Daten Fremder auf einer gekauften Festplatte

Die Landesbeauftragte für Datenschutz Schleswig-Holstein (Unabhängiges Landeszentrum für Datenschutz, ULD) berichtet von einem Datenschutzvorfall mit Bezug zu Daten Fremder auf einer gekauften Festplatte. Was genau vorgefallen war und wie ein Verantwortlicher solch einen Vorfall möglichst vermeiden kann, erläutern wir im Folgenden.

Was geschah

Nach dem Kauf einer vermeintlich neuen Festplatte bemerkte der Käufer, dass der erworbene Datenträger doch schon genutzt worden war. Dies bemerkte der Käufer, da er auf dem Datenträger u. a. auch personenbezogene Daten entdeckte. Der getäuschte Käufer hat über diesen Datenschutzvorfall die Datenschutzaufsicht informiert, die ein Verfahren gegen den IT-Händler eingeleitet hat. Der Käufer wurde lediglich aufgefordert, die Daten zu löschen. – Alternativ könnte er unseres Erachtens auch die gebrauchte Ware zurückgeben und gegen Neuware tauschen. –

Uns geht es in dem Beitrag hier darum, aufzuzeigen, was der IT-Händler hätte tun müssen, um diese Datenpanne zu vermeiden. Vergleichbares gilt für jeden Verantwortlichen, der Speichermedien entsorgt oder als Gebrauchtware verkaufen möchte.

Wer sich über die Einzelheiten zu diesem Fall informieren möchte, findet weitere Informationen unter Punkt 5.1 im Tätigkeitsbericht 2026 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (Link).

Maßnahmen zur Gewährleistung der Löschung und Vernichtung von Daten

Wenn es für die Verarbeitung personenbezogener Daten keine Rechtsgrundlage mehr gibt, sind diese zu löschen/zu vernichten. – Auch die Archivierung oder Speicherung personenbezogener Daten auf einem externen Datenträger stellt eine Verarbeitung i. S. d. Art. 4 Nr. 2 DSGVO dar, auch wenn mit diesen ggf. nicht aktiv gearbeitet wird. – Zur Sicherstellung dessen gibt es verschiedene Maßnahmen, die ein Verantwortlicher implementieren kann:

1)    Erstellung und Umsetzung eines Lösch-/Vernichtungskonzeptes sowie Überprüfung der Einhaltung von dessen Vorgaben.

2)    Dokumentation der Löschung/Vernichtung mithilfe eines entsprechenden Protokolls bzw. Erhalt dessen von einem ggf. eingesetzten Dienstleister.

3)    Abschluss eines Auftragsverarbeitungsvertrages gem. Art. 28 Abs. 3 DSGVO bei Einbezug eines externen Dienstleisters.

Diese Liste ist natürlich nicht abschließend, gibt aber einen groben Überblick über zu ergreifende Maßnahmen.

Weiterführende Prozesse zur Löschung und Vernichtung

Da es sich bei der Vernichtung und Löschung von Daten an sich ebenfalls um eine Verarbeitung personenbezogener Daten handelt, ist auch dieser Verarbeitungsprozess zu dokumentieren. Das bedeutet, hierzu ist entsprechend in Datenschutzinformationen gem. Art. 13 DSGVO – und sofern notwendig, Art. 14 DSGVO – zu informieren. Das Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DSGVO muss die notwendigen Mindestangaben hierzu enthalten. Des Weiteren ist auch hier zu dokumentieren, wer welche Lösch- und/oder Vernichtungsberechtigungen erhält.

Fazit

Natürlich lassen sich Fehler nicht komplett eliminieren. Indem ein Verantwortlicher jedoch die oben genannten Maßnahmen implementiert, kann er das Eintreten eines solchen Fehlers und eines damit zusammenhängenden Datenschutzvorfalles verringern.

Wenn Sie Unterstützung hierzu benötigen, kontaktieren Sie uns gern.