1. Home
  2. Refurbished Notebook mit...
DataAgenda

Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?

Refurbished Notebook und Datenpanne

Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO?

Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO

Nach Art. 4 Nr. 7 DS-GVO ist Verantwortlicher die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet.

  • Der bloße Erwerber eines Geräts, auf dem Daten noch vorhanden sind, hat diese Daten nicht selbst erhoben und verfolgt zunächst auch keinen eigenen Zweck mit deren Verarbeitung.
  • Eine Verantwortlichkeit i. S. d. DS-GVO wird deshalb nicht automatisch allein durch den Besitz der Daten begründet.
  • Der eigentliche Datenschutzverstoß liegt bei dem Händler oder Vorbesitzer, der seiner Pflicht zur ordnungsgemäßen Datenlöschung nicht nachgekommen ist.

Aufsichtsrechtliche Praxis

Die LfD Sachsen-Anhalt vertritt in ihrem 18.-20. Tätigkeitsbericht (Ziffer 3.3) gleichwohl eine erweiterte Sichtweise:

  • Bereits der zufällige Besitz personenbezogener Daten Dritter soll eine Verantwortung für den weiteren Umgang auslösen.
  • In der Konsequenz wird verlangt, dass der Erwerber das Gerät nicht einfach weiterveräußert, sondern entweder eine datenschutzkonforme Löschung vornimmt oder das Gerät an den Absender zurückgibt.
  • Zudem sei der Vorbesitzer bzw. Händler zu informieren.

Rechtlich bedeutet dies eine Ausweitung des Verantwortlichenbegriffs über den Wortlaut der DS-GVO hinaus, denn im Ergebnis wird faktisch eine sekundäre Pflicht zur Schadensbegrenzung konstruiert.

Juristische Bewertung

  • Dogmatisch eng: Nach der Systematik der DS-GVO entsteht Verantwortlichkeit erst, wenn der Erwerber tatsächlich über Zwecke und Mittel entscheidet, also z. B. die Daten auswertet oder an Dritte weitergibt.
  • Praktisch-repressiv: Die behördliche Sichtweise ist nicht zwingend, verfolgt aber das legitime Ziel, weitere Datenschutzverstöße zu vermeiden. Sie dient also weniger der exakten Normauslegung als der aufsichtsrechtlichen Risikosteuerung.

Handlungsempfehlung

Aus einer Compliance-Perspektive ergibt sich:

  • Keine Nutzung oder Weitergabe der vorgefundenen Daten.
  • Sichere Löschung unter Einsatz geeigneter Löschverfahren (z. B. Überschreiben des Speicherbereichs, nicht nur „Papierkorb leeren“).
  • Alternativ: Rückgabe des Geräts an den Händler mit Hinweis auf den Datenschutzverstoß.

Fazit

Die Verantwortlichkeit für die ursprüngliche Datenschutzverletzung liegt klar beim Händler oder Vorbesitzer. Gleichwohl sollten Erwerber gefundene Daten weder verarbeiten noch weitergeben, sondern durch Löschung oder Rückgabe die weitere Verbreitung verhindern. Damit bewegen sie sich im Einklang mit der behördlichen Erwartungshaltung und vermeiden, faktisch selbst in die Rolle eines (Mit-)Verantwortlichen zu geraten.

(Foto: ArtisticLens – stock.adobe.com)

Letztes Update:04.10.25

Verwandte Produkte

Das könnte Sie auch interessieren

  • Folge 81: Wer haftet für KI-Schäden?

    Folge 81: Wer haftet für KI-Schäden?

    Im November 2025 hat die GEMA in einem wichtigen Verfahren vor dem Landgericht München einen Sieg gegen Open AI, den Entwickler von ChatGPT, errungen. Die spannende Frage lautet spitz gestellt: Befinden sich in KI-Modellen Vervielfältigungen von urheberrechtlich geschützten Inhalten? Das Gericht in München hat das bejaht. Die Materie ist kompliziert, aber wichtig. Was bedeutet die

    Mehr erfahren
  • Folge 80: KI als Lernprozess – Raphaela Edelbauer erhält den GDD-Datenschutzpreis 2025

    Folge 80: KI als Lernprozess – Raphaela Edelbauer erhält den GDD-Datenschutzpreis 2025

    Die österreichische Autorin Raphaela Edelbauer hat 2021 ihr Buch DAVE vorgelegt. Der mit dem Österreichischen Buchpreisausgezeichnete Science-Fiction-Roman sieht die Menschheit auf dem Weg in ein kollektives künstliches Bewusstsein. In dieser Welt ist die Privatsphäre bedeutungslos geworden und der Datenschutz hat sein Schutzobjekt verloren. Der GDD-Vorstand hat Raphaela Edelbauer für diese kluge Mahnung zur Wahrung der

    Mehr erfahren

  • Folge 79: Datenschutzmanagementsoftware im Praxischeck

    Die rechtlichen Anforderungen an die Umsetzung der technisch-organisatorischen Maßnahmen an die Datenverarbeitung nach der DS-GVO werden immer komplexer. Vor diesem Hintergrund stellt sich Frage nach tauglicher Software immer drängender. Der Rechtsanwalt Michael Rohrlich und Datenschutzberater Marc Oliver Thoma testen regelmäßig derartige Tools. Im Podcast geben die Experten GDD-Geschäftsführer Andreas Jaspers und mir unter anderem Auskunft

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner