Nach einem Bericht der Westdeutschen Zeitung kam es am vergangenen Wochenende zu einer erheblichen Datenschutzpanne bei der Deutschen Bahn in Düsseldorf. Am Flughafen-Bahnhof standen vor dem Altpapiercontainer Kartons, die mit hunderten Arbeitnehmer- und Kundendaten gefüllt waren. Offensichtlich sollten diese entsorgt werden. Der Datenschutz blieb dabei jedoch außer Acht.
„Schichtprotokolle“ und „Umbuchungsaufträge“ für jedermann einsehbar

Von der Datenschutzpanne bei der Deutschen Bahn waren offensichtlich hunderte personenbezogene Daten von Kunden und Angestellten betroffen. In mehreren Kartons, unter anderem beschriftet mit „Schichtprotokolle“ und „Umbuchungsaufträge“, die ein Mitarbeiter offenbar achtlos vor den Altpapiercontainern am Flughafen-Bahnhof in Düsseldorf abgestellt hatte, waren zahlreiche Dokumente aus den Jahren 1999 bis 2004 enthalten.
Sie umfassten etwa Fahrpreisnacherhebungen oder Zahlungsaufforderungen. Da die Dokumente nicht geschreddert waren, war es so theoretisch jedem möglich, Einsicht in die teils sensiblen Unterlagen zu nehmen. Mittlerweile seien die Kartons jedoch wieder in Verwahrung genommen worden, um eine datenschutzkonforme Entsorgung zu ermöglichen.
Zu der Datenschutzpanne bei der Deutschen Bahn äußerte sich hiernach die Pressestelle des Unternehmens:
„Die Unterlagen wurden bereits am Sonntag, direkt nach Bekanntwerden des Sachverhalts, sichergestellt und werden am Hauptbahnhof gelagert. Somit ist eine ordnungsgemäße Vernichtung der Unterlagen gewährleistet. Soweit wir es nachvollziehen können, fehlen keine Unterlagen, so dass wir von einer vollständigen Entsorgung ausgehen. Die sichergestellten Unterlagen enthalten nach bisherigem Stand keine Informationen, die zu einem Risiko für Rechte und Freiheiten natürlicher Personen führen.“
So vermeiden Unternehmen eine Datenschutzpanne wie bei der Deutschen Bahn

Der Datenschutz endet nicht bei der Entsorgung von Unterlagen und Datenträgern. Stattdessen muss auch hier darauf geachtet werden, dass keine personenbezogenen Daten in die falschen Hände geraten oder für Unbefugte einsehbar sind. Eben dies blieb bei der jüngsten Datenschutzpanne bei der Deutschen Bahn offensichtlich außer Acht.
Das bedeutet: Datenträger und Akten müssen geschreddert oder in anderer Form unlesbar gemacht werden. Bei der Datenträger- und Aktenvernichtung sind dabei die Sicherheitsstufen nach DIN 66399 zu beachten. Es gibt insgesamt sieben Sicherheitsstufen. Welche zur Anwendung kommt, richtet sich nach der Sensibilität der betroffenen Datensätze. Folgende Schutzklassen werden dabei unterschieden:
- Schutzklasse 1 (Sicherheitsstufen 1-3): normaler Schutzbedarf für interne Daten (z. B. allgemeine Korrespondenzen, personalisierte Werbung, Kataloge, Notizen)
- Schutzklasse 2 (Sicherheitsstufen 3-5): hoher Schutzbedarf für vertrauliche Daten (z. B. Anfragen, Memos, Personaldaten, Bewerberdaten)
- Schutzklasse 3 (Sicherheitsstufen 4-7): sehr hoher Schutzbedarf für besonders geheime Daten (z. B. Mandanteninformationen, Patientendaten, Verschlusssachen)
Sicherheitsstufe | Daten | Grad der Vernichtung* a) Streifenschnitt b) Partikelschnitt |
---|---|---|
1 | allgemeines Schriftgut | a) max 12 mm Breite b) max. 1.000 mm² Fläche |
2 | interne, aber nicht besonders vertrauliche Daten | a) max. 6 mm Breite b) max. 400 mm² Fläche |
3 | personenbezogene und vertrauliche Daten | a) max. 4 mm Breite b) max. 240 mm² Fläche (Länge max. 60 mm) |
4 | besondere Kategorien personenbezogener Daten | a) - b) max. 30 mm² Fläche (Länge max. 15 mm, Breite max. 2 mm) |
5 | Informationen, die der Geheimhaltung unterliegen | a) - b) max. 30 mm² Fläche alternativ: fein zerkleinerte Asche, Suspension, Lösung und Fasern |
6 | Hochsicherheitsdaten, die der Geheimhaltung unterliegen | a) - b) Cross Cut mit max. 10 mm² Fläche alternativ: fein zerkleinerte Asche, Suspension, Lösung und Fasern |
7 | Hochsicherheitsdaten, die der besonderen Geheimhaltung unterliegen (Top Secret) | a) - b) Cross Cut mit max. 5 mm² Fläche alternativ: fein zerkleinerte Asche, Suspension, Lösung und Fasern |
* Angaben bezogen auf Informationsdarstellung in Originalgröße (Papier, Film, Druck), bei anderen Datenträgerarten (z. B. optische, magnetische, elektronische) sind andere Vorgaben zu beachten |
Achtung: Sind personenbezogene Daten betroffen, so ist bei der Vernichtung von Daten stets mindestens Sicherheitsstufe 3 vorgeschrieben.
Schreibe einen Kommentar