Altgeräte und Datenschutz

Stadtwerke geben ausgediente Telefone mit personenbezogenen Daten weiter

Wieder gab es eine Datenpanne mit Altgeräten – betroffen Stadtwerke in Norddeutschland. Wie eine Online-Redaktion berichtet, wurden alte Telefone der Stadtwerke weiterverkauft und deren Speicher nicht ausreichend gelöscht.

Da es immer wieder zu Unsicherheiten im Umgang mit Altgeräten und deren Weitergabe oder Vernichtung gibt, möchte unser Team von Datenschutzberater.NRW sich heute noch einmal genauer mit diesem Thema befassen.

Fehler führte zur Datenpanne

Was war geschehen: Die Stadtwerke hatten Ihre aussortierten Telefone zur weiteren Verarbeitung an eine Fremdfirma gegeben. Es ist üblich, dass ausrangierte Telefone von Ämtern oder Firmen durch Anbieter bearbeitet werden (Datenlöschung und Geräteaufbereitung) und dann auf den einschlägigen Portalen wieder angeboten werden.

In dem vorliegenden Fall kam es aber – vermutlich durch einen menschlichen Fehler – dazu, dass eben nicht alle Daten vom Telefon gelöscht wurden, was der Käufer des Telefons gemerkt und dem Datenschutzbeauftragten der Stadt gemeldet hatte. Dieser leitete alle nötigen Maßnahmen zur Meldung der Datenpanne ein. (Mehr zu den Meldungen einer Datenpanne finden Sie hier).

Auf dem Telefon waren keine Telefonbücher mehr gespeichert, sondern „nur“ die Wahlwiederholung (Anrufhistorie). Die Datenpanne und das Ausmaß möglicher Folgen hielt sich daher noch in Grenzen. Der Online-Redaktion gelang es allerdings auch, einen Admin-Verlauf auf dem Telefon zu rekonstruieren.

Ein Einzelfall, mit vergleichsweise niedrigen Auswirkungen, der aber zeigt, wie wichtig der richtige Umgang mit Altgeräten für den Datenschutz und die IT-Sicherheit ist.

Altgeräte als ungeahnte Speichermedien

Oft wird unterschätzt, auf welchen Geräten personenbezogene Daten gespeichert werden. Die meisten Nutzer denken, dass nur Daten auf Rechnern, Laptops, Smartphones oder ähnlichen Medien verarbeitet werden. Dem ist natürlich nicht so. Wie das oben genannte Beispiel zeigt, so werden auf beinahe allen Endgeräten Daten gespeichert. Das beschränkt sich beim Telefon nicht nur auf die Wahlwiederholung oder den Speicherplatz der Telefonnummern. Viele Telefone und auch die meiste übrige Hardware (Fax, Drucker, Scanner usw.) verfügen über eine Festplatte, nicht zuletzt, um schneller und leistungsfähiger zu arbeiten, auf der die verarbeiteten Daten gespeichert werden.

Wie Sie Daten richtig löschen können und worauf Sie achten sollten, haben wir bereits in unserem Blog „Datenvernichten aber richtig“ thematisiert. Hierbei sollten sowohl der Datenschutz als auch die IT-Sicherheit eine große Rolle spielen und durch einen Fachmann geprüft werden.

Wie der vorliegende Fall zeigt, kann durch eine nicht ausreichende Löschung der Daten auf dem Datenträger, ein Loch im Datenschutz und der Sicherheit der IT entstehen.
Eine solche Datenpanne muss nach Datenschutzgrundverordnung (EU-DSGVO) und Bundesdatenschutzgesetz (BDSG) auch der zuständigen Aufsichtsbehörde gemeldet werden. Im vorliegenden Beispiel hat der Endverbraucher, der die Datenschutzverletzung festgestellt hat, den Datenschutzbeauftragten der Stadt informiert – dieser hat dann die Panne vorschriftsgemäß gemeldet. Hätte der Käufer die Verletzung des Datenschutzes direkt gemeldet, hätte es durchaus zu einer Strafe von der Aufsichtsbehörde kommen können.

Weiterverkauf von Altgeräten – Was gibt es zu beachten?

Im genannten Fall konnte man die Datenpanne auf den Fehler eines Menschen zurückführen. Trotzdem sollte man sich immer die Frage stellen, wie man das Risiko solcher Einzelfälle möglichst geringhalten kann. Neben dem Schaden, der für das Unternehmen entstehen kann, gilt es die Betroffenenrechte nach DS-GVO und BDSG zu schützen.

Wenn man Altgeräte, auf denen personenbezogene Daten gespeichert sein könnten weitergeben möchte, dann macht es aufgrund der Komplexität Sinn, eine Fremdfirma mit der Löschung und Bearbeitung der alten Geräte zu betrauen. Ein Spezialist, der über das nötige technische und gesetzliche Knowhow verfügt, aber nicht zuletzt auch eine gewisse Verantwortung (beispielsweise in Form einer Versicherung) trägt, ist ein unverzichtbarer Partner. Eine Geheimhaltungsvereinbarung in den Verträgen mit dem Dienstleister sollte eine Selbstverständlichkeit sein, wird von seriösen Anbietern aber schon bei Vertragsabschluss angeboten. Das Vertrauensverhältnis steht hierbei genauso im Vordergrund, wie eine vertraglich wasserfeste Absicherung.

Neben dem Datenschutz gilt es natürlich auch das Unternehmen im Bereich IT-Sicherheit zu schützen. IT-Fachmann und (externer) Datenschutzbeauftragter sollten bei dem Umgang mit Altgeräten, egal ob Leasing, Weitergabe an/durch Dritte oder Entsorgung also immer auch involviert sein.

Besonderheit Datenschutz

Geben Unternehmen die Aufbereitung der Altgeräte an Dritte weiter, verarbeiten diese personenbezogene Daten – denn auch die Löschung der Daten stellt eine Verarbeitung dar. Nach EU-DSGVO muss daher ein Auftragsverarbeitungsvertrag (ADV-Vertrag) geschlossen werden.

Generell benötigen alle, die personenbezogene Daten verarbeiten Löschkonzepte, in denen definiert wird, welche Daten, nach welchen Fristen gelöscht werden und wie sichergestellt werden kann, dass man dies nach den gesetzlichen Vorgaben umsetzen kann. Das gilt auch, wenn die Löschung in Form einer Dienstleistung an Dritte weitergegeben wird.

Da bei Endgeräten wie Telefonen oder Multifunktionsgeräten personenbezogene Daten verarbeitet werden, schreibt die EU-Datenschutzgrundverordnung vor, dass Sie auch für die Entsorgung der Geräte ein Verzeichnis der Verarbeitungstätigkeiten (VVT) erstellen. Diese Verarbeitungsverzeichnisse sind Pflicht für jeden der personenbezogene Daten verarbeitet.

Je nachdem, welche Daten verwendet werden und was auf den Endgeräten gespeichert wird, kann es auch nötig sein, eine Datenschutzfolgenabschätzung (DFA) durchzuführen. In diesem Zusammenhang wird erst eine Risikoanalyse durchgeführt, die sogenannte Schwellwertanalyse, bei der analysiert wird, welches Risiko bei der Verarbeitung der personenbezogenen Daten des Betroffenen und beim Verlust der Daten entstehen kann. Kommt diese zu dem Ergebnis, dass ein Risiko besteht, muss eine DFA erstellt werden.

„Last but not least“ sollten Verantwortliche sich mit dem Bereich der technisch-organisatorischen Maßnahmen beschäftigen. Durch die DSGVO werden die sogenannten TOMs vorgeschrieben. Einfach gesagt, sollten sie hierbei dokumentieren, welche technischen Maßnahmen (analog und digital) genutzt werden, um den Datenschutz zu gewährleisten.

Prüfung durch Datenschutzbeauftragten – Datenpannen vermeiden

Die oben aufgegriffenen Vorgehensweisen bei der Nutzung und Weitergabe von Endgeräten gilt selbstverständlich auch für Geräteleasing, – Miete oder bei einer späteren Entsorgung der Geräte o.ä.. Auch hier müssen Sie sicherstellen, dass der Umgang mit den personenbezogenen Daten DSGVO-konform abläuft.

