Regulierung

Bericht des Berliner Beauftragten Stellungnahme des Senats für Datenschutz und Informationsfreiheit bevor man an den sorgfältigen Umgang mit personenbezogenen Unterlagen denkt, die nicht mehr gebraucht werden. Da das Unternehmen erfreuliche Konsequenzen gezogen hat, verzichten wir an dieser Stelle darauf, seinen Namen zu nennen.

Die Abgabe gebrauchter Computer

Die Datenschutzfragen bei der Abgabe gebrauchter Computer an Dritte stellen sich immer, wenn ein gebrauchter Computer durch einen neuen ersetzt werden soll und der alte Computer noch gut genug ist, um anderen zu dienen, er also verschenkt oder verkauft wird. Eine ähnliche Situation ergibt sich, wenn ein Computer zur Reparatur gegeben werden muss.

Verschenken oder Verkaufen gebrauchter Computer

Durch das Internet sind wir auf die hilfreiche Aktion „Computer für bedürftige Menschen" aufmerksam geworden. Der Berliner Verein repariert mit den Kursteilnehmenden ausrangierte und defekte Computer, die dann an gemeinnützige Organisationen und an Menschen verschenkt werden, die sich keinen Computer leisten können. So sehr wir solche Aktionen befürworten: Es müssen bestimmte Maßnahmen getroffen werden, um nicht in eine Datenschutzfalle zu geraten.

Denn wer möchte schon „seinen Computer und alle darauf gespeicherten Daten" verschenken?

Dabei reicht es nicht aus, mit den Systembefehlen des Betriebssystems alle Dateien mit persönlichen Daten, die installierte Software, den elektronischen Papierkorb, Cookies, temporäre Daten usw. zu löschen oder gar die Festplatte zu formatieren. Dass dies ausreicht, ist leider ein verbreiteter Irrtum, denn grundsätzlich reichen Löschaktionen bzw. Formatierungen mit den Systembefehlen des Betriebssystems nicht aus, um die Daten ein für alle Mal unschädlich zu machen. Es gibt nämlich frei verfügbare Tools, die eine Wiederherstellung derart gelöschter Dateien ermöglichen. Für den Fall, dass eine versehentlich gelöschte Datei gerettet werden soll, ist dies zwar durchaus positiv.

Werden jedoch die Daten einer verkauften „fremden" Festplatte mit sensiblen personenbezogenen Daten wiederhergestellt, so ist dem Missbrauch dieser Daten Tür und Tor geöffnet. Es gibt grundsätzlich zwei Maßnahmen für das sichere Löschen:

Das mehrfache Überschreiben mit Zufallszahlen hilft selbst gegen ausführliche Analysen in Speziallaboren. Hier kann von einer datenschutzgerechten Löschung gesprochen werden. Wir haben

Das sichere Löschen von Datenträgern ist eine notwendige Maßnahme, um die unbefugte Kenntnisnahme von Daten zu verhindern. Die vom Berliner Beauftragten für Datenschutz und Informationsfreiheit aufgelisteten Maßnahmen entsprechen den für die Berliner Verwaltung geltenden Regelungen und sind im „Modellsicherheitskonzept für die Behörden der Berliner Verwaltung" enthalten.

Vgl. Faltblatt der LDA Brandenburg: Verräterische Spuren auf Festplatten ­ Hinweise zum sicheren Löschen von Daten Bericht des Berliner Beauftragten Stellungnahme des Senats für Datenschutz und Informationsfreiheit dies auch dem Verein empfohlen, der die dafür notwendigen Löschtools kostenlos im Internet finden kann. Der Verein teilte uns mit, dass er entsprechend verfahren wird.

Sofern die Festplatte defekt ist oder das oben beschriebene Löschen zu aufwändig erscheint oder wenn die Daten so schutzwürdig sind, dass an der ausreichenden Wirkung der Löschtools Zweifel bestehen, gibt es die Möglichkeit, die Festplatte physisch zu zerstören und damit unbrauchbar zu machen.

Wer ältere bzw. benutzte Computer verkauft, verschenkt oder entsorgt, sollte die auf der Festplatte gespeicherten Daten durch mehrfaches Überschreiben datenschutzgerecht löschen. Tools sind im Internet frei verfügbar.

Computer in der Reparatur Unverhofft kommt oft! Nichts geht mehr. Der Computer muss zur Reparatur gebracht werden. Was sollte dabei vorher beachtet werden?

