Ihr Beschaffungsteam bewilligt einen neuen ITAD-Anbieter, dessen Angebot drei Konformitätslogos enthält: R2v3-zertifiziert, NAID AAA-zertifiziert und NIST 800-88-konform.
Alle erkennen die Namen und nicken. Der Vortragende sagt “nächste Folie”.”
Monate später fragen Sie, was mit den Daten auf Ihrer Charge alter Micron 7450 MAX passiert ist. Niemand weiß es. Der Anbieter hat eine ungefähre Vorstellung, kann Ihnen aber keine konkrete Antwort geben, die Sie benötigen.
Konformität ist kein binärer Status. Sie müssen hinter die Logos blicken, um sicherzustellen, dass die Konformitäts- und Sicherheitsstandards Ihren Anforderungen entsprechen.
Drei Standards zur Lösung von drei verschiedenen Problemen
Beginnen wir mit einfachem Englisch:
| Standard | Was es ist | Sie hilft bei der Bestimmung ... | Was sie nicht garantiert |
| NIST SP 800-88 | Anleitung zur Mediensanitisierung von NIST | Welcher Hygienisierungsansatz passt zu einem Medientyp und zu den Anforderungen an die Vertraulichkeit? | ob ein Anbieter zertifiziert ist, auditiert wurde oder einer betrieblichen Disziplin unterliegt |
| NAID AAA | Zertifizierung von Drittanbietern für sichere Vernichtungsdienste | ob ein Zerstörungsdienstleister im Hinblick auf die Erwartungen an die Sicherheit und die behördliche Sorgfaltspflicht geprüft wird | ob der Anbieter ein umfassenderes ITAD-, Wiederverwendungs-, Reparatur- oder Downstream-Management-Programm durchführen kann |
| R2v3 | Zertifizierungsstandard für die Wiederverwendung und das Recycling von Elektronik und ITAD-Einrichtungen | ob eine Einrichtung innerhalb eines breiteren, geprüften Rahmens für Datensicherheit, nachgelagerte Kettenkontrollen, Wiederverwendung und spezielle Prozesse arbeitet | Ob jede R2-zertifizierte Einrichtung jede Spezialisierung durchführt, von der Sie annehmen, dass sie es tut |
NIST SP 800-88 ist ein Leitfaden, kein Herstellerabzeichen
NIST SP 800-88 ist die bundesweite Anleitung für die Mediensanierung. Im September 2025 veröffentlichte das NIST die SP 800-88 Revision 2 und wies ausdrücklich darauf hin, dass sie die Revision 1 ersetzt. Das NIST beschreibt die Veröffentlichung als Leitfaden, der Organisationen dabei helfen soll, ein Mediensanierungsprogramm mit geeigneten Techniken und Kontrollen auf der Grundlage der Sensibilität der Informationen aufzubauen.
| NIST beantwortet Fragen wie: | Fragen wie diese werden nicht beantwortet: |
| Was muss die Desinfektion bewirken? Wie sollte die Methodenauswahl mit der Art der Medien und dem Risiko zusammenhängen? Was sollte ein Programm zur Mediensanitisierung beinhalten? | Wird dieser Anbieter unabhängig geprüft? Kontrolliert dieser Betrieb seine nachgelagerte Kette? Verfügt dieser Betreiber über gute Kontrollen der Lieferkette in der Praxis? |
Wenn ein Anbieter sagt: “Wir sind NIST 800-88-konform” und es dabei belässt, wissen Sie immer noch nicht, wer ihn geprüft hat. Sie wissen nicht, wie die Arbeit dokumentiert wurde oder ob die Kontrollen über den Bereinigungsschritt hinaus bestehen.
Bei NAID AAA geht es um die sichere Verifizierung von Vernichtungsdienstleistern
i-SIGMA beschreibt NAID AAA als eine Überprüfung durch Dritte, die es den Kunden ermöglicht, die Sorgfaltspflicht in Bezug auf Anbieter sicherer Datenvernichtung zu erfüllen. In ihrem eigenen Kundenmaterial heißt es, dass die Zertifizierung die Qualifikationen durch ein geplantes und unangekündigtes Auditprogramm verifiziert und das Programm als eine Möglichkeit zur die Einhaltung von Vorschriften und bewährten Sicherheitsverfahren zu überprüfen für Vernichtungsaktionen.
