Was ist ein Vernichtungszertifikat?

Ein Vernichtungszertifikat ist ein Dokument, das ein Entsorgungs- oder Datenvernichtungsdienstleister ausstellt und bestätigt, dass bestimmte Assets, Datenträger oder Aufzeichnungen vernichtet wurden - was vernichtet wurde, wann, wo, mit welcher Methode und von wem. Für ausgemusterte IT-Geräte ist es der Nachweis, der den Kreis schließt: Das Gerät hat nicht nur das Gebäude verlassen, seine Daten wurden nachweislich unwiederbringlich gemacht, bevor es in den Elektroschrott gelangte.

Was ein Vernichtungszertifikat enthalten sollte

Ein Zertifikat, das sich zum Ablegen lohnt, listet:

• Den Dienstleister - rechtlicher Name, Akkreditierungen und Kontaktdaten.
• Ihre Organisation - damit das Dokument Jahre später für sich steht.
• Datum und Ort der Vernichtung, und ob sie bei Ihnen vor Ort oder in der Anlage des Dienstleisters stattfand.
• Die Methode - Schreddern, Entmagnetisierung, sicheres Löschen, Verbrennung. „Vernichtet” ohne Methode ist eine schwache Behauptung.
• Eine aufgeschlüsselte Liste - jedes Gerät oder Laufwerk identifiziert per Seriennummer oder Asset-ID. Das ist der Teil, der das Zertifikat mit Ihrem Register abgleichbar macht.
• Eine eindeutige Zertifikatsnummer und eine autorisierte Unterschrift, dazu ein Verweis auf die Nachweiskette für die Lücke zwischen Abholung und Vernichtung.

Wer stellt eines aus, und wann

IT-Asset-Disposition-Unternehmen (ITAD), Schredderdienste und Elektronik-Recycler stellen die Zertifikate nach durchgeführter Vernichtung aus. Manche bieten eine Vor-Ort-Vernichtung an - Datenträger werden in einer mobilen Einheit direkt bei Ihnen geschreddert -, was die Lücke in der Verwahrung ganz beseitigt; andernfalls sollte das Zertifikat die Geräte von der Übergabe bis zur Vernichtung lückenlos abdecken.

Warum es wichtig ist

Das Datenschutzrecht baut auf Rechenschaftspflicht: Nach der DSGVO genügt es nicht, personenbezogene Daten ordnungsgemäß entsorgt zu haben - Sie müssen es nachweisen können. Ein Vernichtungszertifikat ist genau dieser Nachweis für Hardware. Es ist auch das, wonach ein Prüfer fragt, wenn Ihr Register Geräte als entsorgt ausweist, was ein Versicherer nach einer Räumung verlangen kann - und der Unterschied zwischen „wir glauben, der Recycler hat das erledigt” und einem echten Beleg.

Häufige Lücken, auf die zu achten ist

• Keine Seriennummern - ein Zertifikat über „1 Palette, ca. 200 kg” kann keinen bestimmten Datenträger als vernichtet belegen.
• Zertifikat und Register stimmen nicht überein - die Seriennummern auf dem Zertifikat sollten gegen die übergebenen Assets abgehakt werden; nicht zuzuordnende Stücke müssen nachverfolgt werden, was einem kleinen Asset-Abgleich gleichkommt.
• In jemandes Postfach versickert - ein Zertifikat, das zum Audit-Zeitpunkt nicht auffindbar ist, existiert praktisch nicht.
• Abgeholt, aber nie bestätigt - ein Abholnachweis ist keine Vernichtung; nachfassen, bis das Zertifikat tatsächlich eintrifft.

Vernichtungszertifikate in der Praxis

Die Gewohnheit, die hält: Wenn Smartphones, Laptops oder Laufwerke ausgemustert werden, wird die Charge per Seriennummer gelistet, an den Dienstleister übergeben, und jeder Asset-Datensatz wird erst geschlossen, wenn seine Seriennummer auf dem zurückgegebenen Zertifikat erscheint. In AMPthilly kann das Zertifikat als Dokument an jedem ausgemusterten Asset angehängt werden, sodass der Audit-Trail die vollständige Geschichte zeigt - letzter Inhaber, Ausmusterungsdatum und Vernichtungsnachweis - auf einem Datensatz.

Verwandte Begriffe

• Elektroschrott - der Entsorgungsweg, in den vernichtete Geräte gelangen
• WEEE-Richtlinie - die EU-Regeln zum Recycling elektrischer Geräte (in Deutschland das ElektroG)
• Audit-Trail - die protokollierte Historie, in die ein Zertifikat passt
• Asset-Abgleich - die Seriennummern des Zertifikats mit den Register-Datensätzen abgleichen
• Körperliche Inventur - die Prüfung, die Geräte findet, die auf ihre Entsorgung warten