NIS2 und ISO 21964: Neuer Rechtsrahmen für Datenvernichtung tritt in Kraft

Ab sofort ist die sichere Vernichtung von Datenträgern Chefsache und unterliegt verschärften internationalen Normen. Für rund 29.000 Unternehmen in Deutschland endet mit dem Jahreswechsel die Schonfrist.

Die Rückkehr an die Schreibtische nach den Feiertagen bringt für deutsche Unternehmen eine neue regulatorische Realität mit sich. Die Umsetzung der EU-Richtlinie NIS2 in nationales Recht und der verbindliche Wechsel von der nationalen DIN 66399 zur internationalen Norm ISO/IEC 21964 haben die Latte für Datensicherheit deutlich höher gelegt. Die Entsorgung von Festplatten, Servern und USB-Sticks ist kein Thema der Abfallwirtschaft mehr, sondern ein zentraler Baustein des Cybersicherheits-Risikomanagements – mit direkter Haftung für Geschäftsführer und Vorstände.

Bereits in den ersten Januartagen zeichnet sich die Konsequenz ab: Dienstleister von Kassel bis München haben ihre zertifizierten Vernichtungsdienste hochgefahren. Sie rechnen mit einer Nachfragewelle, jetzt da die „NIS2-Ära” offiziell begonnen hat.

Viele Unternehmen sind auf die neuen Sicherheitsanforderungen 2026 nicht vorbereitet – und NIS2 verschärft jetzt die Nachweispflichten. Ein kostenloses E‑Book erklärt kompakt, welche organisatorischen und technischen Maßnahmen Geschäftsführer jetzt umsetzen müssen (inkl. Checklisten für Audit‑Nachweise und Prozessdokumentation). Praxisnah und verständlich — ideal für Entscheider, die Haftungsrisiken minimieren wollen. Kostenlosen Cyber‑Security‑Leitfaden herunterladen

NIS2: Der Treiber für neue Sicherheitsprotokolle

Der wichtigste Impulsgeber ist das deutsche NIS2-Umsetzungsgesetz. Der Fokus der Richtlinie liegt zwar auf der Widerstandsfähigkeit kritischer Infrastrukturen, doch ihr Geltungsbereich wurde massiv ausgeweitet. Er umfasst nun „wichtige” und „essenzielle” Einrichtungen in 18 Sektoren – von der Fertigungsindustrie über die Abfallwirtschaft bis zu digitalen Diensteanbietern.

Unter NIS2 wird die Datenvernichtung als Kernelement der Lieferketten-Sicherheit und der Cyber-Hygiene eingestuft. Im Gegensatz zum früheren IT-Sicherheitsgesetz schreibt NIS2 explizit vor, dass Organisationen Risiken über den gesamten Lebenszyklus ihrer Assets managen müssen. Eine Festplatte, die den Serverraum zur Vernichtung verlässt, unterliegt damit derselben Prüfung wie das aktive Netzwerk selbst.

Rechtsexperten betonen: Die Anforderung des „Standes der Technik” in NIS2 schreibt faktisch die Nutzung der höchsten verfügbaren Standards für die Datenlöschung vor. Vage interne Richtlinien zum „Wipen” von Laufwerken sind damit nicht mehr haltbar. Unternehmen müssen nun revisionssichere Nachweise führen, dass Datenträger nach zertifizierten Prozessen unwiederbringlich zerstört oder bereinigt wurden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält erweiterte Aufsichtsbefugnisse und agiert als eine Art „Cyber-TÜV”, der Audits durchführen und Nachweise für konforme Entsorgungsketten verlangen kann.

Vom deutschen DIN zur internationalen ISO-Norm

Über ein Jahrzehnt lang war DIN 66399 der Goldstandard für Datenvernichtung in Deutschland. 2026 markiert nun die endgültige Ablösung durch ihren internationalen Nachfolger ISO/IEC 21964. Während die DIN-Norm mit ihren Schutzklassen und Sicherheitsstufen die Grundlage legte, erfordern globalisierte IT-Lieferketten nun den ISO-Standard. Er ist zum Maßstab für NIS2-Compliance-Audits geworden.

Die ISO-Norm übernimmt zwar die Struktur der deutschen Vorlage – mit drei Schutzklassen und sieben Sicherheitsstufen (P-1 bis P-7 für Papier, H-1 bis H-7 für Festplatten) – doch ihre Anwendung ist strenger. Der Status „zurückgezogen” für die alten DIN-Teile in Normenportalen signalisiert Prüfern eindeutig, dass nun die internationale Version erwartet wird.

Entscheidend ist der stärkere Fokus auf den Prozess der Vernichtung (Teil 3 der Norm), nicht nur auf die Maschinentechnik (Teil 2). Es reicht also nicht mehr aus, einfach einen Schredder mit der richtigen Sicherheitsstufe zu besitzen. Organisationen müssen die gesamte Chain of Custody dokumentieren: vom Zeitpunkt der Außerbetriebnahme eines Datenträgers bis zu seiner finalen physischen Zerstörung. Diese Verfahrensstrenge soll Sicherheitslücken schließen, bei denen „sichere” Laufwerke früher auf dem Transport zur Entsorgung verloren gingen oder gestohlen wurden.

Die technische Herausforderung: SSDs und Flash-Speicher

Ein besonderer technischer Fokus der neuen Standards liegt auf der Behandlung von Solid-State-Drives (SSDs) und Flash-Speichern. Im Gegensatz zu traditionellen magnetischen Festplatten (HDDs), die oft sicher entmagnetisiert werden konnten, benötigen SSDs andere Zerstörungsmethoden, um Daten unwiederherstellbar zu machen.

Technikexperten warnen: Standard-Entmagnetisierer sind bei SSDs, USB-Sticks und SD-Karten wirkungslos, da diese Geräte integrierte Schaltkreise statt magnetischer Platten zur Datenspeicherung nutzen. Für die Compliance 2026 erfordert die mechanische Zerstörung dieser Geräte viel feinere Partikelgrößen als bisher akzeptiert. Unter Hochsicherheitsanforderungen (Schutzklasse 3) müssen SSDs zu Partikeln geschreddert werden, die klein genug sind, um einzelne Speicherchips zu zerstören – oft sind Partikelgrößen von 10 mm² oder weniger (Sicherheitsstufe E-4/E-5) nötig.

Aktuelle Ankündigungen von Dienstleistern wie ProCoReX belegen breite Investitionen in spezielle Hybrid-Schredder, die diese hochdichten Speichergeräte verarbeiten können. Dieses Equipment-Update spiegelt die Marktreaktion auf die neue Realität wider: Standard-Büroschredder oder einfache Bohrmethoden sind für modernen Flash-Speicher technisch unzureichend und erfüllen die vom BSI geforderten Kriterien des „Standes der Technik” nicht.

Persönliche Haftung für die Geschäftsführung

Die folgenreichste Änderung für 2026 ist die Eskalation der Verantwortung in die C-Suite. Im neuen Rechtsrahmen ist Cybersicherheit – einschließlich der physischen Datensicherheit und -vernichtung – zur „Chef-Sache” erklärt.

Das Gesetz verbietet ausdrücklich, die Haftung für das Cybersicherheits-Risikomanagement allein auf IT-Mitarbeiter oder externe Dienstleister abzuwälzen. Geschäftsführer und Vorstandsmitglieder können für grobe Fahrlässigkeit bei der Umsetzung dieser Sicherheitsmaßnahmen persönlich haftbar gemacht werden. Falls sensible Kundendaten von einem entsorgten Laptop auf einer Deponie geborgen werden – ein Szenario, das Unternehmen in der Vergangenheit verfolgte – treffen die rechtlichen Konsequenzen 2026 direkt die Führungsebene.

Diese Haftungsverschiebung hat bereits im frühen Januar eine Welle von „Entsorgungs-Audits” ausgelöst. Compliance-Beauftragte prüfen Verträge mit externen Entsorgungsfirmen. Der Fokus liegt darauf, sicherzustellen, dass Drittanbieter nicht nur zertifiziert sind, sondern auch vertraglich an die spezifischen Sicherheitsstufen (z.B. ISO/IEC 21964 Klasse 3) gebunden sind, die das Risikoprofil des Kunden erfordert.

Ausblick auf das Jahr 2026

Der Markt erwartet für 2026 eine Konsolidierung der Datenentsorgungsdienste. Kleinere, nicht zertifizierte Entsorger könnten den Markt für sichere Datenvernichtung verlassen, da sie den strengen Dokumentations- und Partikelgrößenanforderungen der ISO/IEC 21964 nicht gerecht werden.

Bis zum zweiten Quartal 2026 wird erwartet, dass das BSI spezifische Leitfäden für „sichere Löschung” veröffentlicht, die auf die neuen harmonisierten Standards verweisen und den Abschied von veralteten Methoden zementieren. Unternehmen wird geraten, das erste Quartal des Jahres für eine umfassende Inventur aller datentragenden Assets zu nutzen – inklusive Kopierer, Mobiltelefone und externe Festplatten – und ihre Entsorgungsrichtlinien explizit auf ISO/IEC 21964 zu aktualisieren.

Die Botschaft für 2026 ist eindeutig: Das physische Ende eines Gerätelebens ist nun genauso reguliert wie sein digitaler Beginn. Für deutsche Unternehmen ist rechtssichere Entsorgung keine Option mehr, sondern eine Voraussetzung für das Operieren in der digitalen Wirtschaft.

PS: Geschäftsführer aufgepasst — physische Datenträger sind 2026 Teil Ihres Cyber‑Risikomanagements. Dieses Gratis‑E‑Book zeigt, wie Sie Compliance‑Lücken schließen, Chain‑of‑Custody dokumentieren und Prüfungen des BSI souverän bestehen. Enthält sofort einsetzbare Maßnahmen, Vorlagen und Priorisierungen fürs erste Quartal. Jetzt kostenlosen Cyber‑Security‑Report anfordern