Kostenlose Beratung!
Recht & Compliance

DIN 66399

Die DIN 66399 ist die deutsche Norm für die Vernichtung von Datenträgern in Papier- und elektronischer Form. Sie definiert drei Schutzklassen für den Schutzbedarf der Daten sowie sieben Sicherheitsstufen (P-1 bis P-7) für die maximale Partikelgröße nach der Vernichtung und ist die Referenz für die DSGVO-konforme Entsorgung von Akten nach dem Scannen.

Was regelt die DIN 66399?

Die DIN 66399 „Vernichtung von Datenträgern" ist die deutsche Norm, die seit 2012 die alte DIN 32757 abgelöst hat und festlegt, wie Datenträger mit personenbezogenen oder vertraulichen Inhalten so zerstört werden müssen, dass eine Rekonstruktion der Informationen ausgeschlossen oder nur mit unverhältnismäßigem Aufwand möglich ist. Sie richtet sich an Unternehmen, Behörden, Kanzleien und Dienstleister, die Papierakten, Datenträger oder Speichermedien entsorgen.

Die Norm gliedert sich in drei Teile:

  • Teil 1 – Grundlagen und Begriffe: Definiert Schutzklassen, Sicherheitsstufen und die grundlegende Systematik der Norm.
  • Teil 2 – Anforderungen an Vernichtungsgeräte: Legt fest, welche technischen Eigenschaften Vernichtungsmaschinen (Aktenvernichter, Schredder) je Sicherheitsstufe erfüllen müssen, etwa maximale Partikelgröße und Schnittart.
  • Teil 3 – Prozess der Datenträgervernichtung: Beschreibt organisatorische Anforderungen an den gesamten Vernichtungsprozess, von der Sammlung über den Transport bis zur eigentlichen Zerstörung, inklusive Zugriffsschutz und Dokumentation.

Für Unternehmen mit eigenem Vernichtungsgerät ist vor allem Teil 2 relevant, für Auftraggeber, die einen Scandienstleister mit der Vernichtung beauftragen, in erster Linie Teil 3, weil er die Anforderungen an den beauftragten Prozess definiert.

Welche drei Schutzklassen gibt es?

Die Norm ordnet Daten anhand ihres Schutzbedarfs einer von drei Schutzklassen zu. Die Einordnung liegt in der Verantwortung des Auftraggebers, nicht des Vernichtungsdienstleisters:

Schutzklasse Schutzbedarf Typische Beispiele
1 Normaler Schutzbedarf Interne Rundschreiben, allgemeine Geschäftsunterlagen ohne Personenbezug
2 Hoher Schutzbedarf Personenbezogene Daten, Mandantenunterlagen, Personalakten, Kundendaten
3 Sehr hoher Schutzbedarf Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO), Geheimhaltungspflichtige Unterlagen, Verschlusssachen

Ausschlaggebend für die Einstufung ist, welcher Schaden entstehen würde, wenn die Daten in falsche Hände gerieten – ein Bewertungsschritt, der eng mit dem unternehmenseigenen Löschkonzept verzahnt sein sollte.

Was bedeuten die Sicherheitsstufen P-1 bis P-7?

Für Papier definiert die DIN 66399 sieben Sicherheitsstufen, die sich in der maximal zulässigen Partikelgröße nach der Vernichtung unterscheiden:

Stufe Partikelgröße (max.) Typische Anwendung
P-1 12 mm Streifenbreite Allgemeine interne Unterlagen
P-2 6 mm Streifenbreite Interne Unterlagen mit geringem Schutzbedarf
P-3 320 mm² Fläche Vertrauliche Unterlagen
P-4 160 mm² Fläche Personenbezogene, besonders schutzwürdige Daten
P-5 30 mm² Fläche Daten mit sehr hohem Schutzbedarf
P-6 10 mm² Fläche Geheimhaltungsbedürftige Unterlagen
P-7 5 mm² Fläche Höchste Sicherheitsanforderungen, Staatsgeheimnisse

Je höher die Stufe, desto kleiner die Partikel und desto größer der Aufwand einer Rekonstruktion. Für andere Datenträgerarten definiert die Norm eigene Stufen-Skalen mit denselben Nummern, aber anderen physikalischen Maßeinheiten: optische Datenträger (O-1 bis O-7), Festplatten und magnetische Datenträger (H-1 bis H-5, F-1 bis F-7) sowie Halbleiterspeicher und elektronische Bauteile (E-1 bis E-4). Ein USB-Stick oder eine ausgemusterte Festplatte aus dem Archivsystem benötigt damit eine andere Vernichtungsklasse als Papierakten.

Welche Sicherheitsstufe passt zu welcher Schutzklasse?

Die Norm empfiehlt eine Zuordnung zwischen Schutzklasse und Sicherheitsstufe, die als praktische Orientierung dient, aber keine zwingende gesetzliche Vorgabe ist:

Schutzklasse Empfohlene Mindeststufe (Papier)
1 – Normaler Schutzbedarf P-1 bis P-2
2 – Hoher Schutzbedarf P-3 bis P-4
3 – Sehr hoher Schutzbedarf P-5 bis P-7

Für die meisten Anwendungsfälle in Kanzleien, Architekturbüros und Behörden – Mandanten-, Bau- und Personalakten mit Personenbezug – ist P-4 die praxisübliche Mindestanforderung. Bei besonders sensiblen Datenkategorien, etwa Gesundheits- oder Sozialdaten, ist eine höhere Stufe angemessen.

Wie hängt DIN 66399 mit der DSGVO und dem ersetzenden Scannen zusammen?

Die DSGVO schreibt in Art. 32 „geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten vor, ohne konkrete Verfahren zu benennen. Die DIN 66399 füllt diese Lücke für den Bereich der Datenträgervernichtung als anerkannter Stand der Technik: Wer sich bei der Aktenvernichtung an der Norm orientiert, kann im Streitfall belegen, dem Stand der Technik entsprochen zu haben. Umgekehrt ist die unkontrollierte Entsorgung personenbezogener Unterlagen im normalen Altpapier ein klassischer Verstoß gegen die Integritäts- und Vertraulichkeitspflicht der DSGVO und Bestandteil eines vollständigen Löschkonzepts.

Beim ersetzenden Scannen werden Papieroriginale digitalisiert und anschließend in aller Regel vernichtet, sofern keine Aufbewahrungspflicht im Original besteht. Genau an dieser Stelle wird die DIN 66399 praktisch relevant: Nach erfolgreicher Qualitätssicherung des Scans dürfen die Originale nicht einfach im Altpapiercontainer landen, sondern müssen entsprechend ihrer Schutzklasse fachgerecht vernichtet werden. Seriöse Scandienstleister integrieren diesen Schritt direkt in den Scanprozess: Nach dem Scan werden die Papierakten bis zur vereinbarten Sicherheitsstufe zerkleinert, oft direkt im gesicherten Betrieb des Dienstleisters, ohne dass sensible Originale zwischenzeitlich unkontrolliert gelagert werden.

Wie läuft die Einstufung in der Praxis ab, und welche Nachweispflicht besteht?

Unternehmen, die als Verantwortliche im Sinne der DSGVO personenbezogene Daten verarbeiten, sollten die Vernichtung von Datenträgern dokumentieren können. Üblich ist ein Vernichtungsprotokoll oder -zertifikat, das mindestens folgende Angaben enthält:

  1. Datum und Ort der Vernichtung
  2. Art und Menge des vernichteten Materials
  3. Angewandte Sicherheitsstufe nach DIN 66399
  4. Ausführende Person oder beauftragtes Unternehmen
  5. Bestätigung der ordnungsgemäßen Durchführung

Dieser Nachweis dient der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und ist bei einer Prüfung durch die Aufsichtsbehörde oder im Rahmen einer Revisionsprüfung vorzulegen. Wer die Vernichtung an einen externen Dienstleister auslagert, sollte die entsprechende Klausel im Auftragsverarbeitungsvertrag verankern und sich das Zertifikat je Vernichtungsvorgang aushändigen lassen.

Die Zuordnung eines Aktenbestands zu einer Schutzklasse ist zudem keine rein theoretische Übung, sondern sollte vor Beginn eines Digitalisierungs- oder Vernichtungsprojekts dokumentiert werden. In der Praxis hat sich folgendes Vorgehen bewährt:

  1. Dokumentarten sichten: Welche Aktentypen liegen vor – allgemeine Geschäftskorrespondenz, Personalakten, Mandantenakten, medizinische Unterlagen?
  2. Schutzbedarf bewerten: Welcher Schaden entstünde bei unbefugter Kenntnisnahme oder Rekonstruktion – wirtschaftlich, rechtlich, für die betroffenen Personen?
  3. Schutzklasse zuordnen: Anhand der Bewertung eine der drei Klassen festlegen, im Zweifel die höhere wählen.
  4. Sicherheitsstufe ableiten: Passende P-Stufe anhand der Empfehlungstabelle der Norm bestimmen und mit dem Vernichtungsdienstleister abstimmen.
  5. Vorgehen dokumentieren: Einstufung und Begründung schriftlich festhalten, damit sie bei einer späteren Prüfung nachvollziehbar bleibt.

Diese Einstufung liegt in der Verantwortung des Auftraggebers als datenschutzrechtlich Verantwortlichem, nicht des Vernichtungsunternehmens – der Dienstleister setzt die gewählte Stufe technisch um, trifft aber nicht die rechtliche Bewertung des Schutzbedarfs.

Welche Rolle spielt DIN 66399 im Zusammenspiel mit anderen Normen?

Die DIN 66399 steht nicht isoliert, sondern ergänzt andere Regelwerke, die im Digitalisierungsprozess greifen. Die GoBD und die dazugehörige Verfahrensdokumentation regeln, unter welchen Voraussetzungen Papieroriginale nach dem Scan überhaupt vernichtet werden dürfen; die DIN 66399 legt fest, wie diese Vernichtung technisch und organisatorisch auszuführen ist. Bei Dienstleistern, die zusätzlich nach ISO 27001 zertifiziert sind, ist die Datenträgervernichtung häufig bereits als Control im Rahmen des Informationssicherheits-Managementsystems abgebildet, etwa unter physischen Sicherheitsmaßnahmen. Für besonders beweiswerterhaltende Digitalisierungsprozesse im Behördenumfeld ergänzt zudem die technische Richtlinie BSI TR-RESISCAN die Anforderungen an den Gesamtprozess von Scan bis Vernichtung. In der Summe bildet die DIN 66399 den technischen Baustein für den letzten Schritt einer rechtssicheren Digitalisierungskette.

Fragen zur passenden Sicherheitsstufe für Ihren Aktenbestand beantworten wir über unsere Kontaktseite.

Häufige Fragen zu DIN 66399

Muss ich Papierakten nach dem Scannen zwingend nach DIN 66399 vernichten?+

Eine gesetzliche Pflicht zur Anwendung der Norm gibt es nicht direkt, sie ist aber der anerkannte Stand der Technik zur Umsetzung von Art. 32 DSGVO. Wer personenbezogene oder vertrauliche Daten einfach im Altpapier entsorgt, verstößt regelmäßig gegen die Pflicht zu angemessenen technischen und organisatorischen Maßnahmen.

Welche Sicherheitsstufe brauche ich für Mandanten- oder Personalakten?+

Für personenbezogene Daten mit hohem Schutzbedarf, etwa Mandanten-, Patienten- oder Personalakten, empfiehlt die Norm Schutzklasse 2 mit Sicherheitsstufe P-4. Bei besonders sensiblen Daten, etwa Sozial- oder Gesundheitsdaten mit hohem Missbrauchsrisiko, ist Schutzklasse 3 mit P-6 oder P-7 angemessen.

Reicht ein normaler Bürovernichter mit Streifenschnitt?+

Meist nicht. Klassische Bürovernichter mit Streifenschnitt erreichen häufig nur P-2, das entspricht Schutzklasse 1 und reicht für interne, nicht schutzwürdige Unterlagen. Für personenbezogene Geschäftsdaten ist mindestens P-4 mit Partikelschnitt nötig.

Brauche ich einen Nachweis über die Vernichtung?+

Als Unternehmen, das personenbezogene Daten verarbeitet, sollten Sie ein Vernichtungsprotokoll oder Zertifikat des Dienstleisters aufbewahren. Es dokumentiert Datum, Menge, Sicherheitsstufe und ausführende Stelle und dient als Nachweis der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Gilt DIN 66399 nur für Papier?+

Nein. Die Norm regelt auch die Vernichtung optischer Datenträger, Festplatten, Halbleiterspeicher und Filme, jeweils mit eigenen Sicherheitsstufen-Tabellen. Der bekannteste Teil betrifft Papier, weil er beim ersetzenden Scannen am häufigsten relevant wird.

Kann der Scandienstleister die Vernichtung gleich mit übernehmen?+

In der Praxis ist das der Regelfall: Der Dienstleister scannt die Akten und vernichtet die Originale anschließend nach der vereinbarten Sicherheitsstufe, meist inklusive Vernichtungsnachweis. Das vermeidet einen zusätzlichen Transport- und Lagerschritt für die Papieroriginale.

Rechtssicher digitalisieren?

Wir digitalisieren GoBD- und TR-RESISCAN-konform – inklusive Verfahrensdokumentation.

Zertifizierte Sicherheit für Ihre Daten

Unsere Zertifizierungen und Standards garantieren höchste Sicherheit bei der Digitalisierung Ihrer sensiblen Dokumente.

Über 15 Jahre Erfahrung
Lokaler Service in Augsburg
Vertrauenswürdige Referenzen