rating service  security service privacy service
 
Umgang mit personenbezogenen Daten bei der Computer-Reparatur
DSGVO Art 28, 32, 82-83
Immer wieder finden sich Meldungen, in denen berichtet wird, dass (teils besonders geschützte) personenbezogene Daten in die Hände Dritter gelangt sind, weil im Zusammenhang mit Reparaturen z.B. Computerfestplatten ausgebaut und später repariert, weiterverkauft und von Dritten verwendet wurden.

Grundsätzlich gelten Sicherheits- und Datenschutzbestimmungen auch im Reparatur- oder Gewährleistungsfall. Ein Händler der einen Computer mit personenbezogenen Daten übernimmt ist als Auftragsverarbeiter im Sinne des Art 28 DSGVO einzustufen. Das heißt persönliche Daten, die sich auf dem zu reparierenden Gerät befinden dürfen weder weitergegeben, noch selbst zur Kenntnis genommen werden.

Darüber hinaus ist die Reparaturwerkstatt auch zu Sicherheitsmaßnahmen gemäß Art 32 DSGVO verpflichtet. Das heißt, die Reparaturwerkstatt muss als Auftragsverarbeiter angemessene, technisch organisatorische Sicherheitsmaßnahmen garantieren.

Trotz dieser verordnungsrechtlich vorgesehenen Verpflichtungen muss jedoch jeder Betroffene der einen Computer zur Reparatur gibt selbst einige Maßnahmen setzen, um die Sicherheit der Daten zu gewährleisten.


Technische Maßnahmen sind vorzuziehen

Die wichtigste und effizienteste Möglichkeit ist die Erstellung eines Backups und die anschließende (verlässliche) Löschung (Neuformatierung) der Festplatte vor der Reparatur. Auch ein Ausbau der Festplatte kann Sinn machen.

Bei einer Formatierung ist jedoch zu achten, dass entsprechend effektive Verfahren (Hardware-Formatierung) verwendet werden, die von vielen Betriebssystemen angebotene Software-Formatierung erhält die bestehenden Daten und markiert nur die Festplatte als frei.

Effektiver ist das Überschreiben der gesamten Festplatte mit einem zufälligen Bitmuster. Ein Mitglied empfiehlt dazu die Verwendung von dem Freeware-Tool "Darik's Boot and Nuke (DBAN)".

In Fällen, in denen dies nicht möglich ist, z.B. weil das Gerät nicht mehr funktionstüchtig ist oder Softwareprobleme behoben werden sollen, muss eine Vereinbarung über den Umgang mit den Daten getroffen werden.


Vereinbarung durch DSGVO vorgesehen

Mit jedem Auftragsverarbeiter braucht man schriftliche Verträge, worin diese den Zweck der Verarbeitung und Ihre Pflichten dokumentieren müssen. Eine derartige Vereinbarung sollte jedenfalls den Umgang mit jenen Datenspeichern, meist Festplatten, regeln, die die personenbezogenen Daten enthalten. Hier sollte die Rückgabe defekter Teile vereinbart werden. Auf eine Vereinbarung sollte jedenfalls unter Berufung auf Art 28 DSGVO bestanden werden. Eine derartige Vereinbarung darf auch bestehende Gewährleistungs- und Garantieansprüche nicht schmälern.

Der Abschluss einer solchen Vereinbarung wird in der Praxis dadurch erschwert, dass die Reparatur in vielen Fällen nicht vom Hersteller, sondern von einem Subunternehmer durchgeführt wird. Teilweise ist auch ein Versand ins Ausland notwendig. Gerade Privatpersonen haben daher oft Schwierigkeiten eine klare Datenschutz- und Auftragsvereinbarung zu treffen. Sollte es dazu Probleme geben, ist die ARGE DATEN gern bereit entsprechend zu intervenieren.


Rechtswidrige Datenverarbeitung

Unabhängig davon, ob eine ausdrückliche Vereinbarung abgeschlossen wurde oder nicht, dürfen persönliche Daten im Zuge der Reparatur nicht verarbeitet werden oder in die Hände Dritter gelangen.


Schadenersatzklage und Geldstrafe drohen

Sollte durch die rechtswidrige Verarbeitung personenbezogener Daten beim Betroffenen ein materieller Schaden entstehen, wäre dieser jedenfalls zu ersetzen (Art 82 DSGVO). Darüber hinaus könnte auch ein immaterieller Schadenersatz beansprucht werden, wenn die rechtswidrige Datenverarbeitung geeignet wäre einen Betroffenen bloßzustellen. Man kann etwa daran denken, dass jemand auf seinen Privat-Computer Aktfotos seiner Freundin (ihres Freundes) gesammelt hat und diese dann plötzlich im Internet oder ähnlichem auftauchen. Auch feurige Liebesbriefe oder persönliche Tagebuchnotizen könnten darunterfallen.

Allerdings wird ein solcher Schadenersatz oft schwierig durchzusetzen sein, weil ein Nachweis einer Rechtswidrigkeit oft sehr schwierig zu erbringen ist. Für die Schadenersatzklagen sind die Zivilgerichte zuständig.

Unabhängig vom Schadenersatzanspruch hat jeder Betroffene das Recht bei vermuteter Datenschutzverletzung eine Beschwerde bei der Datenschutzbehörde einzubringen (Art 83 DSGVO).

mehr --> Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt?
mehr --> Auftragsverarbeitung gemäß DSGVO
mehr --> Welche Rechte hat ein Betroffener bei Datenschutzverletzung?
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster