Beim Vernichten von Datenträgern müssen bestimmte Anforderungen berücksichtigt werden. Welche genau, wird in der DIN 66399 beschrieben, welche im August 2018 in die internationale Norm ISO/IEC 21964 übernommen wurde.
Sobald sich personenbezogene Daten auf einem Datenträger befinden, fällt dessen Vernichtung in den Anwendungsbereich der Datenschutzgrundverordnung (vgl. Art. 4 Nr. 2 DSGVO). Die Vernichtung ist daher eine technisch-organisatorische Maßnahme, um die Datensicherheit zu gewährleisten.
Die DIN-Norm 66399 „Büro- und Datentechnik – Vernichten von Datenträgern“ wurde im Oktober 2012 veröffentlicht. Hiermit wurde vom zuständigen DIN-Ausschuss ein Standard erarbeitet, der den Stand der Technik in der Vernichtung von Datenträgern abbildet. In der DIN 66399 werden ganzheitliche Ansätze verfolgt, es werden Grundlagen, Begriffe (Teil 1, geschrieben DIN 66399-1) sowie die Anforderung an die Maschinen zur Vernichtung von Datenträgern (Teil 2, geschrieben DIN 66399-2), benannt. Ebenso wird ein sicherer Prozess der Datenträgervernichtung (Teil 3, geschrieben DIN 66399-3) beschrieben.
Die DIN 66399 empfiehlt, die speichernden Datenträger hinsichtlich des Schutzbedarfs wie folgt zu klassifizieren:
- Schutzklasse 1 (Normaler Schutzbedarf): Die unrechtmäßige Verarbeitung der personenbezogenen Daten beeinträchtigt die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Die Schadensauswirkungen sind begrenzt und relativ leicht durch eigene Aktivitäten des Betroffenen zu heilen.
- Schutzklasse 2 (Hoher Schutzbedarf): Die unrechtmäßige Verarbeitung der personenbezogenen Daten beeinträchtigt erheblich die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Die Schadensauswirkungen sind beträchtlich („Ansehen“).
- Schutzklasse 3 (Sehr hoher Schutzbedarf): Die unrechtmäßige Verarbeitung der personenbezogenen Daten gefährdet Leib und Leben oder die Freiheit des Betroffenen. Die Schadensauswirkungen nehmen existenzielles, bedrohliches, katastrophales Ausmaß an („Existenz“).
Die DIN 66399 empfiehlt, Datenträger bestimmter Schutzklassen nach Sicherheitsstufen angemessen zu vernichten. Die Norm bestimmt für verschiedene Materialklassen (z. B. Papier, Mikrofilm oder Halbleiterspeicher) Grenzwerte der Teilchengröße (Partikelgröße), welche bei der Vernichtung des Datenträgers eingehalten werden müssen, um die Wiederherstellung von Informationen aus dem Restmaterial zu verhindern oder zumindest zu erschweren.