8.3 Handhabung von Datenträgern

Grundlegend ist das Ablegen von Daten auf lokalen Datenträgern zu vermeiden.

8.3.1 Handhabung von Wechseldatenträgern

Die folgenden Richtlinien für die Handhabung von Wechselmedien müssen beachtet werden:

a) nicht mehr benötigte Inhalte auf wiederverwendbaren Datenträgern, welche vorgesehen sind, aus der Organisation entfernt zu werden, sollten so gelöscht werden, dass sie nicht wiederherstellbar sind.

b) sämtliche Datenträger sollten in einer sicheren und abgesicherten Umgebung aufbewahrt werden, die den Herstellerspezifikationen entspricht

c) um die Vertraulichkeit oder Integrität sicher zu stellen, müssen Daten auf Wechselmedien mittels Verschlüsselungsverfahren geschützt werden

d) um das Risiko des Verlusts noch benötigter Daten aufgrund von Medienalterung zu mindern, sollten die Daten auf neue Datenträger umgespeichert werden, bevor diese unlesbar werden

e) von besonders wichtigen Daten sollten Kopien auf separaten Datenträgern erstellt werden, um das Risiko eines Datenfehlers oder -verlusts weiter zu verringern

f) zur Begrenzung der Gefahr eines Datenverlusts sollte eine Registrierung der Wechselmedien in Betracht gezogen werden

g) die Verwendung von Wechsellaufwerken sollte nur dann ermöglicht werden, wenn es dafür geschäftliche Gründe gibt

h) falls eine Notwendigkeit zur Verwendung von Wechseldatenträgern besteht, sollte die Übertragung von Daten auf diese Datenträger überwacht werden.
Die Überwachung wird dokumentiert, und die Verantwortlichen stellen sicher, dass die Datenübertragung den Sicherheitsrichtlinien entspricht.

8.3.2 Entsorgung von Datenträgern

Nicht mehr benötigte Datenträger müssen sicher und unter Anwendung folgenden Gesichtspunkte entsorgt werden.

Die Verfahrensweisen zur sicheren Entsorgung von Datenträgern, die vertrauliche Informationen enthalten, sollten der Sensibilität dieser Daten Rechnung tragen. Die folgenden Punkte sollten dabei berücksichtigt werden:

• Datenträger, die vertrauliche Daten enthalten, sollten sicher gelagert und sicher entsorgt werden, z. B. durch Verbrennung oder Schreddern oder durch Löschung der Daten.

• Für Datenträger in Papierform sind hierfür entsprechend zertifizierte Schredder zu verwenden.

• Bei elektronischen Datenträgern sind die Daten zu löschen und dann die Datenträger einem zertifizierten Dienstleister, der angemessene Sicherheitsmaßnahmen und Erfahrung vorweisen kann, zur Vernichtung zu übergeben.

• Jede Löschung muss protokolliert werden. Über die Löschung ist ein Löschprotokoll anzufertigen, welches beinhaltet wer wann was wie gelöscht hat. Diese Protokolle werden mindestens 3 Jahre aufbewahrt.
  Die Protokolle werden regelmäßig überprüft, um sicherzustellen, dass die Entsorgung den Sicherheitsanforderungen entspricht.

Entsprechende Löschprotokolle liegen in der Datenschutzdatenbank bereit und werden hier abgelegt.

8.3.3 Transport von Datenträgern

Datenträger, die Information enthalten, sollten während des Transports vor unbefugtem Zugriff, Missbrauch oder Verfälschung geschützt werden.

Die folgenden Leitfäden sollten berücksichtigt werden, um Datenträger mit Information während des Transportes zu schützen:

• Es sollten zuverlässige Transport- bzw. Kurierdienstleister beauftragt werden.

• Die Verpackung sollte ausreichend sein, um die Inhalte vor physischen Beschädigungen zu schützen, zu denen es während des Transports kommen kann, und den Spezifikationen des Herstellers entsprechen, zum Beispiel was den Schutz vor Umweltfaktoren wie Hitze, Feuchtigkeit oder elektromagnetischen Feldern betrifft, welche die Wiederherstellungsfähigkeit der Datenträger herabsetzen können.

• Es muss ein Protokoll geführt werden, aus dem der Inhalt der Datenträger, die angewendeten Schutzmaßnahmen sowie die Transferzeiten zu den Transportwächtern und die Entgegennahme am Bestimmungsort hervorgehen.
  Die Protokolle werden regelmäßig überprüft, um sicherzustellen, dass der Transport sicher und nachvollziehbar ist.