Identifizieren von Datenspeichergeräten [Kern 6(a)(3)]

F. Gemäß Kernanforderung 6.(a)(3) muss eine R2-Einrichtung über einen dokumentierten Prozess zur „Identifizierung aller Datenspeichergeräte“ verfügen. Wie sollte eine R2-Einrichtung feststellen, ob ein Gerät über Datenspeicherfähigkeiten verfügt? Reicht die Überprüfung von Produktinformationen auf der Website eines Herstellers aus, um zu wissen, ob auf einem Gerät möglicherweise Daten vorhanden sind?

Während die Bestätigung der Datenspeicherspezifikationen durch den Produkthersteller ein nützliches Hilfsmittel sein kann, um die Datenspeicherfähigkeiten eines Geräts zu verstehen, sollten sich R2-Einrichtungen nicht ausschließlich auf diese Informationen verlassen.

R2-Einrichtungen müssen sich darüber im Klaren sein, dass verschiedene Geräte und sogar verschiedene Modelle desselben Geräts oft unterschiedliche Hardware- und Datenspeicherfähigkeiten haben können, die berücksichtigt werden müssen. Obwohl Informationen des Herstellers nützlich sein können, dürfen sie also nur auf die spezifischen Geräte angewendet werden, die von diesem Hersteller identifiziert wurden, und dürfen nicht weit über eine Gerätekategorie hinweg interpretiert werden. Es sollten die spezifischen Modelle, Versionen, Betriebssysteme oder andere Spezifikationen berücksichtigt werden, die von Gerät zu Gerät unterschiedlich sein können und daher zu anderen Datenbereinigungsanforderungen führen können.

Bei der Identifizierung von Datenträgern sind zwei wichtige Aspekte zu beachten. 

1. 1. Die erste ist, ob das Gerät selbst Daten enthalten kann und daher entweder eine physische oder eine logische Datenbereinigung erfordern würde. Und wenn das Gerät zur Wiederverwendung bestimmt ist, müsste es mit einer geeigneten Datenbereinigungssoftware gemäß Anhang B (10) logisch bereinigt werden.
   2. Der zweite zu berücksichtigende Faktor ist, ob das Gerät eine Verbindung zu Benutzerkonten und anderen Onlinediensten herstellen kann. Diese Verbindungen können möglicherweise auf Benutzerdaten zugreifen, die an anderen Orten als auf dem Gerät gespeichert sind, z. B. Cloud-basierte Konten oder gekoppelte Geräte. Anhang B (12) erfordert, dass alle Verbindungen zu den Remotediensten entfernt werden, damit Konten oder zugehörige Informationen nicht erneut auf das Gerät geladen werden können.

Ein weiterer zu berücksichtigender Aspekt ist der Unterschied zwischen Daten und allgemeinen Informationen. R2v3 definiert „Daten“ als „private, persönlich identifizierbare, vertrauliche, lizenzierte oder urheberrechtlich geschützte Informationen, die auf einem elektronischen Gerät enthalten sind …“ Daten müssen immer bereinigt werden.

„Allgemeine Informationen“ sind definiert als „öffentlich zugängliche Informationen oder Informationen, die mit dem elektronischen Originalgerät vom Hersteller bereitgestellt werden“. Allgemeine Informationen erfordern keine Desinfektion.

Ein klares Verständnis des Unterschieds zwischen Daten und allgemeinen Informationen hilft sowohl bei der Entwicklung des Datenbereinigungsplans als auch bei der Implementierung der Bereinigungsmethoden.

Schließlich sollten Sie bei der Identifizierung der Datenfähigkeiten alle Upgrades oder Modifikationen am Gerät sowie eventuell enthaltenes Zubehör wie Speicherkarten berücksichtigen.