1. Home
  2. Refurbished Notebook mit...
DataAgenda

Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?

Refurbished Notebook und Datenpanne

Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO?

Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO

Nach Art. 4 Nr. 7 DS-GVO ist Verantwortlicher die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet.

  • Der bloße Erwerber eines Geräts, auf dem Daten noch vorhanden sind, hat diese Daten nicht selbst erhoben und verfolgt zunächst auch keinen eigenen Zweck mit deren Verarbeitung.
  • Eine Verantwortlichkeit i. S. d. DS-GVO wird deshalb nicht automatisch allein durch den Besitz der Daten begründet.
  • Der eigentliche Datenschutzverstoß liegt bei dem Händler oder Vorbesitzer, der seiner Pflicht zur ordnungsgemäßen Datenlöschung nicht nachgekommen ist.

Aufsichtsrechtliche Praxis

Die LfD Sachsen-Anhalt vertritt in ihrem 18.-20. Tätigkeitsbericht (Ziffer 3.3) gleichwohl eine erweiterte Sichtweise:

  • Bereits der zufällige Besitz personenbezogener Daten Dritter soll eine Verantwortung für den weiteren Umgang auslösen.
  • In der Konsequenz wird verlangt, dass der Erwerber das Gerät nicht einfach weiterveräußert, sondern entweder eine datenschutzkonforme Löschung vornimmt oder das Gerät an den Absender zurückgibt.
  • Zudem sei der Vorbesitzer bzw. Händler zu informieren.

Rechtlich bedeutet dies eine Ausweitung des Verantwortlichenbegriffs über den Wortlaut der DS-GVO hinaus, denn im Ergebnis wird faktisch eine sekundäre Pflicht zur Schadensbegrenzung konstruiert.

Juristische Bewertung

  • Dogmatisch eng: Nach der Systematik der DS-GVO entsteht Verantwortlichkeit erst, wenn der Erwerber tatsächlich über Zwecke und Mittel entscheidet, also z. B. die Daten auswertet oder an Dritte weitergibt.
  • Praktisch-repressiv: Die behördliche Sichtweise ist nicht zwingend, verfolgt aber das legitime Ziel, weitere Datenschutzverstöße zu vermeiden. Sie dient also weniger der exakten Normauslegung als der aufsichtsrechtlichen Risikosteuerung.

Handlungsempfehlung

Aus einer Compliance-Perspektive ergibt sich:

  • Keine Nutzung oder Weitergabe der vorgefundenen Daten.
  • Sichere Löschung unter Einsatz geeigneter Löschverfahren (z. B. Überschreiben des Speicherbereichs, nicht nur „Papierkorb leeren“).
  • Alternativ: Rückgabe des Geräts an den Händler mit Hinweis auf den Datenschutzverstoß.

Fazit

Die Verantwortlichkeit für die ursprüngliche Datenschutzverletzung liegt klar beim Händler oder Vorbesitzer. Gleichwohl sollten Erwerber gefundene Daten weder verarbeiten noch weitergeben, sondern durch Löschung oder Rückgabe die weitere Verbreitung verhindern. Damit bewegen sie sich im Einklang mit der behördlichen Erwartungshaltung und vermeiden, faktisch selbst in die Rolle eines (Mit-)Verantwortlichen zu geraten.

(Foto: ArtisticLens – stock.adobe.com)

Letztes Update:04.10.25

Verwandte Produkte

Das könnte Sie auch interessieren

  • LLM und Penetrationstest

    Leitfaden für Penetrationstests von LLMs

    Die Allianz für Cyber-Sicherheit hat einen Leitfaden veröffentlicht, der sich mit Penetrationstests für Large Language Models (LLMs) befasst. Ziel ist es, klassische Prüfmethoden aus dem Bereich der IT-Sicherheit auf die spezifischen Eigenschaften und Risiken von LLMs zu übertragen. Für Datenschutz- und Compliance-Verantwortliche ist das Dokument besonders interessant, da Schwachstellen in KI-Systemen unmittelbare Auswirkungen auf die

    Mehr erfahren
  • Beendigung einer Auftragsverarbeitung

    Praxistipps für die Beendigung einer Auftragsverarbeitung

    Das GDD-Kurzpapier 3 bietet praxisorientierte Empfehlungen zur datenschutzkonformen Beendigung von Auftragsverarbeitungsverhältnissen gemäß Art. 28 Abs. 3 S. 2 lit. g) DS-GVO. Es richtet sich an Datenschutzbeauftragte und Verantwortliche, die ihre Pflichten im Zusammenhang mit der Beendigung von Auftragsverarbeitungen verstehen und umsetzen möchten. Pflichten des Auftragsverarbeiters Gemäß Art. 28 Abs. 3 S. 2 lit. g) DS-GVO

    Mehr erfahren
  • Landes - und Bündnisverteidigung

    Rechtslage bei Verteidigungsfällen – Relevanz für Arbeitgeber

    Die Bundesvereinigung der Deutschen Arbeitgeber (BDA) hat ein Positionspapier zu den arbeits- und sicherheitsrechtlichen Rahmenbedingungen im Spannungs- und Verteidigungsfall veröffentlicht. Vor dem Hintergrund der aktuellen geopolitischen Lage wird deutlich, dass auch Unternehmen einen Beitrag zur Landes- und Bündnisverteidigung leisten müssen. Auch für Datenschutz- und Compliance-Verantwortliche ist das Papier relevant, da es nicht nur Eingriffe in

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner