Datenträger weitergeben: Was sagt das Gesetz dazu?

© Michael Biehler, 123RF

Löschen reicht nicht

Wer unbedacht einen alten Rechner oder eine Festplatte weiterverkauft, kann durchaus mit dem Gesetz in Konflikt geraten. Zum Beispiel, weil er einen Datenschutzskandal verursacht. Aber wie stellt man sicher, dass weitergegebene Datenträger nicht mehr lesbar sind? Wie entsorgt man Datenträger datenschutzkonform? Seit Oktober 2012 gibt es eine neue DIN-Norm zum Thema.
RAID-Technologie verspricht höhere Performance und mehr Sicherheit beim permanenten Speichern von Daten. Die ADMIN-Redaktion gibt einen Überblick über ... (mehr)

Es ist kein Einzelfall, dass im Internet gebrauchte Festplatten versteigert werden und sich darauf noch vertrauliche Daten befinden. So fand ein Sicherheitsunternehmen sensible Patientendaten von Unfalleinsätzen einer österreichischen Rettungsorganisation auf versteigerten Festplatten bei eBay. Der Verkäufer hatte vergeblich versucht, die Platte durch Formatierung zu löschen. Das Sicherheitsunternehmen konnte Patientendaten, Kontaktadressen und Unfallfotos mithilfe eines Wiederherstellungsprogrammes auslesen. Welche rechtlichen und technischen Vorgaben gelten für die Entsorgung von nicht mehr benötigten oder defekten Festplatten und den Weiterverkauf des alten iPhone 4? Wie geht man auf Nummer sicher, dass die Daten darauf gelöscht sind? Was verlangt das Datenschutzrecht?

Sicherheitsstufe ermitteln

Es kommt zunächst einmal darauf an, welche Daten sich auf dem Datenträger befinden. Sind es nur Daten, die den Inhaber selbst betreffen, kann er die Festplatte problemlos verkaufen oder weitergeben, an wen er möchte. Dies wird jedoch in den wenigsten Fällen so sein. In der Regel finden sich E-Mails, Briefe, Bankdokumente, Fotos von Freunden, Konzepte, Zeichnungen, Firmeninterna oder andere vertrauliche Daten auf dem Rechner, und damit ist auch das Geheimhaltungsinteresse des Korrespondenzpartners zu wahren.

Die Dateien können personenbezogene Daten beinhalten – Daten, mit der eine Person identifiziert werden kann. Diese werden vom Datenschutzrecht, etwa dem BDSG geschützt. Es ist nur mit Einwilligung des Betroffenen oder aufgrund eines Gesetzes erlaubt, personenbezogene Daten weiterzugeben. Keine Anwendung findet das Datenschutzrecht für rein private oder familiäre Daten. Daneben schützen weitere Gesetze das Grundrecht auf informationelle Selbstbestimmung nach Artikel 1 in Verbindung mit Artikel 2 des Grundgesetzes. So gilt etwa für Fotos von Freunden oder Geschäftspartnern auf der Festplatte zusätzlich das Recht am Bild dieser Personen aus dem Kunsturheberrechtsgesetz (KUG).

Verstöße können teuer werden

Der Datenschutz ist mittlerweile kein Papiertiger mehr. Unternehmen erleiden große Imageverluste, wenn die falschen Daten an die Öffentlichkeit gelangen. Aufsichtsbehörden sind dazu übergegangen, Datenschutzverstöße mit empfindlichen Bußgeldern zu ahnden. Betriebe sind seit einiger Zeit nach § 42 a Bundesdatenschutzgesetz sogar dazu verpflichtet, bestimmte Datenschutzpannen im Unternehmen zu melden. Verschweigt ein Unternehmen einen Zwischenfall, drohen nach § 43 BDSG bis zu 300.000 Euro Geldbuße.

Dass dies nicht nur blanke Theorie ist zeigt etwa der 40. Tätigkeitsbericht des Hessischen Landesbeauftragten für Datenschutz von 2011: Es wurden seit dem 1.9.2009 zahlreiche Fälle gemeldet, mehrheitlich Diebstähle von Datenträgern, etwa Laptops. Diese enthielten unter anderem Daten zu Bankverbindungen und Kontonummern. Auch Verstöße gegen die sogenannte Auftragsdatenverarbeitung sanktionieren Datenschutzaufsichtsbehörden regelmäßig. Das wird relevant, wenn man einen externen Dienstleister mit Tätigkeiten betraut, bei denen dieser Zugriff auf die personenbezogenen Daten des Unternehmens hat. Dafür gibt es konkrete Vorgaben, die man bei der Auftragsvergabe zu beachten hat. Mehr dazu weiter unten.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023