Saki Nikaido

Servus, wie sieht die rechtliche Lage bei der Datenvernichtung genau aus? Vom "BSI IT-Grundschutz Kompendium 2018, CON.6 Löschen und Vernichten" bin ich nicht besonders schlau geworden. Auszug aus CON.6: "Für das Löschen und Vernichten SOLLTEN geeignete Verfahren ausgewählt werden. So SOLLTE es für verschiedene Datenträgerarten immer geeignete Geräte und Werkzeuge geben, mit denen der verantwortliche Mitarbeiter die gespeicherten Informationen löschen oder vernichten kann." Daten sollten also vorher klassifiziert werden und dementsprechend eine geeignete Löschmethode gewählt werden. Welche Verfahren sind denn "geeignet" bei z.B. einer HDD? Physisch zerstören geht oft, aber was ist geeignet bei z.B. Leasing Geräten die nicht zerstört werden dürfen? "ATA-Erase", "DoD 5220.22-M three-pass", "DoD 5220.22-M seven-pass", simples "dd if=/dev/urandom of=/dev/sdX", "shred /dev/sdX" Welche Methoden sollte man für Daten in Schutzklasse 1 (normaler Schutzbedarf für interne Daten), Schutzklasse 2 (hoher Schutzbedarf für vertrauliche Daten) und Schutzklasse 3 (sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten) wählen? Wie sieht das in der Praxis aus?