Vorratsdatenspeicherung auch in Bulgarien mit EU-Recht unvereinbar

Bereits zum zweiten Mal scheitert in Bulgarien ein Gesetz zur Vorratsdatenspeicherung, nachdem der EuGH es für rechtswidrig erklärte. Laut Gerichtshof-Urteil entspricht das bulgarische Kommunikationsgesetz nicht der Charta der Grundrechte der EU – demzufolge nur die nötigsten Daten verarbeitet und die Betroffenen informiert werden müssen.
Das besagte Gesetz verlangte von Telekommunikationsanbietern und Internetprovidern, alle Verbindungsdaten von Kunden über 6 Monate hinweg zu speichern.
Zuvor gab es bereits 2014 in Bulgarien den Versuch, ein Vorratsdatenspeicherungsgesetz durchzubringen – damals sollten Telekommunikationsdaten sogar ein Jahr lang gespeichert werden.

Innerhalb der EU werden anlasslose Massenspeicherungen von Daten immer wieder auf nationale Ebene (so auch in Deutschland) gekippt.
Generell werden solche Eingriffe in die Privatsphäre höchstens im Fall von konkreten und unmittelbaren terroristischen Bedrohungen vom EuGH bewilligt.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/eugh-urteil-vorratsdatenspeicherung-auch-in-bulgarien-mit-eu-recht-unvereinbar/

Sammelklage wirft Apple illegale Datensammelei vor

Laut Sammelklage in Amerika sammelt Apple sehr umfassend Daten über die Nutzer ihrer iPhones – selbst wenn das in den Einstellungen deaktiviert wurde. Damit verstoßen sie gegen geltendes kalifornisches Recht.

Zwei Forscher analysierten den App Store und fanden heraus, dass bei der Nutzung des Stores u. a. die Klicks und die Verweildauer auf den einzelnen Apps , sowie Geräteinformationen, eingestellte Sprache und Internetverbindung registriert.
Dies widerspricht der Option „iPhone Analytics“, die behauptet „die Weitergabe von Device Analytics vollständig zu deaktivieren“.
Auf das Ergebnis der Analyse folgte die Klage.

Weitere Apps wie Apple Music und Apple TV lieferten durch dieselbe Analyse ähnliche Ergebnisse.
Apple wirbt übrigens mit den Slogan „Privacy. That’s iPhone.“

Weitere Informationen finden Sie hier:
https://www.golem.de/news/tracking-sammelklage-wirft-apple-illegale-datensammelei-vor-2211-169764.html

Abruf des E-Rezepts per eGK? Aber sicher!

Ärztliche Rezepte sollen in Zukunft mittels E-Rezept direkt über die Krankenkassenkarte in Apotheken einlösbar sein. Aktuell verstößt die Schnittstelle, die dies ermöglichen soll, allerdings aufgrund von Sicherheitsmängeln gegen die DSGVO.

Professor Ulrich Kelber, der Bundesbeauftragte für Datenschutz und Informationsfreiheit, sieht in der bisher vorgelegten Umsetzung ein großes Risiko für die Daten der Nutzer. Diese sind nicht ausreichend gegen unberechtigte Zugriffe von außen geschützt – ein Problem, das seit Monaten bekannt ist, ohne dass angemessene Lösungen bereitgestellt wurden. Laut Herr Kelber würde am Ende das Vertrauen in aktuelle und zukünftige Digitalisierungsprojekte wie das E-Rezept unter einem potenziellen Hack unnötig leiden.

Anstatt zusätzliche IT-Absicherungen einzurichten, steigt die Kassenärztliche Vereinigung jedoch aus dem Pilotprojekt aus. Herr Kelber drückt Enttäuschung darüber aus, will aber auch in Zukunft „Unzureichend gesicherten Lösungen (…) eine datenschutzrechtliche Absage erteilen.“ Denn: „Digitalisierung im Gesundheitssektor muss richtig umgesetzt werden: sicher, datenschutzkonform und bequem zu nutzen.“

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2022/12_E-Rezept.html

Gefährliche Zwangs-Apps für Fußballfans

Sicherheitsexperten sowie u. a. die Menschenrechtsorganisation Amnesty International warnen vor 2 Apps, die tiefen Zugriff auf das eigene Handy erlauben – die aber für die Fußballmeisterschaft vor Ort in Katar verpflichtend installiert werden müssen.

Nach der Installation können die Apps auf die persönlichen gespeicherten Daten sowie WLAN/Bluetooth-Verbindungen und den eigenen Standort zugreifen.

  • Ehteraz: Mit der App Etheraz soll der Verlauf von Corona-Infektionen von Person zu Person nachvollzogen werden. Über die App lassen sich Daten leicht Personen zuordnen und somit überwachen, wer sich wo und in welchen Umfeldern aufhält.
    Eine ähnliche App (Smittestopp) wurde zu Beginn der Pandemie in Norwegen eingesetzt, aufgrund des tiefen Eingriffs in die Privatsphäre jedoch wieder eingestellt.
  • Hayya: Diese App wird für die Einreise und den Stadionbesuch verwendet und ermöglicht die kostenlose Nutzung des öffentlichen Nahverkehrs.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/wm-in-katar-gefaehrliche-zwangs-apps-fuer-fussballfans/

IT-Sicherheitslage bleibt angespannt bis kritisch

Es liegt ein neuer Bericht des Bundesamtes der Informationstechnik (BSI) zu aktuellen Cyber-Bedrohungen im über das Jahr 2021 vor. Es folgen die größten Bedrohungen:

  • Cyber-Erpressungen:
    Als neuer Trend hat sich die Nutzung von DDOS und Ransomware herauskristallisiert. Virensoftware wie Emotet (deren Infrastruktur jedoch im Januar 2021 zerschlagen werden konnte) verschlüsselt Daten von Unternehmen/Organisationen bei einem Cyberangriff, um anschließend Lösegeld für die Wiederherstellung einzufordern.
  • Umgang mit Schwachstellen:
    Server-seitige Schwachstellen, wie etwa jüngst die Lücke der Exchange-Server von Microsoft, gehören zu den größten Herausforderungen, da dadurch entstehende Kompromittierungen erst Wochen oder Monate später bemerkt werden können bzw. erst dann zu tatsächlichen Schäden durch Cyberangriffe führen.
  • Der Faktor „Mensch“
    Wie immer ist der Mensch der Faktor, über den zahlreiche Angriffe ermöglicht werden. Sei es durch Phishing oder andere betrügerische Versuche: Im Rahmen der Pandemie haben Cyberangriffe deutlich zugenommen und bleiben ein großes Thema.

Weitere Informationen finden Sie hier:
https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html#Start

Spam-Mail – Betreff: Vulnerability Report: (Email Spoofing)

Haben Sie auch bereits eine E-Mail eines „John A.“ zum E-Mail-Spoofing erhalten, welche ggf. direkt in Ihrem Spam-Ordner gelandet ist? Dann ist diese Mail in Ihren Spams richtig und gut aufgehoben.

In der Mail von Herrn A., unter der Absender-Adresse (gekürzt) „johnhacker…@gmail.com“ – ja, die Mailadresse ist schon sehr seriös – fragt er netterweise erstmal, wie es uns gut. Er schreibt weiterhin, dass er noch keine Rückmeldung erhalten habe, zu dem durchgeführten Update der betroffenen Webseite. Außerdem weist er nochmals auf die Zahlung der Prämie hin, die man doch an ihn zahlen solle, da er ja schließlich die vermeintliche Sicherheitslücke auf der Webseite entdeckt hat.

Es folgt nun die angeblich zuvor gesendete Mail, ca. vor einer Woche. Darin stellt sich Herr A. als „security researcher“ vor und macht dann auf die Sicherheitslücken der Webseite aufmerksam. Als Webseite nennt er auch tatsächlich die (Unternehmens)Webseite des Empfängers mit der dazugehörigen Domain.

Durch die Nennung der Domain, scheint es vielleicht auf den ersten Blick, eine ernsthaft zu nehmende E-Mail zu sein, auf die man auch sofort reagieren sollte. Zudem sendet Herr A. die Mail nicht nur an eine Mailadresse des Unternehmens, sondern auch zeitgleich an die zuständige Landesbehörde für Datenschutz.

Wir haben Ihnen hier einmal die E-Mail beigefügt, die Herr A. versendet:

Nachfolgend erscheint sein angeblicher Fund auf der Webseite, dass kein DMARC eingerichtet sei. Ebenfalls sendet er – professionell wie er ist – auch einen Snapshot des Tools, welches anzeigt, dass DMARC nicht aktiviert ist.

Dies sieht dann wie folgt aus:

Was ist zu tun?

Hier empfehlen wir Ihnen diese Mail – wenn nicht bereits geschehen – als Spam zu melden. Bitte reagieren Sie nicht auf die Mail und zahlen natürlich auch keine „Belohnung“ an Herrn A. für seine „Bemühungen“.

Zumal auch ein Verstoß gegen das „Gesetz gegen den unlauteren Wettbewerb“ (UWG) bei derartigen Praktiken in Betracht kommt. Dies sollte man unserer Meinung nach nicht noch unterstützen.

Sollten Sie solche E-Mails erhalten und sich nicht sicher sein, wie Sie damit umgehen, so steht Ihnen die GINDAT GmbH bei Fragen gerne zur Verfügung.

Nachfolgend erläutern wir Ihnen noch die Techniken zum Spam / Spoofing, sowie den Begriff „DMARC“.

 

E-Mail-Spoofing

Zur Vermeidung von Spam/Spoofing, gibt es mehrere Techniken, die ein Domainbesitzer anwenden kann.

Alle basieren darauf, dass der Besitzer Richtlinien vorgibt, die von den Empfängern dann ausgewertet werden und damit Mails in der Regel mit mehr oder weniger Wahrscheinlichkeit als Spam einstufen.

 

SPF (Sender Policy Framework)

Einrichtung:

Hier wird ein DNS Eintrag erstellt, in dem alle Systeme genannt werden, die für die Domain Mails versenden dürfen.

Hier definiert der Besitzer einer Domain, welche Systeme im Namen der Domain (nach dem @ Zeichen) Mails versenden dürfen.

Das sind in der Regel die Mailserver, aber auch Webserver oder Drittanbieter wie z.B. Newsletterversand-Dienstleister.

Die Einrichtung erfordert relativ wenig Aufwand, da nur eine Liste aller authorisierten Systeme aufgestellt werden und der DNS Eintrag erstellt werden muss.

Dienste-Anbieter haben in der Regel Anleitungen, wie der SPF angepasst werden muss, damit Mailversand über den jeweiligen Dienst funktioniert.

Probleme:

Es kann durch SPF eine Zahl an False Positives entstehen. Vor allem wenn Weiterleitungen auf Mailboxen eingerichtet sind.

Wenn der Server die Mail weiterleitet bleibt die Absenderadresse die Originaladresse, daher versendet dann z.B. ein T-Online Mailserver, Mails für die ursprüngliche Absenderdomain und dieser Server ist nicht im SPF autorisiert.

SPF darf nur eine begrenzte Zahl an weiteren DNS-Abfragen auslösen. Wenn also viele Drittanbieter-Dienste genutzt werden, die eigene SPF-Einträge inkludieren, kann es dazu kommen, dass der Eintrag nicht mehr korrekt aufgelöst wird.

Hier lohnt es sich bestimmte Dienste auf Subdomains abzuspalten, damit ein eigener SPF erstellt werden kann. (z.B. newsletter.domain.tld für Newsletterversand)

 

DKIM

Hier wird ein kryptografischer Schlüssel genutzt, mit dem die Mails beim Versand signiert werden.

Damit werden 2 Dinge sichergestellt:

  1. Die Mail kommt von einem System, das Zugriff auf den privaten Schlüssel hat und ist damit sehr wahrscheinlich authorisiert.
  2. Die Mail wurde im Nachhinein nicht verändert, da DKIM auch einen Hash des Inhalts und einiger Headerfelder beinhaltet.

Einrichtung:

Die Einrichtung ist aufwändiger, als bei SPF.

Hier wird ein DNS Eintrag erstellt, in dem der öffentliche Schlüssel publiziert ist, mit dem ein Empfänger dann die Signatur überprüfen kann.

Die Server, die Mails versenden, müssen die DKIM Signatur hinzufügen. Einige Mailsysteme, wie z.B. Microsoft Exchange unterstützen DKIM aber nicht von Haus aus, hier müssen dann Drittanbieter-Lösungen genutzt werden.

Sollte man eine zentrale Email-Security-Lösung nutzen (vor allem Cloud Services), kann diese oft die DKIM Signatur übernehmen. Hier kann dann zentral für alle Mails, die über den Service versendet werden, die Signatur hinzugefügt werden.

Drittanbieter wie Newsletterversand-Dienstleister, haben in der Regel eigene DKIM Keys, deren DNS Eintrag man einfach seiner Domain hinzufügen kann.

Probleme:

Grundsätzlich sollte eine DKIM Signatur beim Weiterleiten einer Mail erhalten bleiben, da sich weder der Nachrichteninhalt, noch die (signierten) Header ändern. Damit ist das false Postivie Problem von SPF hier nicht gegeben.

Einige Systeme (Microsoft Exchange) ändern allerdings beim Durchgang der Mail tatsächlich die Header Felder und sorgen so für fehlschlagendes DKIM nach einer Weiterleitung.

 

DMARC

DMARC baut auf den beiden Techniken SPF und DKIM auf und definiert, wie die beiden Richtlinien vom Empfänger interpretiert werden sollen.

Generell sieht DMARC Mails als autorisiert an, wenn einer der beiden Mechanismen erfolgreich war. Somit kann die Zahl der False Positives reduziert werden und gleichzeitig Spoofing bekämpft werden.

Einrichtung:

Sobald SPF und DKIM bereits implementiert sind ist die Einrichtung sehr einfach.

Es muss nur ein DNS Eintrag mit den gewünschten Richtlinien erstellt werden.

UPDATE: Abmahnwelle – Schadenersatzansprüche wegen Google Fonts

In unserem Infobrief „August 2022“, haben wir Sie bereits über die Abmahnwelle zu Google Fonts informiert.

Das Thema scheint weiterhin aktuell zu sein. Wir haben wieder Informationen erhalten, dass nun ein Schreiben einer Rechtsanwaltskanzlei postalisch versendet wird.

Die RAAG-Kanzlei, mit Sitz in Meerbusch, nennt hier namentlich Ihren Mandanten und weist auch hier auf die Nutzung von Google Fonts auf der Webseite hin und dass dadurch die IP-Adresse an Google weitergeleitet wird.

Nachfolgend werden die anfallenden Kosten erläutert, welche man auch auf der letzten Seite in einer tabellarischen Übersicht findet. Insgesamt möchte die RAAG-Kanzlei, dass die Summe (aus einem aktuellen Schreiben) von 226,10 Euro an die angegebene Kontoverbindung gezahlt wird.

Nach einer Recherche im Internet über die RAAG-Kanzlei, haben wir festgestellt, dass die Kanzlei von Nikolaos Kairis geleitet wird, welcher auch das Schreiben aufgesetzt hat. „Dikigoros“ ist übrigens das griechische Wort für „Rechtsanwalt“. Herr Kairis scheint also in Griechenland zur Rechtsanwaltschaft zugelassen zu sein und kann aufgrund § 2 EuRAG in Deutschland praktizieren. Ausweislich des bundesweiten Rechtsanwaltsregisters ist die Zulassung erst im Jahre 2021 erfolgt.

Wir empfehlen Ihnen, den geforderten Betrag nicht an die Kanzlei zu senden, da die rechtlichen Ausführungen zum Schadenersatz des Herrn Kairis mehr als fraglich sind. Sie sollten sich hierzu allerdings juristischen Rat hinzuziehen. Dahingehend kann die GINDAT GmbH Sie gerne unterstützen, unsere Juristen stehen Ihnen hier zur Verfügung. Sollten Sie betroffen sein, dürfen Sie uns Ihre Anfrage gerne per E-Mail an die info@gindat.de senden.

Weiterhin empfehlen wir Ihnen natürlich, Google Fonts schnellstmöglich lokal auf Ihrer Webseite einzubinden.

Neuer Angemessenheitsbeschluss für die USA in Aussicht

Am 7. Oktober 2022 hat der US-Präsident Joe Biden ein neues Datenschutzabkommen mit der Europäischen Union durch einen Erlass (Executive Order) auf den Weg gebracht. Damit soll dann zum Datenaustausch zwischen der EU und US-Anbietern der juristische Weg freigemacht werden.

