1. Home
  2. Refurbished Notebook mit...
DataAgenda

Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?

Refurbished Notebook und Datenpanne

Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO?

Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO

Nach Art. 4 Nr. 7 DS-GVO ist Verantwortlicher die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet.

  • Der bloße Erwerber eines Geräts, auf dem Daten noch vorhanden sind, hat diese Daten nicht selbst erhoben und verfolgt zunächst auch keinen eigenen Zweck mit deren Verarbeitung.
  • Eine Verantwortlichkeit i. S. d. DS-GVO wird deshalb nicht automatisch allein durch den Besitz der Daten begründet.
  • Der eigentliche Datenschutzverstoß liegt bei dem Händler oder Vorbesitzer, der seiner Pflicht zur ordnungsgemäßen Datenlöschung nicht nachgekommen ist.

Aufsichtsrechtliche Praxis

Die LfD Sachsen-Anhalt vertritt in ihrem 18.-20. Tätigkeitsbericht (Ziffer 3.3) gleichwohl eine erweiterte Sichtweise:

  • Bereits der zufällige Besitz personenbezogener Daten Dritter soll eine Verantwortung für den weiteren Umgang auslösen.
  • In der Konsequenz wird verlangt, dass der Erwerber das Gerät nicht einfach weiterveräußert, sondern entweder eine datenschutzkonforme Löschung vornimmt oder das Gerät an den Absender zurückgibt.
  • Zudem sei der Vorbesitzer bzw. Händler zu informieren.

Rechtlich bedeutet dies eine Ausweitung des Verantwortlichenbegriffs über den Wortlaut der DS-GVO hinaus, denn im Ergebnis wird faktisch eine sekundäre Pflicht zur Schadensbegrenzung konstruiert.

Juristische Bewertung

  • Dogmatisch eng: Nach der Systematik der DS-GVO entsteht Verantwortlichkeit erst, wenn der Erwerber tatsächlich über Zwecke und Mittel entscheidet, also z. B. die Daten auswertet oder an Dritte weitergibt.
  • Praktisch-repressiv: Die behördliche Sichtweise ist nicht zwingend, verfolgt aber das legitime Ziel, weitere Datenschutzverstöße zu vermeiden. Sie dient also weniger der exakten Normauslegung als der aufsichtsrechtlichen Risikosteuerung.

Handlungsempfehlung

Aus einer Compliance-Perspektive ergibt sich:

  • Keine Nutzung oder Weitergabe der vorgefundenen Daten.
  • Sichere Löschung unter Einsatz geeigneter Löschverfahren (z. B. Überschreiben des Speicherbereichs, nicht nur „Papierkorb leeren“).
  • Alternativ: Rückgabe des Geräts an den Händler mit Hinweis auf den Datenschutzverstoß.

Fazit

Die Verantwortlichkeit für die ursprüngliche Datenschutzverletzung liegt klar beim Händler oder Vorbesitzer. Gleichwohl sollten Erwerber gefundene Daten weder verarbeiten noch weitergeben, sondern durch Löschung oder Rückgabe die weitere Verbreitung verhindern. Damit bewegen sie sich im Einklang mit der behördlichen Erwartungshaltung und vermeiden, faktisch selbst in die Rolle eines (Mit-)Verantwortlichen zu geraten.

(Foto: ArtisticLens – stock.adobe.com)

Letztes Update:04.10.25

Verwandte Produkte

Das könnte Sie auch interessieren

  • LinkedIn-Vernetzung ist keine Werbeeinwilligung

    LinkedIn-Verrnetzung begründet keine Einwilligung für Werbe‑E‑Mails

    Das AG Düsseldorf hat mit Urteil vom 20.11.2025 (Az. 23 C 120/25) klargestellt, dass berufliche Vernetzung in sozialen Netzwerken keine Einwilligung für den Versand werblicher E-Mails begründet. Hintergrund war ein Fall, in dem ein IT-Dienstleister zwei Werbe-E-Mails an eine GmbH sandte, die lediglich über LinkedIn vernetzt war, ohne dass eine ausdrückliche Zustimmung vorlag. LinkedIn-Kontakte ≠ Einwilligung für

    Mehr erfahren
  • Keine Vergütung für verstecktes KI-Gutachten

    Vergütung für nicht deklariertes „KI-Gutachten“ kann verweigert werden

    Das Landgericht Darmstadt hat in einem Beschluss vom November 2025 (19 O 527/16) klargestellt, dass eine erhebliche, nicht gegenüber dem Gericht offengelegte Verwendung von Künstlicher Intelligenz (KI) bei der Erstellung eines gerichtlichen Sachverständigengutachtens zur vollständigen Versagung der Vergütung führen kann. Damit stärkt das Gericht die Anforderungen an Transparenz, persönliche Leistungspflicht und Nachvollziehbarkeit bei Gutachten, die im Rahmen zivilprozessualer

    Mehr erfahren
  • Dateiablagen als Quelle von Datenpannen

    Gemeinsame Dateiablagen als datenschutzrechtliches Risiko

    In der Aktuellen Kurz-Information 65 weist der Bayerische Landesbeauftragte für den Datenschutz auf die erhebliche Gefahr von Datenpannen durch gemeinsam genutzte Dateiablagen hin. Betroffen sind sowohl klassische Netzlaufwerke als auch moderne Kollaborationsplattformen wie Microsoft SharePoint. Diese Systeme dienen zwar der effizienten Zusammenarbeit, können jedoch bei unzureichender Konfiguration und Organisation zu unbeabsichtigten Offenlegungen personenbezogener Daten führen.

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner