Die Liste an Pannen bei der Bundeswehr ist leider lang: blamable Ausfälle bei der Flugbereitschaft des Bundestages zur Verärgerung höchster Staatsorgane, in Wüstenregionen nicht einsatztaugliche Hubschrauber, die schleppende Beschaffung der Transportmaschine Airbus A400M Atlas, das Sanierungsdrama um die Gorch Fock, die Berateraffäre im Ministerium. Die Bundeswehr hat es in diesen Tagen wahrlich nicht leicht, aus den Negativschlagzeilen heraus zu kommen, von den Nachwuchsproblemen und rechten Ausfällen in einigen Spezialeinheiten ganz zu schweigen. Und nun offenbart eine Datenpanne einen weiteren Nachweis für entweder nicht gut durchdachte interne Prozesse oder schlichtweg fahrlässige Schlamperei.

Wie u.a. die Süddeutsche Zeitung berichtete, hat die bundeseigene Verwertungsgesellschaft „Vebeg“ in 2018 u.a. auch mehrere Laptops der Bundeswehr veräußert. Grundsätzlich ist es zwar löblich, noch verwertbare Ausrüstung zu veräußern, um so dem Steuerzahler Geld zu sparen. Jedoch sollte man dabei seine Hausaufgaben machen. Sofern bspw. die Vebeg ausgemusterte Fahrzeuge versteigert, wäre es ja auch selbstverständlich, vorher Munitions- oder Waffenteile abzurüsten.

Dies ist, selbstverständlich nur im übertragenden Sinne, bei den an einen bayerischen Förster versteigerten vier Laptops offensichtlich nicht geschehen. Die Geräte enthielten vielmehr nicht gelöschte Daten und Betriebssysteme und verfügten nur über unzureichenden Passwortschutz. Darunter waren zum einen Dienstvorschriften für die Bedienung von Waffensystemen mit der Einstufung „Verschlusssache – Nur für den Dienstgebrauch“ – zugegeben, die niedrigste Geheimhaltungsstufe. Es waren aber auch personenbezogene Daten darunter. Im konkreten Fall wohl Fotoaufnahmen von Soldaten. Es hätten aber auch Dienstpläne, Personallisten oder sensiblere Daten wie Dienstzeugnisse oder Vernehmungsprotokolle in Disziplinarfällen sein können. Alles tagtägliche Angelegenheiten eines Kompaniechefs oder Militärischen Führers größerer Einheiten und Verbände, die in der Regel erst mit Dienstlaptops ausgestattet sind.

Diese unrühmliche Anekdote möchte ich zum Anlass nehmen, nochmals den richtigen Umgang mit ausgedienter IT Ausstattung bei der Entsorgung, der Rückgabe oder der Verwertung zu beleuchten.

Idealerweise regelt eine dokumentierte Unternehmensvorgabe (bspw. eine Richtlinie) eindeutig die Vorgehensweise hierbei.

1. Vernichtung alter IT Ausstattung

Sofern ein Verkauf (bspw. aus wirtschaftlichen Gründen) ausscheidet und auch eine Pflicht zur Rückgabe an ein Leasingunternehmen nicht besteht, sollten alte Festplatten stets physisch zerstört werden. Zudem empfiehlt sich ergänzend alle Daten vor der Ausmusterung mindestens manuell zu löschen oder ggfls. (je nach Sensibilität der Daten) auch die Formatierung des Datenträgers (sofern technisch noch möglich). Nach Abbau des Gerätes sollte dies durch die zuständige IT Abteilung verschlossen aufbewahrt werden. Das Löschen der Daten, bzw. die Formatierung minimiert die Risiken, sollte in der Zeit bis zur Vernichtung der Datenträger die Lagerung nicht optimal gewährleistet werden können. Die Löschung, bzw. Formatierung und der Abbau des Gerätes, die sichere Verwahrung, als auch letztlich die Vernichtung sollte dokumentiert werden (bspw. in der IT Inventarliste). Hierbei sollte auch der zuständige Mitarbeiter, der dies vorgenommen hat, namentlich vermerkt werden. Letztlich geht es darum, dass das Schicksal jedes einzelnen Datenträgers nachweislich dokumentiert werden kann.

Die Vernichtung kann mittels robusten Techniken, wie bspw. Zersägen, Durchbohren oder Zerschlagen geschehen. Die eigentliche Datenspeicherebene kann mehrfach zerschnitten werden. Die Reste müssen dann nur umweltgerecht über entsprechende Entsorgungsbetriebe entsorgt werden.

