Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO?
Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO
Nach Art. 4 Nr. 7 DS-GVO ist Verantwortlicher die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet.
- Der bloße Erwerber eines Geräts, auf dem Daten noch vorhanden sind, hat diese Daten nicht selbst erhoben und verfolgt zunächst auch keinen eigenen Zweck mit deren Verarbeitung.
- Eine Verantwortlichkeit i. S. d. DS-GVO wird deshalb nicht automatisch allein durch den Besitz der Daten begründet.
- Der eigentliche Datenschutzverstoß liegt bei dem Händler oder Vorbesitzer, der seiner Pflicht zur ordnungsgemäßen Datenlöschung nicht nachgekommen ist.
Aufsichtsrechtliche Praxis
Die LfD Sachsen-Anhalt vertritt in ihrem 18.-20. Tätigkeitsbericht (Ziffer 3.3) gleichwohl eine erweiterte Sichtweise:
- Bereits der zufällige Besitz personenbezogener Daten Dritter soll eine Verantwortung für den weiteren Umgang auslösen.
- In der Konsequenz wird verlangt, dass der Erwerber das Gerät nicht einfach weiterveräußert, sondern entweder eine datenschutzkonforme Löschung vornimmt oder das Gerät an den Absender zurückgibt.
- Zudem sei der Vorbesitzer bzw. Händler zu informieren.
Rechtlich bedeutet dies eine Ausweitung des Verantwortlichenbegriffs über den Wortlaut der DS-GVO hinaus, denn im Ergebnis wird faktisch eine sekundäre Pflicht zur Schadensbegrenzung konstruiert.
Juristische Bewertung
- Dogmatisch eng: Nach der Systematik der DS-GVO entsteht Verantwortlichkeit erst, wenn der Erwerber tatsächlich über Zwecke und Mittel entscheidet, also z. B. die Daten auswertet oder an Dritte weitergibt.
- Praktisch-repressiv: Die behördliche Sichtweise ist nicht zwingend, verfolgt aber das legitime Ziel, weitere Datenschutzverstöße zu vermeiden. Sie dient also weniger der exakten Normauslegung als der aufsichtsrechtlichen Risikosteuerung.
Handlungsempfehlung
Aus einer Compliance-Perspektive ergibt sich:
- Keine Nutzung oder Weitergabe der vorgefundenen Daten.
- Sichere Löschung unter Einsatz geeigneter Löschverfahren (z. B. Überschreiben des Speicherbereichs, nicht nur „Papierkorb leeren“).
- Alternativ: Rückgabe des Geräts an den Händler mit Hinweis auf den Datenschutzverstoß.
Fazit
Die Verantwortlichkeit für die ursprüngliche Datenschutzverletzung liegt klar beim Händler oder Vorbesitzer. Gleichwohl sollten Erwerber gefundene Daten weder verarbeiten noch weitergeben, sondern durch Löschung oder Rückgabe die weitere Verbreitung verhindern. Damit bewegen sie sich im Einklang mit der behördlichen Erwartungshaltung und vermeiden, faktisch selbst in die Rolle eines (Mit-)Verantwortlichen zu geraten.
(Foto: ArtisticLens – stock.adobe.com)
Letztes Update:04.10.25
Verwandte Produkte
-
0,00 € Mehr erfahren
-
0,00 € Mehr erfahren
-
0,00 € Mehr erfahren
Das könnte Sie auch interessieren
-
Folge 94: KI-Reallabore, Kinder und Gesundheit
Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),
Mehr erfahren -
Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts
Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO
Mehr erfahren -
Datenschutzverstoß beim Online-Recruiting
Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck
Mehr erfahren