Aus dem Schneider sind alle, die grundsätzlich vertrauliche (ob personenbezogene oder anderweitig schutzbedürftige) Daten ohnehin verschlüsselt gespeichert haben. Die benötigte Software, die allen aktuellen Ansprüchen genügt, ist im Internet sogar frei verfügbar. Die Datensicherung sollte regelmäßig durchgeführt und an einem sicheren ­ nur für Befugte zugreifbaren ­ Ort aufbewahrt werden. Dies hilft dabei, die Benutzung mit einem anderen verfügbaren Computer fortzusetzen. Sofern es noch möglich ist, die Festplatte vor der Abgabe des Rechners zur Reparatur zu formatieren oder gar wie beschrieben zu löschen, kann auch in solchen Fällen die Arbeit an ei nem anderen Computer fortgesetzt werden. Die Reparatur selbst sollte, wenn möglich, vor Ort und unter Aufsicht durchgeführt werden. Diese Möglichkeit besteht zwar hauptsächlich bei größeren betrieblichen IT-Infrastrukturen, aber selbst für private ComputerNutzende gibt es Reparaturdienste, die Hausbesuche machen.

Um mögliche Risiken bei einer Reparatur von IT-Geräten ausschließen zu können, ist eine Reihe von unterschiedlichen Sicherheitsmaßnahmen zu beachten.

Die vom Berliner Beauftragten für Datenschutz und Informationsfreiheit aufgelisteten Maßnahmen finden sich in den geltenden Regelungen für die Berliner Verwaltung, insbesondere im Modellsicherheitskonzept (s. o. zu Tz. 13.4.1) an unterschiedlichen Stellen.

Die Senatsverwaltung für Inneres und Sport wird bei der nächsten Aktualisierung des Modellsicherheitskonzeptes prüfen, ob die Einzelmaßnahmen in einem gesonderten Abschnitt „Reparatur" in geschlossener Form dargestellt werden können.

Muss der Computer jedoch zum Händler gebracht werden, ist Folgendes zu beachten: Grundsätzlich sollte das Serviceunternehmen auf seine Verschwiegenheitspflicht hingewiesen und ggf. die Allgemeinen Geschäftsbedingungen daraufhin geprüft werden. Ansonsten sollte ein Passus in den Reparaturauftrag auf107 Wir empfehlen eine Internetsuche, z. B. mit den Stichwörtern Eraser, Shredder oder Wipe.

Vgl. 13.4.1

Bericht des Berliner Beauftragten Stellungnahme des Senats für Datenschutz und Informationsfreiheit genommen werden, der das Unternehmen zur Verschwiegenheit verpflichtet. Die sensiblen Daten oder die komplette Festplatte sollten vor der Reparatur gesichert werden (Backup, Image oder einfache Kopie der Dateien). Das ist natürlich nur möglich, wenn auf die Festplatte noch zugegriffen werden kann. Im Anschluss sollten zumindest die sensitiven Daten gelöscht werden (Vorsicht: Auch temporäre Daten, Datensicherungsdateien, Cookies, Caches, Links usw. können sensitive Daten enthalten). Hierzu empfehlen wir die erwähnte datenschutzgerechte Löschung

, bei der zumindest die Daten mehrfach überschrieben werden. Besser ist natürlich, wenn die komplette Festplatte datenschutzgerecht gelöscht wird. Sollte sie derartige Defekte aufweisen, dass sie ausgetauscht werden muss, sollte vorher schriftlich vereinbart werden, dass sie datenschutzgerecht entsorgt oder der Besitzerin bzw. dem Besitzer des Computers zurückgegeben wird.

Bei der Herausgabe eines Computers zur Reparatur müssen hinreichende Maßnahmen ergriffen werden, um sich gegen den Missbrauch der Daten abzusichern. Das Spektrum der Maßnahmen reicht vom Vertrauen auf die Einhaltung schriftlich fixierter Garantien bis zum vorherigen Ausbau der Festplatte bzw. ihrer physischen Zerstörung.

14. Telekommunikation und Medien

Europäische Union: Novellierung der Telekommunikations-Datenschutzrichtlinie

Die Überarbeitung des Regulierungsrahmens für elektronische Kommunikationsnetze und -dienste in der Europäischen Union ist weiter vorangeschritten. Das Europäische Parlament möchte den Vorschlag dahingehend ändern, dass die Regulierungsb hörden zwar regelmäßig, die Betroffenen aber nur

Vgl. Fußnote 106

112 Entschließung des Europäischen Parlaments T6-0452/2008 vom 24. September 2008, Abänderungen 187/REV, 184,

110 JB 2006, 10.1.1.