Die DIN 66399 regelt, wie Datenträger und Dokumente sicher vernichtet werden müssen. Wer personenbezogene Daten verarbeitet, ist zur ordnungsgemäßen Vernichtung verpflichtet — ein Verstoß kann hohe DSGVO-Bußgelder nach sich ziehen.
Was ist die DIN 66399?
Die DIN 66399 ist eine deutsche Norm, die 2012 die alte DIN 32757 ablöste. Sie definiert:
- 3 Schutzklassen — je nach Sensibilität der Daten
- 7 Sicherheitsstufen — je nach gefordertem Vernichtungsgrad
- 6 Materialklassen — für verschiedene Datenträger (Papier, Festplatten, CDs, etc.)
Die Kombination aus Schutzklasse und Sicherheitsstufe bestimmt, wie klein Dokumente geschreddert werden müssen.
Die 3 Schutzklassen
| Schutzklasse | Schutzbedarf | Beispiele |
|---|---|---|
| 1 | Normal | Interne Korrespondenz, Notizen, Kataloge |
| 2 | Hoch | Personalakten, Verträge, Steuerdaten, Angebote |
| 3 | Sehr hoch | Gesundheitsdaten, Mandantenakten, Regierungsdokumente |
Die 7 Sicherheitsstufen für Papier
Für die Materialklasse P (Papier) definiert die DIN 66399 folgende Sicherheitsstufen:
| Stufe | Partikelgröße | Schutzklasse | Anwendung |
|---|---|---|---|
| P-1 | ≤ 2.000 mm² | 1 | Allgemeine Unterlagen (Streifenschnitt 12mm) |
| P-2 | ≤ 800 mm² | 1 | Interne Dokumente (Streifenschnitt 6mm) |
| P-3 | ≤ 320 mm² | 1–2 | Sensible Daten (Partikelschnitt 4×80mm) |
| P-4 | ≤ 160 mm² | 2 | Personenbezogene Daten, Verträge, Personalakten |
| P-5 | ≤ 30 mm² | 2–3 | Hochsensible Daten (Partikelschnitt 2×15mm) |
| P-6 | ≤ 10 mm² | 3 | Geheime Dokumente |
| P-7 | ≤ 5 mm² | 3 | Streng geheime Dokumente |
Welche Sicherheitsstufe brauchen Sie?
Kanzleien und Anwälte
Mindestens P-4, empfohlen P-5: Mandantenakten enthalten besonders sensible Informationen. Die Anwaltsverschwiegenheit erfordert höchsten Datenschutz.
Arztpraxen und Gesundheitswesen
Mindestens P-5, empfohlen P-6: Gesundheitsdaten sind nach DSGVO Art. 9 besonders schützenswert. Hier gilt Schutzklasse 3.
Behörden und öffentliche Verwaltung
P-4 bis P-6: Je nach Vertraulichkeitsgrad der Dokumente. Für VS-Dokumente (Verschlusssachen) ist P-6 oder P-7 vorgeschrieben.
Normale Unternehmen
P-3 bis P-4: Personalakten, Verträge und Kundendaten erfordern mindestens P-4. Für allgemeine Geschäftskorrespondenz reicht P-3.
DSGVO und Aktenvernichtung
Die DSGVO schreibt keine konkrete Sicherheitsstufe vor, verlangt aber „geeignete technische und organisatorische Maßnahmen". In der Praxis bedeutet das:
- Personenbezogene Daten: Mindestens P-4
- Besondere Kategorien (Gesundheit, Religion, etc.): Mindestens P-5
- Dokumentation der Vernichtung (Vernichtungsprotokoll)
- Bei Dienstleistern: AV-Vertrag nach Art. 28 DSGVO
Selbst schreddern oder Dienstleister?
| Kriterium | Selbst schreddern | Dienstleister |
|---|---|---|
| Investition | 500–5.000 € für Schredder | Keine |
| Zeitaufwand | Hoch (manuell) | Gering (Abholung) |
| Sicherheitsstufe | Meist max. P-4 | Bis P-7 verfügbar |
| Zertifikat | Nein | Ja (Vernichtungsprotokoll) |
| Empfohlen bei | Kleinstmengen, täglich | Größere Mengen, periodisch |
Aktenvernichtung nach DIN 66399
Wir vernichten Ihre Dokumente zertifiziert nach Sicherheitsstufe P-4 bis P-6 — mit Vernichtungsprotokoll.
Mehr erfahrenFAQ zur DIN 66399
Ist die DIN 66399 gesetzlich vorgeschrieben?
Die Norm selbst ist nicht gesetzlich vorgeschrieben, aber die DSGVO verlangt „angemessene" Vernichtung. Die DIN 66399 definiert, was als angemessen gilt — und ist damit der akzeptierte Standard.
Wie lange müssen Dokumente aufbewahrt werden?
Das hängt von der Dokumentenart ab: Steuerunterlagen 10 Jahre, Geschäftskorrespondenz 6 Jahre, Personalakten bis 10 Jahre nach Ausscheiden. Mehr zu Aufbewahrungsfristen
Darf ich Dokumente vor dem Schreddern scannen?
Ja! Das nennt sich „Ersetzendes Scannen". Bei korrekter Umsetzung (nach BSI TR-RESISCAN) dürfen die Papieroriginale vernichtet werden.
Fazit
Die DIN 66399 bietet einen klaren Rahmen für die sichere Aktenvernichtung. Für die meisten Unternehmen ist Sicherheitsstufe P-4 der richtige Standard. Bei sensiblen Daten (Gesundheit, Mandantenakten) sollten Sie P-5 oder höher wählen.
Wichtig: Dokumentieren Sie die Vernichtung — im Zweifelsfall müssen Sie nachweisen können, dass Daten ordnungsgemäß beseitigt wurden.