Bei der Entsorgung beziehungsweise dem Verkauf alter Hardware gibt es einige Kriterien, die beachtet werden müssen. Dies ist besonders der Fall, wenn sich auf der Hardware geschäftliche Dokumente oder personenbezogene Daten befinden.
Hier einen Rechtsanwalt zu diesem Thema finden
Verbraucherschutz.tv kooperiert deutschlandweit mit vielen kompetenten Rechtsanwälten auch aus Ihrer Region. Sie sind Anwalt und möchten hier veröffentlichen? Bitte Mail an usch@talking-text.de
Der folgende Beitrag erklärt, worauf in diesem Zusammenhang zu achten ist. Werden diese Tipps beachtet, können Dienstleister für den Ankauf gebrauchter Unternehmens-IT risikolos beauftragt oder eine Entsorgung ordnungsgemäß ausgeführt werden.
Das Risiko bei sensiblen Daten
Bei einem Vorfall, der sich kürzlich ereignet hat, kaufte ein Förster einen gebrauchten Bundeswehr-Laptop. Auf diesem fand er geheime Daten, beispielsweise die Bedienungsanleitung für einen Raketenwerfer. Einen solchen Fauxpas gilt es natürlich zu vermieden.
Durch die DSGVO, die Datenschutzgrundverordnung, gilt für Unternehmen die Pflicht, bei Datenträgern, die personenbezogenen Daten enthalten, eine sachgerechte Vernichtung oder Löschung vorzunehmen, sobald diese nicht mehr benötigt werden. Zu diesem Zweck sind Firmen dazu angehalten, ein Löschkonzept zu entwickeln, durch welches eine Erfassung der Datenbestände möglich wird, damit eine Dokumentation der Vernichtung beziehungsweise der Löschung vorgenommen werden kann.
Im ersten Schritt muss daher lokalisiert werden, wo im Netzwerk die sensiblen Daten gespeichert sind. Dabei müssen alle Geräte, die ein Speichermedium aufweisen, berücksichtigt werden. Dazu zählen neben Netzwerkspeichergeräten und Festplatten auch Speicherkarten und USB-Sticks. Auch einige Drucker besitzen eine integrierte Festplatte.
Löschen garantiert keine Entfernung
Werden Dateien, die sich auf einem Datenträger befinden, gelöscht, bedeutet dies nicht, dass diese unwiederbringlich verschwunden sind. Wird eine Datei auf der Speicherkarte, dem Smartphone oder dem Rechner gelöscht, bedeutet dies nur, dass an dieser Stelle neuer Speicherplatz zur Verfügung steht. Bei einem zukünftigen Speichervorgang kann der betreffende Speicherplatz also überschrieben werden. Vorhanden ist die Datei allerdings noch immer. Auch durch ein einmaliges Überschreiben wird nicht vollständig sichergestellt, dass eine komplette Entfernung stattgefunden hat.
Daten von Festplatten entfernen
Bei Hard Disk Drives, also den herkömmlichen Festplatten, findet die Speicherung der Daten in Sektoren statt. Zum Teil werden dazu verschiedene Sektoren genutzt. Es ist daher möglich, dass beim zukünftigen Speichervorgang nur Teile der gelöschten Daten entfernt werden – der Rest bleibt dann nach wie vor lesbar. Eine rückstandslose Entfernung der Daten wird auch durch eine Datenträgerformatierung nicht erreicht.
Empfehlenswert ist es, die jeweiligen Datenträger einmal vollständig – noch besser mehrmals – zu überschreiben, um zu gewährleisten, dass die Daten unlesbar gemacht wurden. Für diesen Zweck steht spezielle Software zur Verfügung, welche die mehrmalige, vollständige Überschreibung der Festplatte übernimmt.
Solid State Drives
Bei SSDs, den Solid State Drives, werden Daten in einem Flash-Speicher hinterlegt. Das Speichermedium besteht dabei aus Speicherzellen, die sich im Laufe der Zeit durch die Schreibvorgänge immer stärker abnutzen. Daher müssen die Schreibvorgänge auf die SSD-Zellen stets gleichmäßig verteilt werden, um das Ausmaß der Abnutzung einzudämmen. Es findet somit eine naturgemäße Fragmentierung bei der Speicherung statt.
Dadurch wird es schwieriger, abgelegte Dateien vollständig zu löschen. Ein herkömmliches Löschen beziehungsweise Überschreiben ist in diesem Fall nicht ausreichend. Eine komplette Löschung der SSD kann durch den Befehl ATA Secure Erase, durch den direkt der interne Controller angesprochen wird, erzielt werden. So wird die SSD in ihren Werkszustand zurückversetzt. Allerdings ist dieser Befehl ziemlich komplex, weshalb er nur von erfahrenen Nutzern ausgeführt werden sollte.