Kurzgutachten. Aktenvernichtungsverfahren Mobiler Schredder der Firma Rhenus Data Office GmbH



Ähnliche Dokumente
Vernichtung von Datenträgern mit personenbezogenen Daten

Kurzgutachten zur Zertifizierung des Aktenvernichtungsverfahren der Fa. Shred-it GmbH nach DSAVO S/H

Kurzgutachten. Aktenvernichtungsverfahren des Landesvereins für Innere Mission in Schleswig-Holstein. Eiderheim

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Gutachten zur Re-Zertifizierung des IT-Produkts Dokumentenprüfer ALDO L Check 4U3, Hardware Release 01 / Software im Auftrag der 4U GmbH

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Überprüfung der digital signierten E-Rechnung

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Kurzgutachten. Zeitpunkt der Prüfung. 01. Dezember September 2010

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Sichere Löschung von Datenträgern Prozesse und Technologien it-sa, Nürnberg

Facebook und Datenschutz Geht das überhaupt?

Wir entsorgen Ihre sensiblen Daten Zertifiziert, sicher und umweltgerecht

Kurzgutachten zur Rezertifizierung des Aktenvernichtungsverfahrens Mobiler Shredder der Firma Rhenus Data Office GmbH nach DSAVO Schleswig-Holstein

GeoPilot (Android) die App

Moderne Behandlung des Grauen Stars

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Kurzgutachten. Zeitpunkt der Prüfung bis

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Schule

Bestandskauf und Datenschutz?

Öffnung dienstlicher E Mailfächer Wann darf der Arbeitsgeber tätig werden?

Angebot. UVV-Prüfungen und Wartungen von mobilen Abfallpressen

Einführung in die Datenerfassung und in den Datenschutz

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Angebot. UVV-Prüfungen und Wartungen von mobilen Abfallpressen

Lehrer: Kurs wiederherstellen

BSI Technische Richtlinie

Datenschutz eine Einführung. Malte Schunke

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

D i e n s t e D r i t t e r a u f We b s i t e s

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

... - nachstehend Auftraggeber genannt nachstehend Auftragnehmer genannt

Rechtliche Aspekte der Energieberatung

Anlage zur Auftragsdatenverarbeitung

Wholesale und FTTH. Handbuch Abrechnung 1/5. Ausgabedatum Ersetzt Version 2-0. Swisscom (Schweiz) AG CH-3050 Bern

Tevalo Handbuch v 1.1 vom

Die integrierte Zeiterfassung. Das innovative Softwarekonzept

IntelliRestore Seedload und Notfallwiederherstellung

Xesar. Die vielfältige Sicherheitslösung

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Mit der in Windows Vista integrierten Firewall Schützen Sie Ihren Computer gegen Angriffe aus dem Internet.

GFAhnen Datensicherung und Datenaustausch

Vollzug des Bayerischen Datenschutzgesetzes (BayDSG)

Tag des Datenschutzes

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Umstellung Ihrer Mailbox von POP zu IMAP

Informationssicherheit als Outsourcing Kandidat

Verifizierung neuer bzw. geänderter -adressen in den Anwender- und/oder Benutzerstammdaten

Online Newsletter III

Monitoring-Service Anleitung

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

3. Stuttgarter Thementag Datenschutz & Compliance der Rhenus Office Systems GmbH

Datensicherheit. Datensicherheit. Datensicherheit. Datensicherheit

1 Einleitung. Lernziele. Symbolleiste für den Schnellzugriff anpassen. Notizenseiten drucken. eine Präsentation abwärtskompatibel speichern

Technisches und rechtliches Rezertifizierungs-Gutachten

Adressen der BA Leipzig

Datenschutzbeauftragten bestellt.

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Datensicherung. Beschreibung der Datensicherung

Verlagerung der Buchführung ins Ausland

3 ORDNER UND DATEIEN. 3.1 Ordner

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Lizenzen auschecken. Was ist zu tun?

Einkaufslisten verwalten. Tipps & Tricks

AZK 1- Freistil. Der Dialog "Arbeitszeitkonten" Grundsätzliches zum Dialog "Arbeitszeitkonten"

Informationen zur neuen DIN 66399

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Berechtigungsgruppen TimeSafe Leistungserfassung

Kurzanleitung Zugang Studenten zum BGS-Netzwerk (Mac) BGS - Bildungszentrum Gesundheit und Soziales Gürtelstrasse 42/ Chur

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Auftrag zum Fondswechsel

Subpostfächer und Vertretungen für Unternehmen

Beitrittsantrag ohne MIP-Zugang

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

Nutzung dieser Internetseite

Das digitale Klassenund Notizbuch

e-books aus der EBL-Datenbank

Gesetz zur Berufskraftfahrerqualifikation (BKrfFQG)

Datenschutzvereinbarung

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

Silca Software ERKLÄRUNG. February 2013 Copyright Silca S.p.A. V.2.0

ÖFFENTLICHES VERFAHRENSVERZEICHNIS FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN IM BEREICH DER KUNDENSYSTEME

GPP Projekte gemeinsam zum Erfolg führen

Die neue Datenträgervernichter DIN 66399

AirKey Das Handy ist der Schlüssel

EasyWk DAS Schwimmwettkampfprogramm

1. Einführung. 2. Weitere Konten anlegen

Kapitel I: Registrierung im Portal

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Benutzerverwaltung Business- & Company-Paket

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Transkript:

Kurzgutachten Aktenvernichtungsverfahren Mobiler Schredder der Firma Rhenus Data Office GmbH Zeitpunkt der Prüfung 03. September 2008 bis 25. September 2008, Inaugenscheinnahme der GDD-Broschüre und Berücksichtigung der Umfirmierung des Antragstellers im Juli 2009 Adresse des Antragstellers Rhenus Data Office GmbH (vormals REMONDIS DATA Office GmbH) Industriestraße 5 D-48301 Nottuln www.rhenus.com www.data-office.de Adresse der Sachverständigen Prüfstelle Mission 100 e.v. Stormsweg 3 22085 Hamburg Rechtlicher Gutachter: Michael J. Erner Wrangelstraße 118 20253 Hamburg Seite 1 von 8

Technischer Gutachter: Peer Reymann ITQS GmbH Scharpenmoor 67 Kurzbezeichnung Das Verfahren der Firma Rhenus dient der Akten- und Datenträgervernichtung durch Löschung im Sinne des 2 Abs. 2 Ziffer 5 des Schleswig-Holsteinischen Gesetzes zum Schutz personenbezogener Informationen (LDSG) und 3 Abs. 4 Ziffer 5 des Bundesdatenschutzgesetzes (BDSG). Das Verfahren erfüllt die Anforderungen an einen sicheren Löschungsprozess von Akten und Datenträgern. Das Gutachten beschreibt den Stand September 2008 und wurde im Juli 2009 im Hinblick auf die neu erschienene GDD- Broschüre Datenschutzgerechte Datenträgerentsorgung nach dem Stand der Technik ergänzt. Detaillierte Bezeichnung Das Verfahren basiert ausschließlich auf physikalischen Akten- und Datenträgervernichtungsfunktionalitäten. Rhenus bietet im Rahmen einer Auftragsdatenverarbeitung u. a. folgendes Verfahren an: Sammlung von Akten und Datenträgern (CD, DVD, Disketten) auch von Berufsgeheimnisträgern gem. 203 StGB in verschlossenen Spezialbehältern, Leerung der Behälter und Schreddern der Akten und/oder Datenträger beim Kunden vor Ort durch einen Rhenus-Mitarbeiter mit einem elektrisch betriebenen Schredder, der auf einem geschlossenen LKW montiert ist. Ergänzend kann der Rhenus-Mitarbeiter von einem autorisierten Mitarbeiter des Auftraggebers bei der Einsammlung und Anlieferung bis zum LKW begleitet und der Vernichtungsprozess selbst beobachtet werden. Für die Sammlung der Akten und Datenträger werden dem Kunden Spezialbehälter - in vom Kunden gewünschter Anzahl - zur Verfügung gestellt. Diese Behälter sind stabile verschlossene Metallcontainer, zu denen jeweils der passende Schlüssel existiert. Die Behälter werden geöffnet und mit angehängtem Schlüssel an den Kunden übergeben. Der Kunde entnimmt den Schlüssel aus dem Schloss, hängt diesen an einen Schlüsselhaken innerhalb des Behälters und verschließt diesen (Schnappschloss). Alternativ kann der Kunde den zum Behälter gehörenden Schlüssel an sicherer Stelle verwahren, um im Bedarfsfall (der die Ausnahme bleiben sollte, wenn z. B. unbeabsichtigt Material in den Container entsorgt Seite 2 von 8

wurde) auf das zu vernichtende Material zugreifen zu können. Die am Container angebrachte Schließung ist exklusiv für Rhenus gefertigt worden, so dass eine Öffnung mit Schlüsseln anderer Anbieter ausgeschlossen ist. Die Container sind je nach Bedarf in zwei Größen lieferbar, so dass eine Aufstellung direkt am Arbeitsplatz möglich ist. Die Transportbehälter haben in der oberen Abdeckplatte einen Einwurfschlitz, der groß genug ist, um auch Disketten, CDs oder gebundene Akten aufzunehmen. Durch einen Durchgreifschutz unterhalb der Öffnung wird sichergestellt, dass einmal hineingeworfene Akten und Datenträger nicht mehr ohne Aufschließen des Transportbehälters herauszunehmen sind. Die Behälter benötigen keinen Innenbehälter. Auf Anforderung oder in vereinbarten regelmäßigen Abständen, fährt der spezielle Mobiler Schredder -LKW am Standort des Auftraggebers vor, um mittels des im LKW eingebauten Schredders die Akten- und/oder Datenträgervernichtung vor Ort durchzuführen. Der Rhenus-Mitarbeiter hängt die zu entleerenden Container in die Umfüllvorrichtung und betätigt den Hebemechanismus. Am Scheitelpunkt des Hebemechanismus wird der Behälter mittels eines Rhenus-spezifischen Druckluftverfahrens geöffnet und direkt in den Förderbereich des Schredders entleert. Beim Umfüllen werden drei wesentliche Punkte beachtet: - Der Mitarbeiter hat keinen Zugang zum Container bzw. dem ungeschredderten Material: Er verfügt über keinen Schlüssel, und der Einfüllstutzen befindet sich in mehr als 2,50 m Höhe über dem Boden, ist also ohne Leiter nicht erreichbar. Sämtliche Wartungszugänge sind nur mit Werkzeug zu öffnen, und eine Öffnung führt unmittelbar zum Notstop der Anlage. - Die Menge des eingegebenen Materials wird durch zwei unabhängige geeichte Wiegesysteme, hiervon eines mit einer Präzision von einem Kilogramm, erfasst. - Es besteht eine optische Kontrolle des erfolgreichen Umfüllvorganges: Durch die Besetzung des Fahrzeuges mit zwei Mitarbeitern ist eine Beaufsichtigung des LKW stets gegeben auch wenn ohnehin kein direkter Zugriff auf Materialien des Kunden gegeben ist. Als besonderes Sicherheitsmerkmal stellt sich hierbei dar, dass im Fall einer Selbstentzündung (Schwelbrand der feinen Papierstaubpartikel an heißen Maschinenteilen) eine im Fahrzeug fest installierte Sprinkleranlage durch einen außen am Fahrzeug angebrachten Standard-Löschwasseranschluss ohne Öffnung des Fahrzeuges aktiviert werden kann. Das untersuchte System Rhenus Mobiler Schredder basiert auf einem vom TÜV Nord typgeprüften Schreddersystem Vecoplan-VAZ 800 XL SP. Dieses System arbeitet mit einer messerbestückten Seite 3 von 8

