« Zurück 1 2 3 4 5

Aus ADMIN 06/2012
RAID-Technologie verspricht höhere Performance und mehr Sicherheit beim permanenten Speichern von Daten. Die ADMIN-Redaktion gibt einen Überblick über ... (mehr)

Externe Dienstleister prüfen

Was ist rechtlich zu beachten, wenn man Dienstleister einschaltet, um alte Festplatten vor dem Verkauf professionell löschen oder vernichten zu lassen? Es gibt für den Einsatz von Dienstleistern, die für Kunden fremde personenbezogene Daten verarbeiten exakte Vorgaben in § 11 BDSG, der die sogenannte Auftragsdatenverarbeitung regelt.

Die Weitergabe der Daten an einen Dienstleister entbindet den Auftraggeber nicht von seinen Datenschutzverpflichtungen. Bevor man den Auftrag erteilt, muss man den Löschanbieter sorgfältig auswählen, indem man etwa auf eine Zertifizierung achtet, beispielsweise durch das BSI. Oder man lässt sich ein Sicherheitskonzept vorlegen, aus dem sich ergibt, welche technischen und organisatorischen Maßnahmen der Anbieter getroffen hat, um den Schutz der personenbezogenen Daten zu gewährleisten.

Ein Kriterium bei der Auswahl des Dienstleisters sollte auch sein, wie sehr das Unternehmen dagegen abgesichert ist, dass Fremde die Räume betreten können, in denen die externen Datenträger gelöscht werden. Eine weitere Frage könnte sein, ob der Dienstleister auch vor Ort im Unternehmen oder in einem mobilen Datenvernichter löschen kann oder aber wie der Transportweg der Datenträger abgesichert ist.

Wichtig ist zudem, welche konkrete technische Methode der Anbieter verwendet, und ob diese die richtige für den eigenen Schutzbedarf ist. Man sollte technische Details bezüglich des Löschverfahrens erfragen. Der Auftrag ist schriftlich zu erteilen, und im Vertrag müssen eine ganze Reihe konkreter Fragen geregelt sein, die sich im Detail aus § 11 Absatz 2 BDSG ergeben. Eine Orientierung findet man hier [5] .

Wichtig ist außerdem, dass man auf ein vollständiges Löschprotokoll achtet, das je nach verwandter Technik genau bestätigt, welcher Datenträger mit identifizierender Seriennummer gelöscht oder vernichtet wurde und ausweist, ob es bei der Datenlöschung Fehler gab oder nicht.

Wird ein Dienstleister eingesetzt, und erteilt man ihm einen Auftrag entgegen den Vorgaben der Auftragsdatenverarbeitung nicht richtig, nicht vollständig oder nicht in vorgeschriebener Weise oder versäumt man es, sich von den technischen und organisatorischen Maßnahmen beim Dienstleister im Vorfeld zu informieren, kann dies mit einem Bußgeld bis zu 50 000 Euro sanktioniert werden, § 43 I Nr. 2 b BDSG.

Verschlüsseln statt shreddern

Ein Mitarbeiter eines Landesbeauftragten für Datenschutz empfiehlt: "Idealerweise sollten Daten überhaupt nicht unverschlüsselt auf den Medien abgelegt werden. Mit einer Grundverschlüsselung braucht man zum sicheren Löschen nur noch den (vergleichsweise sehr kurzen) Schlüssel sicher zu löschen. Wenn die Zerstörung des Mediums eine Option ist, sollte dennoch zuvor eine Löschung durch (mehrfaches) Überschreiben erfolgen."

Der Tipp Daten zu verschlüsseln schlägt gleich mehrere Fliegen mit einer Klappe: Er hilft bei der Frage der Gewährleistung weiter und ist nützlich für versehentlich liegengelassene Datenträger.

Datenschutz bei Gewährleistung

Laptop, Kopierer oder Smartphone sind defekt und müssen eingeschickt werden, oder die externe Festplatte oder der USB Stick sind weder lesbar noch zu löschen. Will man von der Gewährleistung oder von der Garantie des Herstellers Gebrauch machen, muss man das Gerät, samt der darauf befindlichen sensiblen Daten einschicken. Sicher, man hätte vorbeugen und die Daten vorher verschlüsseln können. Aber leider lernt man aus Fehlern erst hinterher. Was tun?

Man sollte das Problem offen gegenüber dem Hersteller/Händler ansprechen und diesen über Datenschutzfragen aufklären. Man könnte sich versichern lassen, dass dieser ausschließlich Funktionen des Sticks überprüft und die Daten nicht einsieht oder kopiert. Zudem sollte er sich vorab schriftlich auf die Einhaltung des Datenschutzes verpflichten und versichern, dass die Mitarbeiter des Herstellers nach § 5 BDSG auf das Datengeheimnis verpflichtet sind.

