Umgang mit personenbezogenen Daten bei der Computer-Reparatur
DSGVO Art 28, 32, 82-83
Immer wieder finden sich Meldungen, in denen berichtet wird, dass (teils besonders geschützte) personenbezogene Daten in die Hände Dritter gelangt sind, weil im Zusammenhang mit Reparaturen z.B. Computerfestplatten ausgebaut und später repariert, weiterverkauft und von Dritten verwendet wurden.
Grundsätzlich gelten Sicherheits- und Datenschutzbestimmungen auch im Reparatur- oder Gewährleistungsfall. Ein Händler der einen Computer mit personenbezogenen Daten übernimmt ist als Auftragsverarbeiter im Sinne des Art 28 DSGVO einzustufen. Das heißt persönliche Daten, die sich auf dem zu reparierenden Gerät befinden dürfen weder weitergegeben, noch selbst zur Kenntnis genommen werden.
Darüber hinaus ist die Reparaturwerkstatt auch zu Sicherheitsmaßnahmen gemäß Art 32 DSGVO verpflichtet. Das heißt, die Reparaturwerkstatt muss als Auftragsverarbeiter angemessene, technisch organisatorische Sicherheitsmaßnahmen garantieren.
Trotz dieser verordnungsrechtlich vorgesehenen Verpflichtungen muss jedoch jeder Betroffene der einen Computer zur Reparatur gibt selbst einige Maßnahmen setzen, um die Sicherheit der Daten zu gewährleisten.
Technische Maßnahmen sind vorzuziehen
Die wichtigste und effizienteste Möglichkeit ist die Erstellung eines Backups und die anschließende (verlässliche) Löschung (Neuformatierung) der Festplatte vor der Reparatur. Auch ein Ausbau der Festplatte kann Sinn machen.
Bei einer Formatierung ist jedoch zu achten, dass entsprechend effektive Verfahren (Hardware-Formatierung) verwendet werden, die von vielen Betriebssystemen angebotene Software-Formatierung erhält die bestehenden Daten und markiert nur die Festplatte als frei.
Effektiver ist das Überschreiben der gesamten Festplatte mit einem zufälligen Bitmuster. Ein Mitglied empfiehlt dazu die Verwendung von dem Freeware-Tool "Darik's Boot and Nuke (DBAN)".
In Fällen, in denen dies nicht möglich ist, z.B. weil das Gerät nicht mehr funktionstüchtig ist oder Softwareprobleme behoben werden sollen, muss eine Vereinbarung über den Umgang mit den Daten getroffen werden.
Vereinbarung durch DSGVO vorgesehen
Mit jedem Auftragsverarbeiter braucht man schriftliche Verträge, worin diese den Zweck der Verarbeitung und Ihre Pflichten dokumentieren müssen. Eine derartige Vereinbarung sollte jedenfalls den Umgang mit jenen Datenspeichern, meist Festplatten, regeln, die die personenbezogenen Daten enthalten. Hier sollte die Rückgabe defekter Teile vereinbart werden. Auf eine Vereinbarung sollte jedenfalls unter Berufung auf Art 28 DSGVO bestanden werden. Eine derartige Vereinbarung darf auch bestehende Gewährleistungs- und Garantieansprüche nicht schmälern.
Der Abschluss einer solchen Vereinbarung wird in der Praxis dadurch erschwert, dass die Reparatur in vielen Fällen nicht vom Hersteller, sondern von einem Subunternehmer durchgeführt wird. Teilweise ist auch ein Versand ins Ausland notwendig. Gerade Privatpersonen haben daher oft Schwierigkeiten eine klare Datenschutz- und Auftragsvereinbarung zu treffen. Sollte es dazu Probleme geben, ist die ARGE DATEN gern bereit entsprechend zu intervenieren.
Rechtswidrige Datenverarbeitung
Unabhängig davon, ob eine ausdrückliche Vereinbarung abgeschlossen wurde oder nicht, dürfen persönliche Daten im Zuge der Reparatur nicht verarbeitet werden oder in die Hände Dritter gelangen.
Schadenersatzklage und Geldstrafe drohen
Sollte durch die rechtswidrige Verarbeitung personenbezogener Daten beim Betroffenen ein materieller Schaden entstehen, wäre dieser jedenfalls zu ersetzen (Art 82 DSGVO). Darüber hinaus könnte auch ein immaterieller Schadenersatz beansprucht werden, wenn die rechtswidrige Datenverarbeitung geeignet wäre einen Betroffenen bloßzustellen. Man kann etwa daran denken, dass jemand auf seinen Privat-Computer Aktfotos seiner Freundin (ihres Freundes) gesammelt hat und diese dann plötzlich im Internet oder ähnlichem auftauchen. Auch feurige Liebesbriefe oder persönliche Tagebuchnotizen könnten darunterfallen.
Allerdings wird ein solcher Schadenersatz oft schwierig durchzusetzen sein, weil ein Nachweis einer Rechtswidrigkeit oft sehr schwierig zu erbringen ist. Für die Schadenersatzklagen sind die Zivilgerichte zuständig.
Unabhängig vom Schadenersatzanspruch hat jeder Betroffene das Recht bei vermuteter Datenschutzverletzung eine Beschwerde bei der Datenschutzbehörde einzubringen (Art 83 DSGVO).
mehr --> Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt?
mehr --> Auftragsverarbeitung gemäß DSGVO
mehr --> Welche Rechte hat ein Betroffener bei Datenschutzverletzung?
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
|