Das macht NAID AAA nützlich, wenn Sie Antworten auf Fragen wie diese benötigen:
| Wird dieser Vernichtungsdienstleister tatsächlich geprüft? | Gibt es Sicherheitskontrollen während der Handhabung, des Transports, der Lagerung und der Vernichtung? | Gibt es eine sinnvolle Aufsicht, die über ein Verkaufsversprechen und ein Hochglanzzertifikat hinausgeht? |
Es handelt sich immer noch um eine Lösung für Vernichtungsdienste und nicht um eine vollständige ITAD-Architektur.
Wenn Ihr Projekt Wiederverwendung, Wiederverkauf, Test und Reparatur, nachgelagerte Übergaben oder logische Bereinigung vor der Wiedervermarktung beinhaltet, beantwortet NAID AAA diese Fragen nicht automatisch, nur weil es bei der Validierung sicherer Vernichtungsvorgänge stark ist.
R2v3 ist breiter angelegt, und sein Umfang hängt von den Anhängen ab
R2v3 ist ein Zertifizierungsstandard für die Wiederverwendung und das Recycling von Elektronik. Dieser breitere Geltungsbereich ist genau der Grund, warum Käufer ihn falsch verwenden. Sie hören “R2-zertifiziert” und gehen davon aus, dass dies bedeutet, dass jedes Daten-Sanierungs-, Wiederverwendungs- und Downstream-Szenario in gleicher Weise abgedeckt ist.
Laut SERI-Leitfaden enthält R2v3 spezielle Anhänge zu den Verfahren, da nicht alle zertifizierten Betriebe die gleichen Tätigkeiten ausführen.
Es gibt 7 Anhänge, aber drei von ihnen sind für diese Diskussion am wichtigsten:
| Anhang A: Umfasst die Qualifizierung und Verwaltung der nachgelagerten Recyclingkette. | Anhang B: Umfasst die logische Datenbereinigung und die erweiterte physische Bereinigung mit zusätzlicher Verfolgung, Überprüfung und Qualitätskontrolle. | Anhang C: Umfasst die Prüfung und Reparatur zur Wiederverwendung. |
Anhang B gilt für Einrichtungen, die eine logische Datenbereinigung durchführen, wie z. B. ITAD-Operationen, und für Einrichtungen, die ein erhöhtes Maß an physischer Bereinigung anstreben. Er ist nicht erforderlich für physische Vernichtungsmethoden, die unter die R2-Kernanforderungen fallen und mit den dort erwähnten NIST-Leitlinien zur Mediensanitisierung übereinstimmen.
Es gibt auch einen Revisionsfehler, den Käufer nicht ignorieren sollten. NIST hat SP 800-88 Revision 2 im September 2025 veröffentlicht, aber die von SERI veröffentlichten R2v3-Materialien verweisen immer noch auf Revision 1 im Kernanforderungspfad für physische Vernichtungsmethoden. Es gibt wesentliche Änderungen bei Elementen wie kryptografischen Lösch- und Sanitisierungstools, aber der Kern der Richtlinien bleibt derselbe.
Das bedeutet nicht, dass R2 unbrauchbar ist. Es bedeutet jedoch, dass Sie den Anbieter fragen sollten, welche NIST-Revision und welchen Verfahrenssatz er heute verwendet, anstatt davon auszugehen, dass er auf die Version abzielt, die Sie benötigen.
Das heißt, “R2-zertifiziert” ist nicht der ganze Satz. Sie brauchen eine Klarstellung:
- Welche Anhänge gehören zum Geltungsbereich?
- Ist Anhang A für die nachgelagerte Kette abgedeckt?
- Befindet sich Anhang B auf der Bescheinigung?
- Fällt Anhang C in den Anwendungsbereich, wenn der Verkäufer die Hardware wieder in Betrieb nimmt?
Wenn Sie diese Antworten nicht haben, haben Sie nicht die Sicherheit, die Sie brauchen.
Wo Einkäufer sich irren können
Die Marktverwirrung zeigt sich in der Regel in drei vorhersehbaren Fehlern.
Fehler 1: Das NIST wie eine Zertifizierung behandeln
NIST ist die Ebene der Methoden- und Programmrichtlinien. Sie sagt Ihnen, was ein solides Bereinigungsprogramm leisten muss. Es ist kein Betriebsnachweis eines Dritten.
