Unternehmen und öffentliche Stellen, die personenbezogene Daten von EU-Bürgern verarbeiten, sind derzeit intensiv damit beschäftigt, die Einhaltung der DSGVO ab dem Stichtag sicherzustellen. Haben sie einen wichtigen Aspekt am Ende des Datenlebenszyklus vergessen? Das IT-Recycling oder ITAD ist unverzichtbarer Bestandteil der DSGVO-Konformität.

 

Viele Unternehmen und Institutionen, die personenbezogene Daten von EU-Bürgern speichern oder verarbeiten, sind derzeit bemüht, die Einhaltung der Datenschutz-Grundverordnung (DSGVO) der EU bis zum Stichtag im Mai 2018 sicherzustellen. Trotz aller Bemühungen sind etliche von ihnen noch nicht annähernd am Ziel. Hinzu kommt: Viele bedenken nicht, dass die DSGVO auch für das Ende des Datenlebenszyklus gilt – den Zeitpunkt des IT-Recycling (ITAD).

 

Der Nachweis der DSGVO-Konformität anhand formeller IT-Recycling-Regeln ist wichtig, wird aber oft vergessen. Zum Glück gibt es Beratung, die die Erstellung der ITAD-Regeln erleichtert.

 

Die DSGVO, das IT-Recycling und das ständige Risiko einer Datenschutzverletzung

Rechtsberater wie der Online-Dienstleister intersoft Arbitrage Recycling Solution gehen auf die erweiterten Rollen des “Verantwortlichen” und des “Auftragsverarbeiters” ein. Die Beauftragung Dritter mit dem IT-Recycling fällt unter die DSGVO-Anforderungen für Auftragsverarbeiter (sowie ggf. von diesen beauftragte Subunternehmer).

 

Ein verwandtes Thema, das IT-Vorstände derzeit beschäftigt, ist laut Brooks Hoffman, Principal of Data Management bei Iron Mountain, die Vermeidung von Verstößen gegen die EU-Datenschutzvorschriften für personenbezogene Daten.

 

“Bei IT-Recycling geht es derzeit noch ein wenig zu wie im Wilden Westen. Es gibt da durchaus Anbieter, die es mit den Vorschriften nicht so genau nehmen. Man lässt sich allzu leicht zu Kompromissen verleiten. Aber wer das tut,” so der Experte, “muss mit unangenehmen Konsequenzen rechnen. Denn es kann zu einer Verletzung des Datenschutzes kommen.”

 

Kein Risiko eingehen: Klare Sicherheitsregeln für ITAD

Im Hinblick auf die Vernichtung von Alt-Hardware ist zu bedenken, dass personenbezogene Daten von EU-Bürgern auf mehreren Alt-PCs, -Laptops, -Servern und -Festplatten gespeichert sein können. Deshalb ist es unerlässlich, dass der Verantwortliche eine formelle interne Vorschrift für ITAD herausgibt und ein formeller Vertrag zwischen ihm und dem oder den IT-Recyclingunternehmen bzw. Auftragsverarbeiter(n) abgeschlossen wird.

 

In beiden Dokumenten ist zu beschreiben, wie personenbezogene Daten identifiziert werden, und wie sie zuverlässig von zur Vernichtung oder Wiederverwertung vorgesehener IT-Alt-Hardware gelöscht werden. Entsprechende Zuständigkeiten und Aufsichtspflichten für die Entsorgungsprozesse sind eindeutig festzulegen.

 

Darüber hinaus müssen mit dem Verantwortlichen und dem Auftragsverarbeiter Meldevorschriften für Datenschutzverletzungen abgestimmt und festgelegt werden. Vorbeugungsmaßnahmen gegen Datenschutzverletzungen, Verfahrensanweisungen im Fall von Verstößen sowie die Verpflichtung des Auftragsverarbeiters zum Schadensersatz sind für diesen verbindlich in Schriftform festzulegen.

 

“Wer ein externes Unternehmen mit dem IT-Recycling beauftragt, darf sich nicht mit der Zusicherung zufrieden geben: ‘Wir benachrichtigen Sie innerhalb von 72 Stunden über Datenschutzverletzungen und veranlassen alle Kreditüberwachungen’,” so Hoffman weiter. “Man muss sich auch vergewissern, dass der Dienstleister in der Lage ist, diese Anforderungen nach Eintritt eines Schadens finanziell zu bewältigen.”

 

An diesem Punkt lohne es sich nachzuprüfen, ob der IT-Recycling-Anbieter über ein ausreichendes finanzielles Polster, einen guten Ruf und eine Zertifizierung durch eine akkreditierte Stelle verfüge. Im Hinblick auf potenzielle Verstöße gegen Datenschutzvorschriften, so Hoffman, sei insbesondere auf eine ausreichende Versicherung gegen Fehler und Auslassungen bzw. Online-Risiken (sog. Cyber Liability) zu achten.

 

Bei der Bewertung eventueller IT-Recycling-Anbieter und der Abfassung von Regeln für ITAD gebe es außerdem weitere Kriterien zu berücksichtigen. Dieser Artikel befasst sich mit einigen davon. In diesem Zusammenhang sei darauf verwiesen, dass ein auf den Kanalinseln verfasster Fragebogen für Auftragsverarbeiter weitere Themen im Zusammenhang mit der Auswahl von Dienstleistern und der Erstellung formeller Regeln und Verträge für das IT-Recycling im Rahmen der DSGVO anspricht.

 

Datenträgervernichtung als wichtiger Aspekt der Compliance

Die vorschriftsmäßige Entsorgung veralteter technischer Ausrüstung ist für jedes Unternehmen ein Muss – nicht nur zur Kosteneinsparung, sondern auch zur Eindämmung von Risiken. Die Argumente sprechen für sich.

 

Warum benötigen Sie formelle Regeln für das IT-Recycling?

Verfahrensregeln und interne Vorschriften für die ordnungsgemäße Ablage, Handhabung und Entsorgung personenbezogener Daten sollte man grundsätzlich einführen. Übrigens sieht die DSGVO hohe Geldbußen für Verstöße vor, weshalb die Einführung solcher Regelwerke eigentlich zwingend notwendig ist; es gilt eher das Prinzip “Peitsche” als das Prinzip “Zuckerbrot”.

 

“Die DSGVO stellt einen neuen Entwicklungsschritt der weltweiten Datenschutzgesetzgebung dar. Sie vollzieht insofern einen Paradigmenwechsel, als sie dem Bürger sehr weitgehende Rechte zur Ablehnung der Nachverfolgung und Speicherung seiner Daten durch Unternehmen zugesteht. Damit erhöht sich das Risiko für Unternehmen, denen bei Verstößen astronomische Strafen drohen,” meint Hoffman. “Insofern ist es wichtiger denn je, sich ein formelles, unternehmensweites Regelwerk für das IT-Recycling zuzulegen. Ganz besonders gilt das für große Unternehmen, bei denen sonst jede Niederlassung ihr eigenes Süppchen kocht. Wenn 75 % eines Unternehmens vorschriftsmäßig vorgehen, heißt das, dass 25 % von den Regeln abweichen. Und das darf man nicht zulassen!”