Eine alte Festplatte formatiert, das Smartphone auf Werkseinstellungen zurückgesetzt, den Drucker an den Händler zurückgegeben: Viele Unternehmen glauben, damit ihre Datenpflicht erledigt zu haben. Tatsächlich sind die Daten in den meisten Fällen noch vollständig vorhanden. Studien zeigen: Auf mehr als der Hälfte aller gebraucht verkauften Datenträger lassen sich sensible Informationen mit frei verfügbarer Software wiederherstellen. Das ist kein Expertenproblem. Es ist ein Standardproblem.
Unverbindliches Angebot anfragenInhalt
Was „Löschen” technisch wirklich bedeutet
Wer eine Datei löscht oder eine Festplatte formatiert, löscht in aller Regel nicht die Daten selbst. Das Betriebssystem entfernt lediglich den Eintrag im Inhaltsverzeichnis des Datenträgers und markiert den Speicherplatz als „frei”. Die eigentlichen Daten bleiben physisch erhalten, bis der Bereich zufällig durch neue Daten überschrieben wird. Das kann Tage, Monate oder Jahre dauern. Solange das nicht geschehen ist, lassen sich die Daten mit handelsüblicher Recovery-Software vollständig wiederherstellen.
Das gilt für klassische Festplatten (HDD) genauso wie für ältere SSDs, USB-Sticks und viele andere Speichermedien. Bei modernen SSDs ist die Situation technisch etwas anders, aber keineswegs sicher: Wear-Leveling-Mechanismen können dazu führen, dass Datenfragmente auf nicht überschriebenen Speicherzellen erhalten bleiben, selbst wenn das Gerät mehrfach zurückgesetzt wurde.
Was Studien auf gebrauchten Festplatten tatsächlich gefunden haben
Das Berliner Softwareunternehmen O&O hat in einer Studie 160 gebraucht erworbene Festplatten und Speichermedien untersucht, die über Plattformen wie eBay verkauft worden waren. Ergebnis: Auf über 66 Prozent der Datenträger ließen sich sensible Daten wiederherstellen, darunter Bankdaten, gescannte Ausweise, Kontozugangsdaten inklusive PIN-Listen und Unternehmensdokumente mit dem Vermerk „streng vertraulich”. Besonders brisant: Zwei der untersuchten Festplatten stammten offensichtlich aus dem Betrieb einer Krankenkasse und enthielten Patientendaten.
Zu einem ähnlichen Befund kamen die Datenvernichtungsspezialisten Ontrack und Blancco in einer gemeinsamen Untersuchung: 42 Prozent der bei eBay angebotenen gebrauchten Laufwerke enthielten sensible Daten der Vorbesitzer. Die für die Wiederherstellung verwendeten Tools waren keine Spezialwerkzeuge von Behörden oder Forensikern, sondern frei im Internet erhältliche Software. (Quelle: Ontrack/Blancco)
Der unterschätzte Risikofaktor: Drucker und Kopierer
Multifunktionsgeräte in Büros und Praxen sind ein weitgehend unbekanntes Datenschutzrisiko. Moderne Drucker und Kopierer speichern intern jeden Druckauftrag, jede Kopie und jeden Scan auf einer eingebauten Festplatte, die bis zu 90 Gigabyte Daten fassen kann. Diese Festplatte wird beim normalen Betrieb nicht gelöscht.
Ein Test des ARD-Verbrauchermagazins, der vom Landesdatenschutzbeauftragten Bremen dokumentiert wurde, belegte das eindrücklich: Auf gebrauchten Multifunktionsdruckern, die regulär gehandelt worden waren, fanden sich vollständige Scheidungsunterlagen, Lohnsteuerbescheide, Zeugenaussagen der Polizei und vollständige Steuererklärungen. Die Vorbesitzer hatten keine Ahnung, dass ihre Dokumente gespeichert waren. (Quelle: Landesdatenschutzbeauftragter Bremen)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt deshalb ausdrücklich, bei der Entsorgung von Druckern und Kopierern die interne Festplatte entweder sicher zu löschen oder physisch zu vernichten. In Arztpraxen, Kanzleien oder Krankenhäusern, wo täglich sensible Dokumente gedruckt werden, ist das keine optionale Maßnahme.
Smartphones: Werksreset schützt nicht
Auch beim Verkauf oder der Entsorgung von Dienstsmartphones wiegen sich viele Unternehmen in falscher Sicherheit. Der Werksreset, den Android und iOS als Standardlösung anbieten, löscht Daten nicht sicher. Forscher der Universität Cambridge haben nachgewiesen, dass auf Geräten mit älteren Android-Versionen nach dem Werksreset Daten vollständig wiederherstellbar blieben. Bei 80 Prozent der getesteten Geräte konnten die Forscher zudem den Hauptschlüssel für verschlüsselte Datenbereiche extrahieren und damit auf E-Mail-Konten, Kalendereinträge und Kontakte zugreifen. (Quelle: heise Security)
Das betrifft nicht nur alte Geräte. Wer ein Dienstsmartphone weitergibt oder entsorgt, ohne die Daten sicher zu vernichten, gibt im Zweifel Kontaktverzeichnisse, E-Mail-Verläufe, gespeicherte Passwörter und Dokumente aus der Cloud-Synchronisation weiter.