“Wir folgen dem NIST” wird zu einem Erklärungsersatz für den Anbieter:
- Welche Revision sie verwenden
- welche medienspezifischen Methoden sie anwenden
- Wie sie das Ergebnis überprüfen
- Welche Unterlagen sie aufbewahren
- Wer überprüft, ob etwas davon wahr ist?
| ✓ Sie sollten “NIST” hören und denken: | ✗ Sie sollten nicht “NIST” hören und denken: |
| Gut, zeigen Sie mir jetzt das Programm, die Aufzeichnungen und den Prüfpfad. | Problem gelöst. |
Fehler 2: Annahme, dass jede R2-Einrichtung die gleiche Datensanitisierungstiefe hat
SERI gibt an, dass in Anhang B die logische Datenbereinigung und die erweiterte physische Bereinigung in R2v3 definiert sind. Außerdem heißt es, dass Anhang B für ITAD, Rückgaben und Inzahlungnahmen empfohlen wird. Es wird sogar von den Anbietern verlangt, eine Aufzeichnung der von ihnen gelöschten Software zum Nachweis der Bereinigung zu erstellen. Laut SERI stützt sich Anhang B nicht mehr direkt auf externe Datensicherheitsstandards wie NAID oder NIST 800-88, da der R2-Standard diese Anforderungen nun intern kontrolliert.
Wenn eine Einrichtung nur eine physische Vernichtung gemäß den R2-Kernanforderungen durchführt, ist Anhang B möglicherweise nicht erforderlich. Führt der Betrieb eine logische Vernichtung durch, ist Anhang B erforderlich. Das steht direkt in den SERI-Anwendungsleitlinien.
Wenn Ihnen also ein Anbieter mitteilt, dass er R2-zertifiziert ist, sollten Sie nicht sagen: “Toll, sind wir abgedeckt?” Die nächste Frage lautet: “Zeigen Sie mir den Geltungsbereich des Zertifikats und die Anhänge”. Auf diese Weise erhalten Sie die benötigten Informationen.
In der vom SERI veröffentlichten Zusammenfassung der R2v3-Änderungen verlangt Anhang B Rückverfolgbarkeitsaufzeichnungen für eindeutige Gerätekennungen durch den Desinfektionsprozess. Außerdem werden strengere Überprüfungen, Kompetenzanforderungen und robustere Kontrollen eingeführt. In der gleichen Zusammenfassung verweist SERI auf die Anforderungen an die Videoüberwachung mit einer 60-tägigen Aufbewahrung der Aufnahmen für Bereiche wo Datengeräte empfangen, gespeichert oder weitergegeben werden.
Das ist eine ganz andere Antwort als ein allgemeines “wir sind R2-zertifiziert”.”
Fehler 3: Verwendung von NAID AAA zur Beantwortung von Fragen, für die es nicht entwickelt wurde
NAID AAA ist innerhalb seiner Parameter stark. i-SIGMA sagt, dass es existiert, um Vernichtungsanbieter durch geplante und unangekündigte Audits zu überprüfen.
Das macht es aber noch lange nicht zum richtigen Werkzeug für jede Beschaffungsfrage.
Ein Vernichtungszertifikat sagt Ihnen nicht automatisch etwas:
- Wie wiederverwendbare Produkte kategorisiert werden
- ob Arbeitsmittel einen kontrollierten Wiederverwendungspfad durchlaufen
- Wie nachgelagerte Anbieter für die Nichtvernichtungsabwicklung qualifiziert werden
- ob Test- und Reparaturvorgänge validiert werden
- Ob die logische Sanierung für den Wiederverkauf Teil eines umfassenderen Wiederverwendungsprogramms ist
Wenn es sich bei Ihrem Projekt um ein reines Schredderprojekt handelt, kann NAID AAA eine gute Antwort sein. Handelt es sich bei Ihrem Projekt um ein gemischtes ITAD-Projekt mit Wiederverkauf, Wiederverwendung, Abriss, Audit-Berichterstattung und Beteiligung nachgelagerter Partner, benötigen Sie mehr als nur einen Vernichtungsnachweis.
Der richtige Weg, diese Standards gemeinsam zu nutzen
“Welche Norm ist die beste?” ist die falsche Frage. Sie arbeiten zusammen, nicht gegeneinander. Die richtige Art, die Norm zu befragen, ist die Frage: “Welche Frage versuche ich zu beantworten?”
| Wenn sich Ihre Frage auf die Desinfektionsmethode bezieht | Wenn sich Ihre Frage auf die Aufsicht über sichere Vernichtungsanbieter bezieht | Wenn sich Ihre Frage auf eine umfassendere ITAD-Governance und die Kontrolle der Wiederverwendungspfade bezieht |
| Beginnen Sie mit NIST SP 800-88. Dort wird die Programmlogik festgelegt: Was soll mit der Sanitisierung erreicht werdenWie sich die Methodenauswahl auf den Medientyp und die Empfindlichkeit auswirktWelche Kontrollen in das Sanitisierungsprogramm gehören. Wenn ein Anbieter nicht in der Lage ist, sein Desinfektionsprogramm in NIST-Begriffen zu erklären, wird der Rest des Gesprächs schnell wackelig. | Beginnen Sie mit NAID AAA. Dort erhalten Sie: Validierung durch DritteGeplante und unangekündigte AuditsUnterstützung der Sorgfaltspflicht bei der Auswahl von VernichtungsdienstleisternKontrollen von Verwahrung, Transport, Lagerung und Vernichtung Wenn das Projekt in erster Linie auf die Zerstörung ausgerichtet ist, ist dies ein sinnvoller Bildschirm. | Beginnen Sie mit R2v3 und fragen Sie dann nach den Anhängen. Das ist der Punkt, an dem Sie fragen: Fällt Anhang A in den Anwendungsbereich für die Kontrolle der nachgeschalteten Kette?Fällt Anhang B in den Anwendungsbereich für die logische Sanierung oder die verstärkte physische Sanierung?Fällt Anhang C in den Anwendungsbereich, wenn Wiederverwendung und Reparatur Teil des Programms sind? Wenn der Verkäufer die Geräte weiterverkauft, testet, für die Wiederverwendung aufbereitet oder durch eine mehrstufige Kette leitet, ist das Gespräch über den Anhang nicht optional. Es ist das Gespräch. |
Was Sie vor der Unterzeichnung fragen sollten
Bevor Sie einen ITAD- oder Vernichtungsanbieter zulassen, sollten Sie diese fünf Fragen der Reihe nach stellen:
- NIST Revision: Welche Ihrer Kontrollen stammen aus NIST SP 800-88, und welche Version verwenden Sie heute?
- NAID AAA Geltungsbereich: Ist Ihr Vernichtungsbetrieb NAID AAA-zertifiziert, und was genau wird durch diese Zertifizierung abgedeckt?
- R2v3 Anhänge: Ist Ihre Einrichtung R2v3-zertifiziert, und welche Anhänge sind auf dem Zertifikat enthalten?
- Anhang B Bestätigung: Wenn Sie logische Daten zur Wiederverwendung oder zum Weiterverkauf bereinigen, sind Sie dann nach Anhang B zertifiziert?
- Nachgelagerte Kette: Wie wird die nachgelagerte Kette qualifiziert und nachverfolgt, wenn Geräte Ihre Anlage zur Weiterverarbeitung verlassen?
Diese Fragen bewirken zwei Dinge auf einmal. Sie zwingen den Verkäufer dazu separate Anleitung, Zertifizierung und Geltungsbereich. Sie machen es auch viel schwieriger für jemanden, ein dünnes Betriebsmodell unter einem Haufen von Logos und Zertifizierungsnamen zu begraben.
Der Fehler des Käufers, der den größten blinden Fleck hervorruft
Der Fehler liegt in der Annahme, dass eine einzige Norm das gesamte Problem zum Scheitern bringt.
Das ist nicht der Fall.
| NIST 800-88Erklärt, wie die Desinfektion durchdacht werden sollte. | NAID AAAT sagt Ihnen, ob ein Vernichtungsdienstleister von unabhängiger Seite auf Sicherheit und Sorgfaltspflicht geprüft wird. | R2v3 gibt Auskunft darüber, ob eine Anlage in einen umfassenderen zertifizierten Rahmen für Wiederverwendung, Recycling, Datensicherheit und spezielle Prozesskontrollen eingebettet ist - allerdings nur insoweit, als der Geltungsbereich des Zertifikats und die Anhänge die für Sie wichtigen Vorgänge tatsächlich abdecken. |
Wenn ein Anbieter sagt, er sei R2v3-, NAID AAA- und NIST 800-88-konform. Gut. Das ist nicht mehr die Ziellinie.
Jetzt kennen Sie den nächsten Schritt. Fragen Sie sie:
| Welcher regiert den Wisch? | Welcher regiert den Shred? |
| Welche regelt die nachgelagerte Weitergabe? | Erläutern Sie den Geltungsbereich des Zertifikats. Erläutern Sie den Musterdatensatz. |
Der Verkäufer, der diese Fragen klar beantworten kann, versteht den Unterschied.
German 
English 
Spanish 
French 
Swedish 
Dutch