1. Home
  2. Refurbished Notebook mit...
DataAgenda

Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?

Refurbished Notebook und Datenpanne

Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO?

Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO

Nach Art. 4 Nr. 7 DS-GVO ist Verantwortlicher die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet.

  • Der bloße Erwerber eines Geräts, auf dem Daten noch vorhanden sind, hat diese Daten nicht selbst erhoben und verfolgt zunächst auch keinen eigenen Zweck mit deren Verarbeitung.
  • Eine Verantwortlichkeit i. S. d. DS-GVO wird deshalb nicht automatisch allein durch den Besitz der Daten begründet.
  • Der eigentliche Datenschutzverstoß liegt bei dem Händler oder Vorbesitzer, der seiner Pflicht zur ordnungsgemäßen Datenlöschung nicht nachgekommen ist.

Aufsichtsrechtliche Praxis

Die LfD Sachsen-Anhalt vertritt in ihrem 18.-20. Tätigkeitsbericht (Ziffer 3.3) gleichwohl eine erweiterte Sichtweise:

  • Bereits der zufällige Besitz personenbezogener Daten Dritter soll eine Verantwortung für den weiteren Umgang auslösen.
  • In der Konsequenz wird verlangt, dass der Erwerber das Gerät nicht einfach weiterveräußert, sondern entweder eine datenschutzkonforme Löschung vornimmt oder das Gerät an den Absender zurückgibt.
  • Zudem sei der Vorbesitzer bzw. Händler zu informieren.

Rechtlich bedeutet dies eine Ausweitung des Verantwortlichenbegriffs über den Wortlaut der DS-GVO hinaus, denn im Ergebnis wird faktisch eine sekundäre Pflicht zur Schadensbegrenzung konstruiert.

Juristische Bewertung

  • Dogmatisch eng: Nach der Systematik der DS-GVO entsteht Verantwortlichkeit erst, wenn der Erwerber tatsächlich über Zwecke und Mittel entscheidet, also z. B. die Daten auswertet oder an Dritte weitergibt.
  • Praktisch-repressiv: Die behördliche Sichtweise ist nicht zwingend, verfolgt aber das legitime Ziel, weitere Datenschutzverstöße zu vermeiden. Sie dient also weniger der exakten Normauslegung als der aufsichtsrechtlichen Risikosteuerung.

Handlungsempfehlung

Aus einer Compliance-Perspektive ergibt sich:

  • Keine Nutzung oder Weitergabe der vorgefundenen Daten.
  • Sichere Löschung unter Einsatz geeigneter Löschverfahren (z. B. Überschreiben des Speicherbereichs, nicht nur „Papierkorb leeren“).
  • Alternativ: Rückgabe des Geräts an den Händler mit Hinweis auf den Datenschutzverstoß.

Fazit

Die Verantwortlichkeit für die ursprüngliche Datenschutzverletzung liegt klar beim Händler oder Vorbesitzer. Gleichwohl sollten Erwerber gefundene Daten weder verarbeiten noch weitergeben, sondern durch Löschung oder Rückgabe die weitere Verbreitung verhindern. Damit bewegen sie sich im Einklang mit der behördlichen Erwartungshaltung und vermeiden, faktisch selbst in die Rolle eines (Mit-)Verantwortlichen zu geraten.

(Foto: ArtisticLens – stock.adobe.com)

Letztes Update:04.10.25

Verwandte Produkte

Das könnte Sie auch interessieren

  • Incidentmanagement im Krankenhaus

    Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen

    Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite. Untersuchungsgegenstand

    Mehr erfahren
  • Auftragsverarbeiter Kontrolle Verwarnung

    Kontrollversagen bei Auftragsverarbeitung führt zur Verwarnung durch Aufsichtsbehörde

    Auftragsverarbeitung ist kein Freifahrtschein. Wer personenbezogene Daten an Dienstleister auslagert, bleibt als Verantwortlicher in der Pflicht: für Löschkontrolle, Vertragsgestaltung und Incident-Response gleichermaßen. Ein aktueller Fall aus Berlin illustriert eindrücklich, was passiert, wenn alle drei Bereiche gleichzeitig vernachlässgt werden. Der Vorfall Ein von der BVG beauftragter Dienstleister, der im Januar 2025 Briefe und E-Mails im Auftrag

    Mehr erfahren
  • KI Omnibuspaket

    KI-Verordnung: Rat und Parlament einigen sich auf Vereinfachungen im Omnibus-Paket

    Am 7. Mai 2026 haben sich Europäisches Parlament und Rat auf eine vorläufige Einigung zum sogenannten „Digital Omnibus on AI“ verständigt. Es ist damit die erste substanzielle Änderung der KI-Verordnung (EU) 2024/1689, bevor deren zentrale Hochrisiko-Pflichten überhaupt in Kraft getreten sind. Der Vorschlag ist Teil des „Omnibus VII“-Gesetzgebungspakets im Rahmen der EU-Vereinfachungsagenda und zielt darauf

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner