IT-Recycling (ITAD): Ein notwendiger Bestandteil der DSGVO-Konformität
Bei der Umsetzung der DSGVO darf der Datenschutz beim IT-Recycling (ITAD) nicht vergessen werden.
Viele Unternehmen bedenken nicht, dass die DSGVO auch für das Ende des Datenlebenszyklus sowie die Entsorgung von IT-Assets gilt. Der Nachweis der DSGVO-Konformität anhand formeller IT-Recycling-Regeln ist wichtig, wird aber oft vergessen. Zum Glück gibt es Beratung, die die Erstellung der ITAD-Regeln erleichtert.
Die DSGVO, das IT-Recycling und das ständige Risiko einer Datenschutzverletzung
Rechtsberater wie der Online-Dienstleister intersoft consulting services AG gehen auf die erweiterten Rollen des "Verantwortlichen" und des "Auftragsverarbeiters" ein. Die Beauftragung Dritter mit dem IT-Recycling fällt unter die DSGVO-Anforderungen für Auftragsverarbeiter (sowie ggf. von diesen beauftragte Subunternehmer).
Ein verwandtes Thema, das IT-Vorstände derzeit beschäftigt, ist laut Brooks Hoffman, Principal of Data Management bei Iron Mountain, die Vermeidung von Verstößen gegen die EU-Datenschutzvorschriften für personenbezogene Daten.
"Bei IT-Recycling geht es derzeit noch ein wenig zu wie im Wilden Westen. Es gibt da durchaus Anbieter, die es mit den Vorschriften nicht so genau nehmen. Man lässt sich allzu leicht zu Kompromissen verleiten. Aber wer das tut," so der Experte, "muss mit unangenehmen Konsequenzen rechnen. Denn es kann zu einer Verletzung des Datenschutzes kommen."
Kein Risiko eingehen: Klare Sicherheitsregeln für ITAD
Ein verwandtes Thema, das IT-Vorstände jederzeit beschäftigt, ist laut Brooks Hoffman, Principal of Data Management bei Iron Mountain, die Vermeidung von Verstößen gegen die EU-Datenschutzvorschriften für personenbezogene Daten.
In beiden Dokumenten ist zu beschreiben, wie personenbezogene Daten identifiziert werden, und wie sie zuverlässig von zur Vernichtung oder Wiederverwertung vorgesehener IT-Alt-Hardware gelöscht werden. Entsprechende Zuständigkeiten und Aufsichtspflichten für die Entsorgungsprozesse sind eindeutig festzulegen.
Darüber hinaus müssen mit dem Verantwortlichen und dem Auftragsverarbeiter Meldevorschriften für Datenschutzverletzungen abgestimmt und festgelegt werden. Vorbeugungsmaßnahmen gegen Datenschutzverletzungen, Verfahrensanweisungen im Fall von Verstößen sowie die Verpflichtung des Auftragsverarbeiters zum Schadensersatz sind für diesen verbindlich in Schriftform festzulegen.
"Wer ein externes Unternehmen mit dem IT-Recycling beauftragt, darf sich nicht mit der Zusicherung zufrieden geben: 'Wir benachrichtigen Sie innerhalb von 72 Stunden über Datenschutzverletzungen und veranlassen alle Kreditüberwachungen'," so Hoffman weiter. "Man muss sich auch vergewissern, dass der Dienstleister in der Lage ist, diese Anforderungen nach Eintritt eines Schadens finanziell zu bewältigen."
An diesem Punkt lohne es sich nachzuprüfen, ob der IT-Recycling-Anbieter über ein ausreichendes finanzielles Polster, einen guten Ruf und eine Zertifizierung durch eine akkreditierte Stelle verfüge. Im Hinblick auf potenzielle Verstöße gegen Datenschutzvorschriften, so Hoffman, sei insbesondere auf eine ausreichende Versicherung gegen Fehler und Auslassungen bzw. Online-Risiken (sog. Cyber Liability) zu achten.
"Seit der Einführung der DSGVO in 2018 drohen Unternehmen bei Verstößen drastische Strafen," meint Hoffman. "Insofern ist es wichtiger denn je, sich ein formelles, unternehmensweites Regelwerk für das IT-Recycling zuzulegen. Ganz besonders gilt das für große Unternehmen, bei denen sonst jede Niederlassung ihr eigenes Süppchen kocht. Wenn 75 % eines Unternehmens vorschriftsmäßig vorgehen, heißt das, dass 25 % von den Regeln abweichen. Und das darf man nicht zulassen!"
Datenträgervernichtung als wichtiger Aspekt der Compliance
Die vorschriftsmäßige Entsorgung veralteter technischer Ausrüstung ist für jedes Unternehmen ein Muss – nicht nur zur Kosteneinsparung, sondern auch zur Eindämmung von Risiken. Die Argumente sprechen für sich.
Warum benötigen Sie formelle Regeln für das IT-Recycling?
Verfahrensregeln und interne Vorschriften für die ordnungsgemäße Ablage, Handhabung und Entsorgung personenbezogener Daten sollte man grundsätzlich einführen. Übrigens sieht die DSGVO hohe Geldbußen für Verstöße vor, weshalb die Einführung solcher Regelwerke eigentlich zwingend notwendig ist; es gilt eher das Prinzip "Peitsche" als das Prinzip "Zuckerbrot".
"Die DSGVO stellt einen neuen Entwicklungsschritt der weltweiten Datenschutzgesetzgebung dar. Sie vollzieht insofern einen Paradigmenwechsel, als sie dem Bürger sehr weitgehende Rechte zur Ablehnung der Nachverfolgung und Speicherung seiner Daten durch Unternehmen zugesteht. Damit erhöht sich das Risiko für Unternehmen, denen bei Verstößen astronomische Strafen drohen," meint Hoffman. "Insofern ist es wichtiger denn je, sich ein formelles, unternehmensweites Regelwerk für das IT-Recycling zuzulegen. Ganz besonders gilt das für große Unternehmen, bei denen sonst jede Niederlassung ihr eigenes Süppchen kocht. Wenn 75 % eines Unternehmens vorschriftsmäßig vorgehen, heißt das, dass 25 % von den Regeln abweichen. Und das darf man nicht zulassen!"