Datenschützer warnen vor Fallstricken beim Verkauf ausgemusterter PCs

Die nordrhein-westfälische Datenschutzbeauftragte Bettina Sokol hat heute Behörden zu größerer Sorgfalt beim Verkauf gebrauchter Computer ermahnt. Der Verkäufer müsse nach § 20 des nordrhein-westfälischen Datenschutzgesetzes mit Schadenersatzansprüchen rechnen, wenn auf Festplatten enthaltene personenbezogene Daten nicht gründlich gelöscht würden. Die gängigen Löschroutinen und Formatierer heutiger Betriebssysteme ließen einen Großteil der Daten unversehrt.

Auslöser des Appells war ein aktueller Fall, bei dem der Käufer eines ausgemusterten Behördencomputers die nur scheinbar gelöschten Daten eines Nachlassgerichtes rekonstruieren konnte und sich daraufhin an die Datenschutzbeauftragte wandte. "Das Problem ist durchaus zu lösen. Behörden müssen sich nur der Problematik bewusst sein und ihrer Verantwortung nachkommen", sagte Sokol heute in Düsseldorf. So biete das Bundesamt für Sicherheit in der Informationstechnik der Öffentlichen Hand ein entsprechendes Programm kostenlos an. Eine Sprecherin des Büros der Datenschutzbeauftragten erklärte auf Nachfrage, dass auch Firmen in der Verantwortung stünden. Auch sie seien nach §7 des Bundesdatenschutzgesetzes haftbar, wenn durch eine unsachgemäße Löschung personenbezogener Daten, etwa Kreditkartennummern, in die falschen Hände gelangten.

Mitte Januar hatten bereits zwei US-Wissenschaftler eine Studie über das Sicherheitsrisiko durch den Handel mit gebrauchten Computern und Computerkomponenten veröffentlicht. Simson Garfinkel und Abhi Shelat, die ihre Ergebnisse in einem Aufsatz für die Fachzeitschrift IEEE Security & Privacy beschrieben, hatten unter anderem bei eBay 158 gebrauchte Festplatten gekauft und auf noch vorhandene sensitive Informationen untersucht. Von diesen 158 Festplatten waren nur zwölf so gesäubert, dass keine Daten rekonstruiert werden konnten. Die übrigen Platten enthielten unter anderem Pornografie, Liebesbriefe, Kreditkartennummern oder Patientendaten -- der "Hauptgewinn" war eine Festplatte, die zuvor offensichtlich in einem Geldautomaten eingebaut war, und auf der neben Kontonummern und Kontoständen auch ein Teil der verwendeten Software zu finden war. (em)