Bei hoch sensiblen Daten hat der Kunde leider meist die Qual der Wahl zwischen dem Datenschutz und der IT-Sicherheit und auf der anderen Seite seinen Gewährleistungsansprüchen. Dieses Problem sollte man bereits beim Kauf der Geräte mit dem Händler besprechen und dafür eine Lösung suchen. Denn es dient auch nicht den Unternehmensinteressen, auf Gewährleistungsansprüche zu verzichten, um dem Datenschutz nachzukommen. Vergessen sollte man nicht, dass auch Kopierer zum Beispiel Daten speichern und mit kleinen Festplatten ausgestattet sind. Diese kann man ausbauen und dann an einem anderen Rechner angeschlossen, löschen.

Smartphone oder USB-Stick verloren

Angenommen ein externer Datenträger, wie USB-Stick oder Smartphone oder Laptop mit unverschlüsselten Daten geht verloren, weil man diesen etwa im Taxi oder der Bahn vergessen hat.

  • Anzeigepflicht bei Datenschutzpannen:. Das Unternehmen oder die Person, die ein Speichermedium mit personenbezogenen fremden Daten verloren hat, ist je nach den darauf befindlichen Daten verpflichtet, diese Datenpanne nach dem BDSG zu melden. Andernfalls drohen empfindliche Bußgelder.
  • Als Finder muss man dies nach § 965 BGB melden, es gilt die "Anzeigepflicht des Finders": (1) Wer eine verlorene Sache findet und an sich nimmt, hat dem Verlierer oder dem Eigentümer oder einem sonstigen Empfangsberechtigten unverzüglich Anzeige zu machen.

(2) Kennt der Finder die Empfangsberechtigten nicht, oder ist ihm ihr Aufenthalt unbekannt, so hat er den Fund und die Umstände, welche für die Ermittelung der Empfangsberechtigten erheblich sein können, unverzüglich der zuständigen Behörde anzuzeigen. Ist die Sache nicht mehr als zehn Euro wert, so bedarf es der Anzeige nicht.

Die weiteren Pflichten und Rechte ergeben sich aus den §§ 966 ff BGB, insbesondere nach welcher Frist man das Eigentum an Fundsachen erwirbt.

  • Fernlöschung Es gibt spezielle Software, die per Fernzugriff die Daten auf einem gestohlenen Smartphone oder Laptop löschen kann, vorausgesetzt es besteht eine Internetverbindung.

Infos

  1. BSI-Grundschutzkatalog: https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/kataloge.html
  2. DIN 66399: http://www.beuth.de/de/norm/din-66399-1/155420083
  3. DIN-Spec zur Datenträgervernichtung: http://www.nia.din.de/cmd?artid=148899740&bcrumblevel=1&contextid=nia&subcommitteeid=54771182&level=tpl-art-detailansicht&committeeid=54738935&languageid=de
  4. BSI-Merkblatt: https://www.bsi.bund.de/ContentBSI/Themen/ProdukteTools/VSclean/VS_Clean.html
  5. Muster-Auftrag: https://www.gdd.de/nachrichten/news/neues-gdd-muster-zur-auftragsdatenverarbeitung-gemas-a7-11-bdsg

Der Autor

Die Autorin ist Rechtsanwältin & Fachjournalistin für IT-Recht in Berlin und veröffentlicht seit 1997 in zahlreichen anderen Medien zu Fragen des IT-Rechtes. Darüber hinaus referiert sie regelmäßig zu aktuellen Fragen des Internetrechtes, der IT-Sicherheit und unterrichtet als Lehrbeauftragte für IT-Recht an der Beuth Hochschule für Technik in Berlin. Ihre Beratungsschwerpunkte sind: IT- & Internetrecht, Urheber-, Foto-, Softwarelizenz-, Vertrags- und Markenrecht, Werberecht, Datenschutzfragen sowie internationales Privat- und Europarecht.

« Zurück 1 2 3 4 5

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Sichere Festplattenentsorgung

Festplatten scheiden irgendwann aus dem aktiven Dienst aus und müssen entsorgt werden. Doch auch wenn eine Festplatte für einen Einsatz in einem Computer nicht mehr verwendbar ist, befinden sich noch Daten darauf, die sich mit etwas Mühe auslesen lassen. In unserem Security-Tipp diesen Monat betrachten wir die sichere Festplattenentsorgung.

Datenschutzeinstellungen

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Result

Ausgabe /2023

Themen

Cloud Computing Datenbanken IT-Management Linux Mobil Monitoring Netzwerk Open Source OpenStack Programmieren Security Storage Virtualisierung Web Windows
twitter facebook xing