22. April 2002 bis Ende Juli
Akten- und Datenträgervernichtung Zentrale Nord GmbH
Herrn Wolf-Dieter Kruck
Faserstoffwerk Kronsburg
Op de Wipp
24796 Bredenbek
UIMCert GmbH
Prof. Dr. R. Voßbein
Moltkestr. 19
42115 Wuppertal
Datenschutzkonformes Verfahren der Vernichtung von Akten, elektronischen Datenträgern und Mikroformen nach §§ 5, 5 Abs. 1 Nr. 1, 6, 17 LDSG SH (Landesdatenschutzgesetz Schleswig-Holstein), §§ 9, 11 BDSG (Bundesdatenschutzgesetz) und Anlage (zu § 9 BDSG Satz 1) Ziffer 4 gemäß DIN 32757.
Es handelt sich bei dem betreffenden Produkt um ein automatisiertes Verfahren gem. § 1 DSAVO. Hierfür besteht eine Dokumentation, die den Verfahrenszweck, die Verfahrensbeschreibung, das Sicherheitskonzept sowie Tests und Freigabeverfahren enthält (§ 3 DSAVO). Das Verfahren ist zur Nutzung durch öffentlich Stellen geeignet.
Ist in diesem Projekt nicht relevant, da kein IT-Produkt sondern ein Verfahren
Vernichtung von Akten/Mikroformen gem. DIN 32 757 Sicherheitsstufe V aus von der AVZ Kunden zur Verfügung gestellten verschlossenen Containern.
Die Ergebnisanforderungen der DIN33858 werden auf Grund der physikalisch-chemischen Zerstörung der Informationsträger um ein Vielfaches übertroffen. Dies gilt insbesondere für die Vernichtung optischer Datenträger, die mit dieser Norm nicht erfasst werden können.
Die betreffenden Akten, Datenträger und Mikroformen werden in mit Sicherheitsschlössern verschlossenen Behältnissen vom Kunden gesammelt. Die Behältnisse werden verschlossen zum Vernichtungszentrum transportiert, dann werden die Behältnisse geöffnet und ohne Eingriffe durch Personen in die Vernichtungsanlage eingebracht. Eine Kenntnisnahme der Inhalte der Container ist durch technische Maßnahmen unterbunden.
Bei der Vernichtung der Akten, elektronischen Datenträgern und Mikroformen gelten folgende Rechtsgrundlagen:
- § 9 BDSG
- Anlage (zu § 9 BDSG Satz 1) Ziffer 4
- § 11 BDSG
- § 5 LDSG SH
- § 6 LDSG SH
- § 17 LDSG SH
- § 80 SGB X
Zusätzlich können in den jeweiligen Einsatzgebieten landes-/bereichsspezifische Spezialvorschriften gelten, die unter die genannten Generalnormen subsumiert werden können.
Die vorgenommene Art der Vernichtung ist geeignet, die Anforderungen der Gesetze und Vorschriften in optimaler Weise zu erfüllen bzw. zu übertreffen.
Bei diesem Projekt kann kein Datenfluss dargestellt werden, sondern es wird hier ein Arbeitsfluss sowie ein Dokumentenfluss dargestellt. Die jeweiligen Flüsse ergeben sich aus den Verfahrensabläufen.
Anforderungskatalog v 1.0a
Der Hauptprozess der Aktenvernichtung aus Containern ist grundsätzlich als ordnungsgemäß im Sinne der Datenschutzgesetzgebung zu bezeichnen, da es sich um ein geschlossenes Prozesssystem mit Vernichtung gem. DIN 32757 Sicherheitsstufe V handelt. Der in sich abgeschlossene Prozessverlust läuft in Bezug auf die datenschutzkonform Vernichtung der Akten ohne menschliche Eingriffe ab, da es sich entweder um verschlossene Container handelt oder aber automatisierte Transport- und Vernichtungsprozesse. Die organisatorischen Abläufe sind so gestaltet, dass sie ein umfassendes Kontroll- und Überwachungssystem beinhalten, dessen Qualität in Übereinstimmung mit den Forderungen der Datenschutzgesetzgebung steht. Vorhandene leichte orgnisatorische Schwächen wurden beseitigt.
Der Hauptprozess der Vernichtung von elektronischen/optoelektronischen Datenträgern und Mikroformen aus Containern ist ordnungsgemäß im Sinne der Datenschutzgesetzgebung, da es sich um ein geschlossenes Prozesssystem mit Vernichtung gem. DIN 32757 Sicherheitsstufe V (s. o.) handelt. Leichte festgestelle organisatorische Mängel wurden abgestellt. Besonders ist die qualitativ hochwertige Vernichtung hervorzuheben, deren Ergebnis die Anforderungen der Gesetze und Vorschriften sowie die der Norm deutlich übertrifft.
Zusammenfassend kann festgestellt werden, dass eine Zertifizierung "einschließlich der im Laufe des Verfahrens vorgenommenen Optimierung" erfolgen kann.
Das Verfahren fördert den Datenschutz durch eine sichere Vernichtung gem. DIN 32757 Sicherheitsstufe V von Akten, elektronischen Datenträgern und Microformen gem. §§ 5, 5 Abs. 1 Nr. 1, 6, 17 LDSG SH (Landesdatenschutzgesetz Schleswig-Holstein), §§ 9, 11 BDSG (Bundesdatenschutzgesetz) und Anlage (zu § 9 BDSG Satz 1) Ziffer 4, sowie ein mit der mechanischen Vernichtung einhergehendes sicheres Sammel-, Transport- und Einbringungsverfahrens in die Vernichtungsanlage. Es garantiert eine automatische, von menschlichen Eingriffen in die Prozessstruktur weitgehend freie Abwicklung des Sammel-, Transport- und Vernichtungsprozesses und verhinderten so wirkungsvoll eine der Datenschutzgesetzgebung nicht entsprechende Vernichtung von Datenträgern. Die Kontrollmaßnahmen des gesamten Verfahrens garantieren, dass der Datenschutz auch auf der organisatorischen Seite voll gewahrt ist. Das gesamte Verfahren kann als mustergültig für die betreffenden Prozesse gelten.
Die besondere Förderung des Datenschutzes liegt darin begründet, dass die in dem Verfahren vorgenommenen Vernichtungsprozesse irreversible sind und in ihrer Qualität die Forderungen der gängigen Norm deutlich übertreffen.
Hiermit bestätige ich, dass das oben genannte IT-Produkt den Rechtsvorschriften über den Datenschutz und die Datensicherheit entspricht.
Wuppertal, den 19.11.02 gez. Prof. Dr. R. Vossbein