Als Alternative bieten auch externe Dienstleister die Abholung und Vernichtung der Datenträger an. Zum Teil sogar mit mobilen Schreddern vor Ort beim Kunden (bspw. im LKW montiert, in dem dann auf dem Parkplatz des Unternehmens die aussortierten Festplatten vernichtet werden). Sofern die Abholung und Vor-Ort Vernichtung durch eigene Mitarbeiter beaufsichtigt wird, bedarf es nach hier vertretener Ansicht nicht zwingend eines Vertrages zur Auftragsverarbeitung, da kein wirklicher Zugriff auf die Daten besteht.

Sofern der Dienstleister, der mit der Vernichtung des Datenträgers beauftragt ist, diese erst abtransportiert und in einer stationären Anlage vernichtet, ist ein Vertrag nach Art. 28 DSGVO und eine entsprechende Kontrolle der Sicherheitsmaßnahmen des Dienstleisters unumgänglich. Hierbei müssen die protokollierte Übernahme und nachweisliche Vernichtung der Datenträger beachtet werden, als auch die Transportwegesicherheit und Lagerung vor Ort beim Dienstleister bis zur Vernichtung. Die Vernichtung kann durch den Dienstleister auch durch das „Degausern“ via eines starken Elektromagneten erfolgen. Die Kontrolle ist zu dokumentieren. Sonst ist das Risiko nicht auszuschließen, dass ein unseriöser Dienstleister die Speichermedien nicht doch selbst veräußert, wie dies einst 2008 der Gewerkschaft Verdi geschehen ist, die eigentlich die externe Vernichtung beauftragt hatte, dann aber ihre Festplatten in einem Laden für gebrauchte Computerteile widerfinden musste, aufgedeckt durch das „K1“ Fernsehmagazin.

2. Verwertung / Rückgabe von Datenträgern

Bei einer kommerziellen Verwertung nicht mehr benötigter Datenträger oder der Pflicht zur Rückgabe (bspw. im Falle des Leasings der IT Geräte) scheidet die physische Zerstörung der Datenträger natürlich grundsätzlich aus.

Hier ist daher eine sichere Löschung der Daten zu gewährleisten. Einfaches Verschieben in den Papierkorb unter Windows genügt hier ebenso wenig, wie bspw. das Formatieren der Festplatten. Beides ist mit entsprechenden Wiederherstellungsprogrammen rückgängig machbar.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt hierzu das mehrfache Überschreiben der Datenträger mit einer Vielzahl an Datensätzen. Dieses Mehrfachüberschreiben besorgen bspw. spezielle Programme. Dabei werden die Daten mehrfach mit vorgegebenen Zeichen oder Zufallszahlen überschrieben. Bei älteren Festplatten wird eine 7-fache Überschreibung empfohlen. Dies trifft auch auf die Speichermedien zu, die an Dritte zurückzugeben sind.

Nähere Informationen hierzu bietet die Maßnahmen M 2.167 „Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten“ und M 2.433 „Überblick über Methoden zur Löschung und Vernichtung von Daten“ des IT-Grundschutz Katalogs

Es gibt sowohl Freeware als auch kommerzielle Produkte, mit denen diese sichere Löschung durchgeführt werden kann.

Letztlich gibt es auch hier Dienstleister, die bspw. neben dem Ankauf der Festplatten auch gleich das Überschreiben der Daten anbieten. Auch hier sollte für die Datenlöschung ein Vertrag zur Auftragsverarbeitung geschlossen werden und die Art der Löschung sollte kontrolliert werden. Themen wie die nachweisliche Löschung der Datenträger, Transportwegesicherheit und Lagerung spielen auch hier eine wichtige Rolle.

Fazit

Sowohl die Entsorgung, als auch die Verwertung von nicht mehr benötigter Datenträgern muss im Unternehmen als Prozess festgelegt und bspw. in einer Verfahrensübersicht dokumentiert werden. Die Einhaltung dieser vorgegebenen Prozesse muss seitens des Unternehmens intern kontrolliert werden, um der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachzukommen.

Ziel ist die Gewährleistung der sicheren Löschung von Daten auf nicht mehr benötigten Datenträgern durch physische Zerstörung der Speichermedien oder das mehrfache Überschreiben nach den Vorgaben des BSI vor der Verwertung oder Rückgabe. Bei sehr sensiblen Daten sollte zudem stets erwogen werden, Datenträger, auf denen diese gespeichert waren aus grundsätzlichen Risikoerwägungen zu vernichten und nicht an Dritte abzugeben. Verstöße gegen diese aus Art. 32 Abs. 4 a) DSGVO sich ergebenen Sorgfaltspflichten können nach Art. 83 Abs. 4 a) DSGVO mit „Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ geahndet werden.