Computerschrott

Datenschutz

Vernichtung von Datenträgern und Akten
Entsorgung von IT-Systemen

Datenträger und Akten, die personenbezogene oder vertrauliche Informationen enthalten, sind zu vernichten, sofern keine Aufbewahrungsverpflichtung besteht und der Zweck, für den sie ursprünglich erfasst wurden, nicht mehr vorliegt. Die Vernichtung oder Außerbetriebnahme von IT-Systemen ist dabei von den Organisationseinheiten eigenverantwortlich und regelkonform durchzuführen.

Damit Daten nicht in unbefugte Hände geraten, müssen Daten sicher gelöscht oder Datenträger sicher vernichtet werden. Zur Unterstützung der Einrichtungen stehen an der RUB zentrale Beratungsangebote, Entsorgungs- und Vernichtungsmöglichkeiten bereit.

Zentrale Angebote an der RUB

Zur Unterstützung der Einrichtungen können bei der Stabsstelle Arbeitssicherheit und Umweltschutz für die sichere Vernichtung von Papierakten, Festplatten, optischen und elektronischen Datenträgern Sammelbehälter angefordert werden. Diese werden von einer zertifizierten Firma geliefert, abgeholt und der Inhalt datenschutzkonform vernichtet.

Zur Vernichtung kleinerer Mengen Papierakten und optischer Datenträger stehen an der RUB Aktenvernichter/Schredder bereit:

  • Druckzentrum:
    Groß-Aktenvernichter/Schredder der Sicherheitsstufe*) P-5, O-4, T-5, E-4 für Daten mit sehr hohem Schutzbedarf (auch geeignet für optische Datenträger)
    zur Nutzung in Selbstbedienung (kostenlos) oder per Auftrag (jeweils kostenpflichtig)(weitere Informationen)

*)gemäß DIN 66309

Ein Sicherheitsbehälter zur Vernichtung kleinerer Mengen von Festplatten steht in einem geschützten Raum im Gebäude IA bereit. Die Festplatten können während der Öffnungszeiten im Servicecenter von IT.SERVICES abgeben werden.

Alternativ zur Entsorung über Sicherheitsbehälter können Festplatten auch sicher gelöscht und anschließend über den Elektroschrott entsorgt werden.

Schutzbedarf bestimmt den Aufwand

Die Aufwand bei der Vernichtung richtet sich nach dem Schutzbedarf der enthaltenen Informationen. Damit wird eine Rekonstruktion vernichteter Daten erschwert oder unmöglich.

Sofern Daten unterschiedlichen Schutzbedarfs vernichtet werden sollen, so bestimmt der höchste Schutzbedarf das zu wählende Sicherheitsniveau. Aus ökonomischen Gründen ist daher häufig eine Trennung von schutzwürdigen und nicht schutzwürdigen Daten/Akten sinnvoll.

Hilfestellung zur korrekten Klassifizierung von Informationen hinsichtlich des Schutzbedarfs bietet die Richtlinie Klassifikation von Informationen.

Richtlinie Datenträgervernichtung

Die Richtlinie Datenträgervernichtung beinhaltet Regelungen und Hinweise für die sichere und umweltgerechte Vernichtung von Datenträgern/Akten und Entsorgung von IT-Systemen im Rahmen der dienstlichen Tätigkeit.

Allgemeine Regelungen und Hinweise können Sie vorab schon einsehen:

Richtlinie Datenträgervernichtung (vorläufig freigegeben durch Koordinierungsausschuss)

Nachweis der Vernichtung/Übergabe

Die Verpflichtung zur Löschung oder Vernichtung vertraulicher Daten ergibt sich aus dem Datenschutzgesetz. Zum erforderlichen Nachweis der ordnungsgemäßen Durchführung sollten die Vernichtung, Wahrnehmung der (zentralen) Dienstleistungsangebote oder Archivierung von Daten geeignet dokumentiert werden.

Die Richtlinie Datenträgervernichtung erläutert eine solche Protokollierung beispielhaft.

Entsorgung von Elektroschrott

Für die Entsorgung von Elektro- und Elektronikschrott werden vom Sachgebiet Entsorgung der Stabsstelle Arbeitssicherheit und Umweltschutz Boxen und Container bereitgestellt. IT-Systeme mit schutzwürdigen Daten dürfen erst nach vorheriger sicherer Löschung der Daten oder Ausbau und Entsorgung in Sicherheitsbehältern in E-Schrottboxen gestellt werden.

Eine Übersicht der Standorte findet sich auf den Seiten der Stabsstelle Arbeitssicherheit und Umweltschutz (Übersicht nur im RUB-Netz verfügbar, für den Zugriff außerhalb der RUB sind folgende Hinweise zu beachten.

Vernichtete Geräte sind ggfs. aus Inventarlisten zu entfernen.

Defekte Festplatten

Auch defekte Festplatten sind sicher zu vernichten. Daten auf defekten Festplatten sind unter Umständen noch zugänglich. Dell bietet für solche Datenträger die „Keep Your Harddrive“-Option, hier verbleibt bei einem Austausch die defekte Festplatte beim Besitzer. Weiterhin kann man als vorbeugende Maßnahme eine Festplatte von Beginn an verschlüsselt betreiben.

Das könnte Sie auch interessieren

Nach dem geltenden Datenschutzgesetz NRW sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist (z.B. wegen fehlender Zustimmung oder fehlender Rechtsgrundlage) oder ihre Kenntnis für die speichernde Stelle zur Aufgabenerfüllung nicht mehr erforderlich ist.

Löschkommandos, wie sie von Betriebssystemen bereitgestellt werden - z.B. del, rm oder Entgültig löschen, sind für sicheres Löschen nicht geeignet. Sie löschen in der Regel nicht den Datenbereich sondern nur Verweise innerhalb der Datenorganisation.

Tipps zu sicheren Methoden finden Sie beim BSI.

Die Richtlinie zu Aufbewahrung, Aussonderung, Archivierung und Vernichtung von Unterlagen (Serviceportal für Beschäftigte der RUB) setzt u.a. folgende Aufbewahrungsfristen fest:

  • 2 Jahre: schriftliche Prüfungsarbeiten (Klausuren, Hausarbeiten, Seminararbeiten, Modelle, künstlerische Arbeiten)
  • 5 Jahre: Prüfungsabschlussarbeiten, Protokolle und Vorlagen der/für Prüfungsausschüsse
  • 10 Jahre: Prüfungsakten, Listen von Prüfungs- und Studienleistungen, Bescheinigungen, Prüfungsniederschriften
  • 30 Jahre: Habilitations- und Promotionsverfahren
  • 50 Jahre: Zeugnisse und Urkunden (Zweitschriften)

Dauernd aufzubewahren sind Urkunden und Schriftgut mit grundsätzlicher Bedeutung, Sitzungsunterlagen/Protokolle zentraler Gremien und Gremien geschäftsführender Stellen auf Fakultätsebene, Wahlunterlagen und Liegenschaftsakten. Details regelt die Aufbewahrungrichtlinie.

Die von den Verwaltungsstellen produzierten Akten sind Eigentum der RUB. Abgeschlossene Akten sind für eine im Einzelnen bestimmte Dauer aufzubewahren. Nach Ablauf der Aufbewahrungsfristen dürfen sie nicht einfach vernichtet werden, sondern sind dem Universitätsarchiv zur Übernahme anzubieten. Kommt eine Übernahme in das Universitätsarchiv nicht zustande, so sind Akten datenschutzgerecht zu vernichten.

zur Startseite

Bildquellen: pixabay.com | INESby