Einzusehen hier in englischer Sprache.

https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/

Diese Exekutivanordnung präzisiert die Verpflichtungen der USA, die diese im Rahmen des Datenschutzrahmens zwischen der Europäischen Union und den USA (EU-U.S. Data Privacy Framework – DPF) zum Schutz europäischer Nutzer umsetzen möchte.

Es soll weitere Schutzmaßnahmen der USA geben, die sicherstellen, dass US-Geheimdienste und -Behörden nur dann auf Daten europäischer Nutzer zugreifen dürfen, wenn es sich um die Verfolgung definierter nationaler Sicherheitsziele handelt.  Die Privatsphäre und die bürgerlichen Freiheiten aller Personen sind, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnsitzland, zu berücksichtigen. Zugriffe auf Daten dürfen nur durchgeführt werden, wenn dies notwendig ist, um eine validierte Aufklärungspriorität voranzutreiben, und nur in dem Umfang und auf eine Weise, die dieser Priorität angemessen ist.

Das EU-U.S. Data Privacy Framework schreibt den Umgang mit personenbezogenen Daten vor, die im Rahmen von nachrichtendienstlichen Aktivitäten erhoben wurden, und erweitert die Zuständigkeiten von Rechts-, Aufsichts- und Compliance-Behörden. Dies soll sicherstellen, dass bei Verstößen gegen die Vorschriften geeignete Maßnahmen ergriffen werden. Die US-Geheimdienste müssen ihre Richtlinien und Verfahren aktualisieren, um die neuen, in der Executive Order enthaltenen Garantien für den Schutz der Privatsphäre und der bürgerlichen Freiheiten zu berücksichtigen.

Drittens wird ein mehrstufiger Mechanismus für Einzelpersonen aus qualifizierten Staaten und Organisationen der regionalen Wirtschaftsintegration (sprich für Bürger und Unternehmen der EU) geschaffen. Dieser Mechanismus soll eine unabhängige und verbindliche Überprüfung und Wiedergutmachung von stattgefundenen Fällen ermöglichen, in denen US-Geheimdienste private Daten unter Verletzung des geltenden US-Rechts gesammelt oder verarbeitet haben.

Diese Schritte sollen der Europäischen Kommission eine Grundlage für die Annahme eines neuen Angemessenheitsbeschlusses für die USA bieten.

Dieser würde dann die Standardvertragsklauseln für die Übermittlung personenbezogener Daten in die USA überflüssig machen.

Ob dies allerdings dann wirklich eine dauerhafte Lösung darstellt, bleibt aus mehreren Gründen abzuwarten.

Denn es sieht bereits danach aus, als würde das Abkommen wieder vor dem EuGH landen. Der Datenschutzverein noyb mit seinem Vorstandsvorsitzenden Schrems hat bereits angekündigt, die Einigung sehr genau zu untersuchen. Laut einer ersten Einschätzung der Datenschützer dürfte auch der neueste Entwurf (wie zuvor) vor dem höchsten europäischen Gericht scheitern.

Weiterhin bleibt zusätzlich beachten, dass es sich hier „nur“ um einen Erlass handelt.

Bei einem Wechsel im Weißen Haus könnte dieser also von Präsident Bidens Nachfolger relativ schnell wieder rückgängig gemacht werden.

Die weitere Entwicklung bleibt also abzuwarten.

LG Bonn: Auch vorbekannte Daten vom Auskunftsanspruch umfasst

Jede Person hat ein Recht auf Auskunft über die über sie gesammelten Daten (Art. 15 DSGVO). Macht eine Person Gebrauch von diesem Recht, muss ein Anbieter alle betroffenen Daten herausgeben. Laut einem Hinweisbeschluss des Landgericht Bonn betrifft das auch Informationen, die bereits zuvor an die Person weitergegeben wurden (wie etwa Rechnungen und Zahlungsdaten).

Jeder kann vom eigenen Auskunftsrecht ohne Angabe von Gründen Gebrauch machen – somit stellt sich für jeden Arbeitgeber die Frage, welche Informationen herausgegeben werden müssen.

In einem konkreten Fall hatte eine Klägerin von ihrer Krankenkasse Auskunft über ihre Daten verlangt. Die darauf erfolgte Auskunft reichte in den Augen des Gerichts jedoch nicht aus – es hätten auch Unterlagen wie Krankenversicherungsdaten, Rechnungen, Zahlungen und Zahlungsdaten, die der Klägerin natürlich vorlagen, übermittelt werden müssen.
Laut Beschluss des Gerichts schließt die Tatsache, dass ein Schreiben der Klägerin bereits bekannt sein muss, den Auskunftsanspruch nicht aus. Infolgedessen war die Auskunft der Krankenkasse als unvollständig anzusehen.

Der Beschluss erweitert, wie der Anspruch auszulegen ist. Denn durch den BGH wurde die eigene Korrespondenz mit einem Dienstleister (sofern sie personenbezogene Daten enthält) bislang nicht konkret zum Auskunftsanspruch hinzugezählt.
Wenn selbst Unterlagen und Korrespondenzen, die einem Anfragenden bereits bekannt sein müssen, im Anspruch auf Auskunft inbegriffen sind, eröffnen diese auch die Möglichkeit, beispielsweise verlorene Unterlagen als Kopie anzufordern.

Vernichten von Datenträgern

Beim Vernichten von Datenträgern müssen bestimmte Anforderungen berücksichtigt werden. Welche genau, wird in der DIN 66399 beschrieben, welche im August 2018 in die internationale Norm ISO/IEC 21964 übernommen wurde.

Sobald sich personenbezogene Daten auf einem Datenträger befinden, fällt dessen Vernichtung in den Anwendungsbereich der Datenschutzgrundverordnung (vgl. Art. 4 Nr. 2 DSGVO). Die Vernichtung ist daher eine technisch-organisatorische Maßnahme, um die Datensicherheit zu gewährleisten.

Die DIN-Norm 66399 „Büro- und Datentechnik – Vernichten von Datenträgern“ wurde im Oktober 2012 veröffentlicht. Hiermit wurde vom zuständigen DIN-Ausschuss ein Standard erarbeitet, der den Stand der Technik in der Vernichtung von Datenträgern abbildet. In der DIN 66399 werden ganzheitliche Ansätze verfolgt, es werden Grundlagen, Begriffe (Teil 1, geschrieben DIN 66399-1) sowie die Anforderung an die Maschinen zur Vernichtung von Datenträgern (Teil 2, geschrieben DIN 66399-2), benannt. Ebenso wird ein sicherer Prozess der Datenträgervernichtung (Teil 3, geschrieben DIN 66399-3) beschrieben.

Die DIN 66399 empfiehlt, die speichernden Datenträger hinsichtlich des Schutzbedarfs wie folgt zu klassifizieren:

  • Schutzklasse 1 (Normaler Schutzbedarf): Die unrechtmäßige Verarbeitung der personenbezogenen Daten beeinträchtigt die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Die Schadensauswirkungen sind begrenzt und relativ leicht durch eigene Aktivitäten des Betroffenen zu heilen.
  • Schutzklasse 2 (Hoher Schutzbedarf): Die unrechtmäßige Verarbeitung der personenbezogenen Daten beeinträchtigt erheblich die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen. Die Schadensauswirkungen sind beträchtlich („Ansehen“).
  • Schutzklasse 3 (Sehr hoher Schutzbedarf): Die unrechtmäßige Verarbeitung der personenbezogenen Daten gefährdet Leib und Leben oder die Freiheit des Betroffenen. Die Schadensauswirkungen nehmen existenzielles, bedrohliches, katastrophales Ausmaß an („Existenz“).

Die DIN 66399 empfiehlt, Datenträger bestimmter Schutzklassen nach Sicherheitsstufen angemessen zu vernichten. Die Norm bestimmt für verschiedene Materialklassen (z. B. Papier, Mikrofilm oder Halbleiterspeicher) Grenzwerte der Teilchengröße (Partikelgröße), welche bei der Vernichtung des Datenträgers eingehalten werden müssen, um die Wiederherstellung von Informationen aus dem Restmaterial zu verhindern oder zumindest zu erschweren.