Zusammenfassend sollte man bei Weitergabe, Rückgabe oder Vernichtung von Altgeräten grob folgendes beachten:

  • Die meisten technischen Geräte besitzen mittlerweile neben dem sichtbaren Speicher, einen Datenträger, der auch personenbezogene Daten speichert. (Dazu gehören z.B. Telefone, Faxgeräte, Multifunktionsgeräte, Scanner, Drucker usw.)
  • Bevor diese Geräte an Dritte weitergegeben werden, müssen alle Speicher sicher gelöscht werden (zur Einhaltung des Datenschutzes und der IT-Sicherheit).
  • Eine „einfache“ Löschung reicht dazu nicht aus (siehe Blog „Datenvernichten aber richtig“).
  • Um sicher zu stellen, dass die Daten sicher gelöscht werden, bietet es sich an einen Fachmann hinzuzuziehen.
  • Bei der Weitergabe der Geräte an eine Spezialfirma, die diese Daten löscht, werden personenbezogene Daten verarbeitet – ein ADV-Vertrag wird zwingend notwendig.
  • Ggf. sollten Sie eine Geheimhaltungsvereinbarung erstellen.
  • Prüfen Sie den Vertrag auch auf die Übernahme der Versicherung bei möglichen Schäden durch die fehlerhafte Löschung oder die Weitergabe der Daten an Dritte.
  • Verarbeitungsverzeichnisse (VVT) erstellen (ggf. für Verwendung, Geräteleasing, Löschung usw.)
  • Erstellen Sie ein Löschkonzept für die Geräte und die darin verarbeiteten Daten.
  • Erarbeiten Sie die technisch-organisatorischen Maßnahmen (TOMs) für Erhebung und Verarbeitung von personenbezogenen Daten.
  • Prüfen Sie, ob eine Datenschutzfolgenabschätzung (DFA) und damit zusammenhängend eine Risikoanalyse (Schwellwertanalyse) notwendig sind.
  • Lassen Sie alle nötigen Vereinbarungen durch Ihren internen oder externen Datenschutzbeauftragten und einen IT-Fachmann prüfen.
  • Wichtig: Dokumentieren Sie alle Vorgehensweisen und sensibilisieren Sie Ihre Mitarbeiter (Mitarbeiterschulungen).
  • Prüfen Sie, ob eine Cyberversicherung (als Erweiterung der betrieblichen Haftpflicht) sinnvoll ist

Datenschutz betrifft alle, die personenbezogene Daten verarbeiten

Betroffenenrechte nach Definition der DSGVO sind auch Informationspflichten des Verantwortlichen. Sie sollten sicherstellen, diesen nach den gesetzlichen Vorgaben nachzukommen – eine Dokumentation aller Vorgaben ist daher verpflichtend. Das gilt im Übrigen für alle, die personenbezogene Daten erheben und verarbeiten, also auch Vereine, jegliche Art von Praxen, Kanzleien oder Unternehmen, unabhängig von Größe und Umsatz.

Personenbezogene Daten werden in beinahe allen Bereichen des Lebens verarbeitet und stellen daher eine nicht zu unterschätzende Herausforderung für alle da, die damit arbeiten. In dem oft undurchschaubaren Dschungel an Vorgaben von DSGVO und BDSG ist es daher nicht immer einfach den richtigen, gesetzlich einwandfreien Weg zu finden und zu beurteilen, was zu tun ist. Hinzukommt, dass Datenschutz heutzutage auch mit der IT-Sicherheit einhergeht, der „analoge“ Datenschutz ist dabei aber auch nicht zu vernachlässigen. Ein Datenschutzberater hilft Ihnen, die komplexen Vorgaben umzusetzen und strukturiert zu dokumentieren.

Datenschutzberater.NRW verbindet Datenschutz und IT-Sicherheit für den Raum Köln, Bonn, Düsseldorf und ganz NRW. Unser Fokus liegt dabei auf einer praxisnahen Umsetzung der Vorgaben von EU-DS-GVO und BDSG. Mit unseren Fachleuten im Bereich Datenschutz, Buchhaltung und IT bieten wir unter anderem folgendes Angebot an:

Nehmen Sie unverbindlich mit uns Kontakt auf – FREECALL, Kontaktformular oder E-Mail – wir helfen Ihnen gerne weiter.

Datenschutz aktuell – Altgeräte und die DS-GVO
Markiert in: