufen ist, wie beispielsweise das Vernichten einer Patientenkartei eines Arztes.
Aber auch bei geringeren Schutzstufen unterstützt REISSWOLF die verantwortliche Stelle mittels Transport in einem Sicherheitspresswagen, das Entleeren auf einer Schubboden-Fördertechnik und die automatische Beschickung des Shreddersystems, was alles in allem ein geschlossenes Prozesssystem zur Datenvernichtung darstellt. Gerade das fortschrittliche und patentierte Umleerverfahren bei der Abholung der Datenträger mit einem Umleer-LKW (Sicherheitspresswagen) sorgt schon für eine frühzeitige Vermischung der Datenträger, ohne dass Mitarbeiter der Firma REISSWOLF oder Dritte einen Zugriff auf die Datenträger haben und Kenntnis von den Daten erlangen können. Die Firma REISSWOLF dokumentiert mit der Weiterentwicklung und Patentierung dieses Sicherheitssystems, dass sie das Schutzziel eines sicheren, d.h. vertraulichen Transports von Datenträgern ernst nimmt und Maßnahmen ergreift, die über das übliche Maß hinausgehen. Insoweit werden durch die Firma REISSWOLF neue Sicherheitsstandards gesetzt, so dass hierdurch gleichfalls impliziert wird, dass der Aufwand der getroffenen Maßnahmen mehr als adäquat ist. Darüber hinaus ist die Zuführung der Datenträger im Anlieferungsbereich der Betriebshalle über einen befahrbaren Schubboden positiv hervorzuheben, da hierdurch eine manuelle Entleerung der Sicherheitspresswagen entfällt.
Darüber hinaus ist auch das Betriebsgelände und die Sicherheitsbereiche in den Werkshallen mittels Schließsysteme und Zutrittsregelungen zumindest adäquat gesichert.Die Shredderverfahren sind ebenfalls zumindest als adäquat zu bezeichnen, da die einzelnen Vernichtungsstufen durch Videokameras überwacht werden, um zu verhindern, dass Mitarbeiter der Firma REISSWOLF sich unbefugt Kenntnis oder Besitz von Datenträgern verschaffen.
Lediglich durch die Möglichkeit der Anlieferung in Containern, die aber nicht von REISSWOLF als "präferierte" Variante gilt und auf dessen Gefahren in Beratungsgesprächen hingewiesen wird, wird das Prüfergebnis geringfügig abgeschwächt.
REISSWOLF stellt entsprechende Sicherheitsbehälter in abgestimmter Anzahl, mit Deckel und Sicherheitsschlössern zur Aufstellung und kontinuierlichen Befüllung bei seinen Kunden. REISSWOLF hat 560 unterschiedliche Schließsysteme im Einsatz. Da auch Mehrfachschließungen zum Einsatz kommen, besteht die theoretische Möglichkeit, dass zwei Kunden die gleiche Schließung erhalten. Um dem unbefugten Zugriff vorzubeugen, sind zusätzliche Sicherungsmaßnahmen durch den Kunden zu treffen, z.B. durch Aufstellung der Behälter in verschlossenen Räumen. Alternativ hat der Auftraggeber auch die Möglichkeit ein eigenes Schließsystem anzufordern, damit gewährleistet ist, dass kein anderer Kunde seine Behälter öffnen kann.
Insgesamt entsprechen die von der Firma REISSWOLF getroffenen technischen und organisatorischen Maßnahmen den datenschutzrechtlichen Anforderungen in adäquater Weise.
Beschreibung, wie das IT-Produkt den Datenschutz fördert
- Datenvermeidung und Datensparsamkeit
Das Vernichtungsverfahren von Datenträger ist unter dem Gesichtspunkt der Datenvermeidung und Datensparsamkeit nach § 4 Abs. 1 LDSG als besonders datenschutzfreundlich anzusehen, weil durch das Verfahren gerade personenbezogene Daten vernichtet werden. Somit wird durch das Verfahren sichergestellt, dass die sich auf den dem Vernichtungsprozess zugeführten Datenträger nicht mehr zur anderweitigen Verarbeitung der personenbezogene Daten zur Verfügung stehen.
Das Datenvernichtungsverfahren ist folglich auch datenschutzfreundlicher als eine Anonymisierung oder Pseudonymisierung im Sinne des § 11 LDSG. - Datensicherheit und Revisionsfähigkeit
Der Vernichtungsprozess von Datenträger wird von der Firma REISSWOLF dokumentiert und dem Auftraggeber im Sinne des § 17 LDSG eine Löschungsbescheinigung erteilt.
Zudem bestehen für den Auftraggeber auch Kontrollmöglichkeiten im Rahmen der Vernichtung von Datenträgern, da dieser den Vernichtungsprozess beobachten kann.
Darüber hinaus kann der Auftraggeber beispielsweise die Abholung und die Art des Transport der Datenträger selbst bestimmen. Vor diesem Hintergrund sei hier noch einmal die Möglichkeit zur persönlichen Anlieferung erwähnt. Die datenschutzrechtliche Datensicherheit und Revisionsfähigkeit ist damit gewährleistet.