Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

7 Tipps, um ausrangierte Hardware datenschutzsicher zu machen

0 Beurteilungen

Von Wolfram von Gagern,

Was Sie beachten müssen, wenn Sie bei der Weitergabe von ausrangierter Hardware jegliches Datenschutzrisiko ausschließen möchten, lesen Sie im Folgenden.

 

Tipp 1: Machen Sie das Problem deutlich

Beim Ausrangieren von Computern muss vor allem einem Bauteil besonderes Augenmerk geschenkt werden: der Festplatte. Schließlich sind auf dieser nicht nur das Betriebssystem, sondern auch alle sonstigen Daten gespeichert.

Und unter diesen Daten werden sich mit Sicherheit personenbezogene Daten befinden. Denken Sie nicht nur an Dateien oder Dokumente, sondern auch an Systemprotokolle. Und diese personenbezogenen Daten müssen datenschutzkonform gelöscht werden, um etwa den Anforderungen aus § 35 Abs. 2 Bundesdatenschutzgesetz (BDSG) zu entsprechen.

Tipp 2: Einfach nur löschen oder formatieren reicht nicht

Bei Festplatten ist es gar nicht so einfach, Daten zu löschen. Denn wenn der systemseitige Löschbefehl verwendet oder Dateien in den Papierkorb verschoben werden, passiert Folgendes: Wie bei einem Buch wird quasi nur das Inhaltsverzeichnis entfernt.

Alle Informationen sind nach wie vor vorhanden. Und man kann sie leicht lesen bzw. wiederherstellen. Insofern reicht es generell auch nicht aus, wenn eine Festplatte beispielsweise mittels Befehls „format c:“ formatiert wird. Auch hier sind die Daten meist problemlos wiederherstellbar.

Tipp 3: Kein Hexenwerk: Sicheres Löschen

Empfehlen Sie, dass Daten und Festplatten datenschutzkonform gelöscht werden. Idealerweise wird hierzu speziell entwickelte Software eingesetzt. Wenn Sie davon ausgehen, dass das wohl für Ihr Unternehmen eine teure Angelegenheit werden dürfte, können Sie beruhigt sein.

Es gibt verschiedene kostenlose Software, wie etwa „DBAN“ (Darik’s Boot and Nuke) oder „Secure Eraser“. Mit diesen Programmen lassen sich Daten und ganze Festplatten so löschen, dass die ursprünglich enthaltenen Daten nicht mehr wiederhergestellt werden können. Hierzu werden die Speicherbereiche mehrfach mit Nullen und Einsen überschrieben.

Wichtig: Mehrfach überschreiben ist sicherer

Welche Löschmethode zum Einsatz kommen sollte und wie häufig mit Nullen und Einsen überschrieben werden muss, ist unter Fachleuten umstritten. Um auf Nummer sicher zu gehen, sollten Methoden, welche die zu löschenden Daten nur einfach überschreiben, nicht verwendet werden.

Empfehlen Sie bei weniger kritischen Daten (z. B. Adressen, Telefonnummern, einfachen Schreiben) ein dreifaches Überschreiben. Bei sensibleren Informationen (z. B. Beurteilungen, Gehaltsinformationen, besonderen Arten personenbezogener Daten nach § 3 Abs. 9 BDSG, Daten, die eine Information nach § 42a BDSG auslösen können), sollte mindestens siebenfach überschrieben werden.

 

Tipp 4: Sprechen Sie mit der IT-Abteilung

Bevor Sie die Nutzung bestimmter Löschsoftware und -methoden empfehlen, sollten Sie einmal in der IT-Abteilung vorbeischauen. Klären Sie ab, inwieweit das Ende von XP ein Thema ist und wie man sich den Wechsel aus IT-Sicht vorstellt. Hierbei können Sie dann auch leicht auf das datenschutzkonforme Löschen zu sprechen kommen.

Möglicherweise ist man sich der Problematik schon bewusst. Wenn nicht, dann weiß man dank Ihnen nun Bescheid. Gemeinsam können Sie dann das weitere Vorgehen und frühzeitig einen Prozess festlegen.

Tipp 5: Achtung bei Einschaltung von Dienstleistern

Vielleicht möchte man in Ihrem Unternehmen möglichst wenig Aufwand mit der ganzen Sache haben. Sollen die ausgemusterten Geräte verkauft werden, muss Ihr Unternehmen sicherstellen, dass darauf gespeicherte personenbezogene Daten nicht in falsche Hände geraten.

Das heißt also, sie müssen auf jeden Fall gelöscht werden, um den Anforderungen aus § 35 Abs. 2 BDSG zu genügen. Doch auch wenn ein Dienstleister die Datenlöschung übernehmen soll, ist das Thema Datenschutz noch lange nicht erledigt. Warum? Es liegt eine Datenverarbeitung im Auftrag vor.

Tipp 6: Auftragsdatenverarbeitung nach § 11 BDSG

Manchmal wird übersehen, dass es sich beim Löschen von personenbezogenen Daten um eine Form der Datenverarbeitung handelt (§ 3 Abs. 4 Nr. 5 BDSG). Beauftragt Ihr Unternehmen ein anderes Unternehmen mit der Verarbeitung personenbezogener Daten, liegt ein Fall der Datenverarbeitung im Auftrag vor.

Das bedeutet: Ihr Unternehmen muss die Rahmenbedingungen des §11 BDSG einhalten. Neben einer schriftlichen Vereinbarung mit dem Inhalt nach § 11 Abs. 2 BDSG treffen Ihr Unternehmen auch Kontrollpflichten zu den vereinbarten technischen und organisatorischen Schutzmaßnahmen (Anlage zu § 9 Satz 1 BDSG).

Wichtig: Datenschutzrechtliche Verantwortung bleibt bei Ihnen

Auch wenn eine Löschung durch einen Dienstleister erfolgen soll, heißt dies für Ihr Unternehmen nicht, dass es mit der ganzen Sache nichts mehr zu tun hat. Ihr Unternehmen bleibt als Auftraggeber datenschutzrechtlich verantwortlich (§ 11 Abs. 1 Satz 1 BDSG).

Und zwar auch für das, was der Dienstleister tut. Kommt es zu Datenschutzverstößen, muss zunächst Ihr Unternehmen die Konsequenzen tragen.

Tipp 7: Stimmen Sie sich mit der Unternehmensleitung ab

Wie man mit dem Auslaufen des Supports von XP, der eventuellen Entsorgung alter XP-Rechner und dem Thema Löschen von Festplatten umgehen will, müssen Sie nicht entscheiden.

Als Datenschutzbeauftragter wirken Sie lediglich auf den Datenschutz hin (§ 4g Abs. 1 Satz 1 BDSG). Sie beraten und die Entscheidung über das Vorgehen muss letztendlich die Unternehmensleitung treffen.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!