Was ist rechtlich zu beachten, wenn man Dienstleister einschaltet, um alte Festplatten vor dem Verkauf professionell löschen oder vernichten zu lassen? Es gibt für den Einsatz von Dienstleistern, die für Kunden fremde personenbezogene Daten verarbeiten exakte Vorgaben in § 11 BDSG, der die sogenannte Auftragsdatenverarbeitung regelt.
Die Weitergabe der Daten an einen Dienstleister entbindet den Auftraggeber nicht von seinen Datenschutzverpflichtungen. Bevor man den Auftrag erteilt, muss man den Löschanbieter sorgfältig auswählen, indem man etwa auf eine Zertifizierung achtet, beispielsweise durch das BSI. Oder man lässt sich ein Sicherheitskonzept vorlegen, aus dem sich ergibt, welche technischen und organisatorischen Maßnahmen der Anbieter getroffen hat, um den Schutz der personenbezogenen Daten zu gewährleisten.
Ein Kriterium bei der Auswahl des Dienstleisters sollte auch sein, wie sehr das Unternehmen dagegen abgesichert ist, dass Fremde die Räume betreten können, in denen die externen Datenträger gelöscht werden. Eine weitere Frage könnte sein, ob der Dienstleister auch vor Ort im Unternehmen oder in einem mobilen Datenvernichter löschen kann oder aber wie der Transportweg der Datenträger abgesichert ist.
Wichtig ist zudem, welche konkrete technische Methode der Anbieter verwendet, und ob diese die richtige für den eigenen Schutzbedarf ist. Man sollte technische Details bezüglich des Löschverfahrens erfragen. Der Auftrag ist schriftlich zu erteilen, und im Vertrag müssen eine ganze Reihe konkreter Fragen geregelt sein, die sich im Detail aus § 11 Absatz 2 BDSG ergeben. Eine Orientierung findet man hier [5] .
Wichtig ist außerdem, dass man auf ein vollständiges Löschprotokoll achtet, das je nach verwandter Technik genau bestätigt, welcher Datenträger mit identifizierender Seriennummer gelöscht oder vernichtet wurde und ausweist, ob es bei der Datenlöschung Fehler gab oder nicht.
Wird ein Dienstleister eingesetzt, und erteilt man ihm einen Auftrag entgegen den Vorgaben der Auftragsdatenverarbeitung nicht richtig, nicht vollständig oder nicht in vorgeschriebener Weise oder versäumt man es, sich von den technischen und organisatorischen Maßnahmen beim Dienstleister im Vorfeld zu informieren, kann dies mit einem Bußgeld bis zu 50 000 Euro sanktioniert werden, § 43 I Nr. 2 b BDSG.
Ein Mitarbeiter eines Landesbeauftragten für Datenschutz empfiehlt: "Idealerweise sollten Daten überhaupt nicht unverschlüsselt auf den Medien abgelegt werden. Mit einer Grundverschlüsselung braucht man zum sicheren Löschen nur noch den (vergleichsweise sehr kurzen) Schlüssel sicher zu löschen. Wenn die Zerstörung des Mediums eine Option ist, sollte dennoch zuvor eine Löschung durch (mehrfaches) Überschreiben erfolgen."
Der Tipp Daten zu verschlüsseln schlägt gleich mehrere Fliegen mit einer Klappe: Er hilft bei der Frage der Gewährleistung weiter und ist nützlich für versehentlich liegengelassene Datenträger.
Datenschutz bei Gewährleistung
Laptop, Kopierer oder Smartphone sind defekt und müssen eingeschickt werden, oder die externe Festplatte oder der USB Stick sind weder lesbar noch zu löschen. Will man von der Gewährleistung oder von der Garantie des Herstellers Gebrauch machen, muss man das Gerät, samt der darauf befindlichen sensiblen Daten einschicken. Sicher, man hätte vorbeugen und die Daten vorher verschlüsseln können. Aber leider lernt man aus Fehlern erst hinterher. Was tun?
Man sollte das Problem offen gegenüber dem Hersteller/Händler ansprechen und diesen über Datenschutzfragen aufklären. Man könnte sich versichern lassen, dass dieser ausschließlich Funktionen des Sticks überprüft und die Daten nicht einsieht oder kopiert. Zudem sollte er sich vorab schriftlich auf die Einhaltung des Datenschutzes verpflichten und versichern, dass die Mitarbeiter des Herstellers nach § 5 BDSG auf das Datengeheimnis verpflichtet sind.
Bei hoch sensiblen Daten hat der Kunde leider meist die Qual der Wahl zwischen dem Datenschutz und der IT-Sicherheit und auf der anderen Seite seinen Gewährleistungsansprüchen. Dieses Problem sollte man bereits beim Kauf der Geräte mit dem Händler besprechen und dafür eine Lösung suchen. Denn es dient auch nicht den Unternehmensinteressen, auf Gewährleistungsansprüche zu verzichten, um dem Datenschutz nachzukommen. Vergessen sollte man nicht, dass auch Kopierer zum Beispiel Daten speichern und mit kleinen Festplatten ausgestattet sind. Diese kann man ausbauen und dann an einem anderen Rechner angeschlossen, löschen.
Smartphone oder USB-Stick verloren
Angenommen ein externer Datenträger, wie USB-Stick oder Smartphone oder Laptop mit unverschlüsselten Daten geht verloren, weil man diesen etwa im Taxi oder der Bahn vergessen hat.
(2) Kennt der Finder die Empfangsberechtigten nicht, oder ist ihm ihr Aufenthalt unbekannt, so hat er den Fund und die Umstände, welche für die Ermittelung der Empfangsberechtigten erheblich sein können, unverzüglich der zuständigen Behörde anzuzeigen. Ist die Sache nicht mehr als zehn Euro wert, so bedarf es der Anzeige nicht.
Die weiteren Pflichten und Rechte ergeben sich aus den §§ 966 ff BGB, insbesondere nach welcher Frist man das Eigentum an Fundsachen erwirbt.
Infos