ISO 21964: Technische Anforderungen
Nachdem im ersten Teil die methodischen und begrifflichen Grundlagen definiert wurden, erläutert der zweite Abschnitt der ISO 21964 (DIN 66399) (ebenfalls im Oktober 2012 veröffentlicht) die konkreten technischen Anforderungen an Maschinen, die zur Vernichtung von Datenschutzmaterial zum Einsatz kommen.
Zudem wird auf zulässige Prüfmethoden nach DIN 19054 sowie DIN EN ISO 216 verwiesen, deren Vorgaben die ordnungsgemäße Auditierung und Zertifizierung der verwendeten Technik ermöglichen.
Grundsätzlich müssen die verwendeten Maschinen die für die jeweilige Materialart erforderliche Vernichtungsqualität, gemessen an der Größe der entstehenden Partikel zu erreichen. Auf rein mechanischer Ebene wird die Sicherheitsstufe durch Verwendung verschiedener Siebeinsätze erzielt, die die Größe der im Zerteilungswerk entstehenden Partikel beeinflussen. Hierzu ist für die vorgenannten Sicherheitsstufen jeweils eine Normgröße sowie eine Toleranzgröße definiert, wobei der Anteil Vernichtungspartikel, deren Größe die Normgröße übersteigt und höchstens die Toleranzgröße erreichen darf, 10 % der gesamten Vernichtungsmenge beträgt.
Die Materialarten sind wie folgt definiert:
| Kategorie | Beschreibung |
|---|---|
| P | Informationsdarstellung in Originalgröße, z.B. Papier, Druckformen etc. |
| F | Verkleinerte Informationsdarstellung, z.B. Microfiche, Folien etc. |
| O | Informationsdarstellung auf optischen Datenträgern, z.B. CDs, DVDs oder BluRay-Discs |
| T | Informationsdarstellung auf magnetischen Datenträgern, z.B. Disketten, ID-Karten etc. |
| H | Informationsdarstellung auf Festplatten mit magnetischem Datenträger |
| E | Informationsdarstellung auf elektronischem Datenträger, z.B. USB-Sticks, Chipkarten etc. |
Diese verschiedenen Materialarten weisen unterschiedliche Größenanforderungen für die jeweiligen Sicherheitsstufen auf. Am Beispiel der Kategorie P für z.B. Papierakten stellt sich dies wie folgt dar:
| Sicherheitsstufe | Zulässige Normgröße | Zulässige Toleranzgröße (max. 10%) |
|---|---|---|
| P-1 | 2000 mm² | 3800 mm² |
| P-2 | 800 mm² | 2000 mm² |
| P-3 | 320 mm² | 800 mm² |
| P-4 | 160 mm² | 480 mm² |
| P-5 | 30 mm² | 90 mm² |
| P-6 | 10 mm² | 30 mm² |
| P-7 | 5 mm² oder zu Asche zerkleinert mit max mm² | keine |
Für die Vernichtung von Festplatten sind andere Anforderungen an die verschiedenen Sicherheitsstufen definiert:
| Sicherheitsstufe | Anforderung | Zulässige Normgröße | Zulässige Toleranzgröße (max. 10%) |
|---|---|---|---|
| H-1 | Datenträger mechanisch oder elektronisch funktionsuntüchtig gemacht | Zerteilung nicht erforderlich | |
| H-2 | Datenträger beschädigt | Zerteilung nicht erforderlich | |
| H-3 | Datenträger verformt | Zerteilung nicht erforderlich | |
| H-4 | Datenträger mehrfach verformt und/oder zerteilt | 2000 mm² | 3800 mm² |
| H-5 | Datenträger mehrfach verformt und/oder zerteilt | 320 mm² | 800 mm² |
| H-6 | Datenträger mehrfach verformt und/oder zerteilt | 10 mm² | 30 mm² |
| H-7 | Datenträger mehrfach verformt und/oder zerteilt ODER über Curie-Temperatur* erhitzt | 5 mm² oder zu Asche zerkleinert mit max. 5 mm² | keine |
Die verwendete Maschine muss geeignet sein, die Vernichtung des Materials vollständig gemäß der Anforderungen durchzuführen, und die vollständige Vernichtung des Materials muss kontrollierbar sein. Neben der konkreten technischen Vorgaben umfasst der zweite Teil der ISO 21964 (DIN 66399) (in den Kapiteln 5-7) auch formelle Anforderungen an die Prüfkriterien wie Umweltbedingungen, zu verwendendes Mustermaterial, Durchsatzleistung der Maschine sowie formale Anforderungen an Prüfmethodik und Prüfdokumentation.