Jetzt unverbindliches Angebot anfragenWarum softwarebasiertes Löschen nicht reicht
Es gibt zertifizierte Löschsoftware, die Daten mehrfach überschreibt und damit eine Wiederherstellung zuverlässig verhindert. Diese Methode ist für bestimmte Anwendungsfälle geeignet, hat aber Grenzen: Sie funktioniert nur bei Geräten, die noch einwandfrei betrieben werden können. Beschädigte Festplatten, defekte SSDs oder Geräte, die sich nicht mehr vollständig ansprechen lassen, können oft nicht vollständig softwarebasiert gelöscht werden.
Für Unternehmen, die der DSGVO unterliegen, reicht ein softwarebasiertes Löschen außerdem oft nicht als Nachweis aus. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verlangt, dass Unternehmen dokumentieren können, wie und wann Daten vernichtet wurden. Ein zertifizierter Dienstleister stellt dafür ein Vernichtungsprotokoll mit Angabe des Gerätetyps, der Seriennummer, der angewendeten Sicherheitsstufe nach DIN 66399 und des Vernichtungsdatums aus.
Die physische Vernichtung ist für alle Geräte die einzige Methode, die ausnahmslos funktioniert. Spezialisierte Verfahren gibt es für Festplatten aller Art sowie für weitere Datenträger wie SSDs, USB-Sticks, CDs, DVDs und Smartphones.
Was das für Unternehmen unter der DSGVO bedeutet
Wer ein Gerät mit personenbezogenen Daten weitergibt, verkauft oder entsorgt, ohne die Daten sicher zu vernichten, begeht eine Datenschutzverletzung nach der DSGVO. Das gilt auch dann, wenn der Vorgang unbeabsichtigt war. Die Meldepflicht gegenüber der Datenschutzbehörde greift bereits ab dem Moment, in dem bekannt wird, dass personenbezogene Daten in falsche Hände geraten sein könnten.
Besonders heikel ist die Situation, wenn Gesundheitsdaten, Finanzdaten oder andere besonders schutzwürdige Kategorien nach Art. 9 DSGVO betroffen sind. Hier sind die Bußgeldrahmen entsprechend höher, und die Behörden agieren erfahrungsgemäß mit weniger Kulanz.
Hinzu kommt: Auch Datenträger, die innerhalb des Unternehmens verbleiben aber nicht mehr genutzt werden, z.B. ausrangierte Serverplatten im Lager oder alte Backup-Bänder, müssen irgendwann sicher vernichtet werden. Je länger sie ungesichert lagern, desto größer das Risiko durch interne Zugriffe oder Einbrüche.
Häufige Fragen zur sicheren Datenträgervernichtung
Reicht es, eine Festplatte zu formatieren, bevor ich sie entsorge?
Nein. Eine Formatierung löscht das Inhaltsverzeichnis, nicht die Daten selbst. Mit frei verfügbarer Recovery-Software lassen sich die Daten danach in vielen Fällen vollständig wiederherstellen. Für eine sichere Entsorgung ist entweder zertifizierte Löschsoftware mit mehrfachem Überschreiben oder die physische Vernichtung des Datenträgers erforderlich.
Ist ein Werksreset beim Smartphone ausreichend?
In den meisten Fällen nicht. Studien zeigen, dass nach einem Werksreset auf zahlreichen Geräten Daten wiederherstellbar bleiben. Für die sichere Entsorgung von Dienstsmartphones empfiehlt sich die physische Vernichtung des Geräts oder zumindest des Speichers.
Haben Drucker und Kopierer wirklich eine eigene Festplatte?
Ja, die meisten modernen Multifunktionsgeräte speichern Druckaufträge, Kopien und Scans auf einer internen Festplatte. Diese wird beim normalen Gerätebetrieb nicht automatisch gelöscht. Bei der Entsorgung oder Weitergabe eines solchen Geräts muss die interne Festplatte separat vernichtet werden.
Brauche ich für die Datenträgervernichtung einen AVV?
Ja. Sobald ein externer Dienstleister Datenträger mit personenbezogenen Daten übernimmt, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verpflichtend. Ohne AVV trägt das beauftragende Unternehmen die volle Verantwortung für alles, was danach passiert.
Welche Sicherheitsstufe gilt für Festplatten?
Die DIN 66399 definiert Sicherheitsstufen auch für Datenträger. Für Festplatten mit personenbezogenen Daten gilt H-4 als Mindeststandard. Für besonders sensible Daten wie Gesundheitsdaten wird H-5 empfohlen. Ein zertifizierter Dienstleister dokumentiert die angewendete Stufe im Vernichtungsprotokoll.