rotierenden Walze, die durch entsprechende Gegenstücke am Gehäuse zu einem Zerreissen des Materials führt. Das aus dem Trichter zugeführte Material wird mittels eines Schiebers mit variabler Druckkraft an die Walzeneinheit geführt, so dass es zu einer stark unterschiedlichen Zerreißung des Materials kommt. Ein anschließendes Sieb lässt nur ausreichend zerkleinerte Materialien passieren; größere Stücke werden erneut in den Kreislauf befördert. Das geschredderte Material wird nach Durchmischung mittels einer Förderschnecke direkt auf die Ladefläche transportiert. Eine weitere Vermischung beginnt aufgrund des Auslasses in Bodennähe bereits bei niedrigem Füllungsgrad der Ladefläche durch den Walking Floor, indem das Schreddergut auf der Ladefläche ständig umgeschichtet wird. Das Gutachten des TÜV Nord vom 06. Juni 2007 bescheinigt diesem System durch die Kombination von Siebgröße (Schutzstufe 3) und anschließender mehrfacher Vermengung letztlich die Schutzstufe 4 der DIN 32757-1. Die Untersuchung der Basis-Schreddereinheit wurde mit Gutachten vom 29.01.1996 durch den TÜV Produktservice umfassend vorgenommen. Durch die anschließende Verwendung des Schreddermaterials aus dieser Schutzstufe als Rohstoff für das Papierrecycling ist eine irreversible Löschung der Daten gegeben. Als besonders datenschutzfreundlich stellt sich hierbei dar, dass die weitere Verarbeitung der geschredderten, vermengten und verpressten Materialien im Rahmen einer Auftragsdatenverarbeitung durch weitere Unternehmen der Rhenus-Gruppe erfolgt. Durch diese Kontrolle auch über den anschließenden Recylingprozess ist ein hohes Maß an Sicherheit gegeben. Nach alledem kann das Verfahren der Firma Rhenus auch im Kreis der Berufsgeheimnisträger (entsprechend 203 StGB; 80 Abs. 5 SGB X) als zulässige Auftragsdatenverarbeitung bejaht werden, da aufgrund der Natur des Verfahrens bei Begleitung des Verfahrens durch den Auftraggeber der Auftragnehmer a. keine Möglichkeit der Kenntnisnahme von Daten des Auftraggebers erlangt und b. das Verfahren die Anforderungen der Schutzstufe 4 der DIN 32757-1 erfüllt. Somit ist es für den Kunden möglich, die Anforderungen aus 17 LDSG und 11 BDSG zur Verantwortung für die Datenverarbeitung auch bei Beauftragung eines Dritten und zur Kontrolle der Maßnahmen beim Auftragnehmer, zu erfüllen. Seite 4 von 8

Tools, die zur Herstellung des IT-Produktes verwendet wurden Typgeprüfte Hardwarekomponenten (Schreddersystem Vecoplan-VAZ 800 XL SP), speziell für Rhenus gefertigte Schließung für die Container. Zweck und Einsatzbereich Der Zweck und Einsatzbereich des Verfahrens ist das Löschen von Daten im Sinne des 2 Abs. 2 Ziffer 5 LDSG und 3 Abs. 4 Ziffer 5 BDSG. Dies beinhaltet die Vernichtung von Akten in Papierform. Das Verfahren ist sowohl im öffentlichen als auch im nichtöffentlichen Bereich einsetzbar und eignet sich auch für die Vernichtung von Akten von Berufsgeheimnisträgern gem. 203 StGB, da eine Kenntnisnahme des zu vernichtenden Materials durch den Auftragsdatenverarbeiter Rhenus ausgeschlossen werden kann. Seite 5 von 8

Modellierung des Datenflusses Seite 6 von 8

Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde Anforderungskatalog Version 1.2 Zusammenfassung der Prüfungsergebnisse Zusammenfassend lässt sich das Verfahren von Rhenus als vorbildlich und transparent bewerten. Die zu vernichtenden (papierenen) Unterlagen, ggfs. mit Fremdstoffanteil (Aktenordner), werden direkt beim Auftraggeber geschreddert. Der Schreddervorgang kann durch den Auftraggeber beobachtet und überwacht werden, um eine unbefugte Kenntnisnahme der zu vernichtenden Akten und Datenträger auszuschließen. Entsprechende Arbeitsanweisungen sowie geschultes Personal von Rhenus unterstützen die sichere Vernichtung unter Einsatz des Schreddersystems VECOPLAN-VAZ 800 XL SP. Abhängig von der Größe der Durchlässe in der Siebeinheit am Ausgang des Schredders sind die Schutzstufen 3 (30 mm Siebeinheit) bzw. 4 (19mm oder 25 mm Siebeinheit) erreichbar. Bereits hier bestehen kaum Risiken einer Wiederherstellung der papierenen Datenträger. Durch die weiteren organisatorischen Rahmenbedingungen (Entleerung im geschlossenen Umladebereich direkt auf das Förderband der Ballenpresse, stoffliche Weiterverwertung durch Unternehmen der Rhenus-Gruppe) ist eine weitere Erhöhung der Sicherheit gegeben. Der Kunde selbst hat den notwendigen Schutzbedarf entsprechend seinen Anforderungen zu definieren. Die Schredder-LKW sind mit sicheren Verriegelungen und Vorrichtungen für kundeneigene Schlösser ausgestattet, so dass ein Diebstahl des geschredderten Materials nur mit erheblichem Aufwand möglich ist. Nachts sind die LKW auf einem verschlossenen Firmengelände abgestellt. Beschreibung, wie das IT-Produkt den Datenschutz fördert a.datenvermeidung und Datensparsamkeit Rhenus Mobiler Schredder ermöglicht dem Auftraggeber auf wirksame Art und Weise, eine datenschutzgerechte Löschung personenbezogener Daten zu erfüllen. Da einem Auftraggeber eine beliebige Anzahl Container zur Verfügung gestellt wird, ist es der verantwortlichen Stelle leicht möglich, die eigene Organisation der Entsorgung sensibler Akten und Datenträger so zu gestalten, dass an allen Arbeitsplätzen Möglichkeiten zur sicheren Entsorgung von zu vernichtenden Akten und Datenträgern vorhanden sind. Nach der Abholung und direkt im Anschluss an den abgeschlossenen Schreddervorgang erhält der Auftraggeber ein vom Rhenus-Mitarbeiter ausgefertigtes Protokoll über die Vernichtung. Die Seite 7 von 8

Vernichtung von Akten und Datenträgern erfolgt somit in nachvollziehbarer und durch den Auftraggeber in leicht kontrollierbarer Weise. b.datensicherheit und Revisionsfähigkeit Die Container der Firma Rhenus werden mit eigens für das Unternehmen gefertigten Schloss-Systemen geöffnet. Hierbei ist organisatorisch vorgesehen, dass nur der jeweilige Kunde einen Schlüssel zu dem jeweiligen Behälter erhält. Die Öffnung durch Rhenus ist nur automatisiert während des Umfüllvorganges im LKW möglich Nach- / Zweitschlüssel werden nach Auskunft der Betriebsleitung nicht vorgehalten. Gleichwohl ist nicht auszuschließen, dass durch mechanische Bearbeitung des Containers ein gewaltsames Eindringen erfolgen kann. Empfehlenswert ist daher, durch den Kunden zusätzliche Sicherungsmaßnahmen zu treffen, etwa durch Vermeidung der Aufstellung von Containern in Bereichen, die unbeobachtet sind, oder im Rahmen eines unternehmensweiten Zutrittsberechtigungskonzeptes von Unberechtigten eingesehen werden können. Anders als bei marktüblichen Verfahren, bei denen im Regelfall nur eine Abholung oder Umfüllung der Behälter vor Ort erfolgt, ist hier die (insbesondere bei Berufsgeheimnisträgern notwendige) Begleitung bis zum Abschluss der Vernichtung leicht vor Ort durchführbar. Eine weitergehende Überwachung etwa bis zum nächsten Standort der Firma Rhenus ist nicht erforderlich, da die Akten und Datenträger direkt nach dem Umfüllvorgang vor Ort endgültig vernichtet werden. Die notwendigen vom Kunden zu implementierenden organisatorischen Maßnahmen sind in einer zusammen mit der GDD e.v. entwickelten Broschüre Datenschutzgerechte Datenträgerentsorgung nach dem Stand der Technik aufgeführt, die als Anlage zum Vertrag jedem Kunden von Rhenus bei Auftragserteilung ausgehändigt wird. Die umfangreiche Mitwirkung der Firma Rhenus an der Erstellung und Fortschreibung der Broschüre unter der Ägide der GDD e.v. bringt zum Ausdruck, dass das Unternehmen ernsthaft an der Entwicklung und Fortschreibung qualitativ hochwertiger Entsorgungsmechanismen interessiert ist. Seite 8 von 8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback