Private daten auf entsorgter Festplatte

Hallo Freunde,
bei mir hat sich ein fremder Besitzer meiner alten externen Festplatte gemeldet, weil er darauf meine persönlichen Daten fand. Da ich sie im Laden beim Neukauf einer anderen ext. Festplatte zum Entsorgen abgegeben hatte, empfinde ich den Weiterverkauf als Datenschutzverstoß. Hat schon jemand derartiges erlebt?
Friedrich

Hallo,

Nein. Kann mir nicht passieren. Zum einen lösche ich meine Daten selbständig, bevor ich eine Festplatte aus der Hand gebe. Zum anderen, wenn ich sie aus der Hand gebe, hat sie ihren Dienst getan, geht in die Elektroschrott-Verwertung und wird vorher mechanisch zerstört.

Rechtlich schwieriges Thema. Erst mal bist Du für den Schutz Deiner Daten selbständig verantwortlich. War für den Händler offensichtlich, dass Du ihm eine Festplatte voll mit persönlichen Daten übergibst? Hat er Dir (womöglich schriftlich) zugesichert, dass er die Festplatte ohne weitere Durchsicht der Daten löscht und/oder unbrauchbar macht? Hat er dafür eine Gebühr erhoben (denn sowas macht auch Arbeit)?

Grüße
Pierre

4 Like

Ich muß wohl dazusagen, daß ich keinen Zugriff mehr auf die Platte hatte, Für mich war sie defekt und nicht mehr lesbar, also sicher vor fremdem Zugriff. Ich war der Meinung, daß sie bei einer so großen renommierten Fa. wie SATURN fachmännisch entsorgt würde. Die haben angeblich sogar einen Datenschutzbeauftragten - wozu?
Ich hätte die Platte natürlich zerschlagen können; aber was mache ich bei einem Laptop? Sehr mühsam! Gott sei Dank hat der neue Besitzer, der sie für neu gekauft hat, versprochen, sie zu formatieren. Es kann doch nicht rechtens sein, eine gebrauchte Platte voller alter Daten für neu zu verkaufen!

Nö. Saturn hat die Daten weder erhoben noch verarbeitet. Außerdem sind persönliche Daten nicht zwangsläufig personenbezogene Daten, die nach DSGVO geschützt sind.

Die Vorgehensweise finde ich zwar auch schwierig, aber ein Verstoß gegen die DSGVO ist dieser Vorgang nicht. Im Prinzip ist das das gleiche, wie wenn Du auf dem Flohmarkt eine Kiste verkaufst, in der sich in einem Geheimfach noch ein paar Liebesbriefe an eine frühere Flamme befinden, und der Käufer die Kiste dann weiterverkauft und der nächste Käufer dann das Geheimfach findet.

Merke: Datenträger werden angebohrt oder zerhackt und dann entsorgt.

In der Regel nicht. Klappe auf der Rückseite (Schrauben) oder unter der Tastatur (Clipse) öffnen, FP entnehmen und zerhacken oder durchbohren.

Gruß
C.

1 Like

Ich beginne, die Zusammenhänge zu ahnen. Die „alte“ Festplatte war noch nicht alt. Du hattest sogar noch eine Verpackung und hast die vermeintlich defekte Platte samt der Verpackung abgegeben und im Austausch eine neue mitgenommen? Liege ich mit der Mutmaßung richtig?

Naja, es gibt viel Spielraum für Spekulationen. Ich kenne auch einige Märkte dieser Kette und erlebe immer wieder das Fehlen echter fachlicher Kompetenz, wenn es über Werbeaussagen hinaus geht. Von daher kann ich mir vorstellen, dass Mitarbeiter A Deine Festplatte angenommen hat, sie fiel B in die Hand und der hat sie wieder an die Wand gehängt, zu den anderen guten.

Der ist wahrscheinlich noch nie auf die Idee gekommen, einen Fall wie Deinen systematisch durchzuarbeiten. Ein solcher Datenschutzbeauftragte kümmert sich darum, dass im täglichen Ablauf die DSGVO beachtet und umgesetzt wird. Im Fall des Marktes betrifft es vor allem die Kundendaten. Also die Daten, die beim Verkauf im Markt und Online entstehen - nicht die Daten der Kunden auf den Geräten die als vermeintlich defekt abgegeben werden.

Man kann jeden Laptop zumindest öffnen. Und selbst die am besten verklebten Geräte von Apple haben noch eine sichtbare Leiterplatte, auf denen die Speicherchips (alias SSD) mit Hilfe den Internets zu identifizieren sind.

Nun ja. Eine gesetzliche Definition, wann eine Ware als „neu“ zu bezeichnen ist, gibt es nicht. Aber das ist auch erstmal das Problem des nächsten Kunden. Hätte ich jemals ein solche Festplatte gekauft, hätte ich mir nach dem Datenfund die S.M.A.R.T.-Werte angesehen und nach der Laufleistung gesucht. Anschließend hätte ich ein großes Fass aufgemacht. Wahrscheinlich nicht mal direkt bei Saturn/Mediamarkt sondern erstmal beim Heise-Verlag.

Wenn meine Mutmaßung über den Hergang der Abgabe der Festplatte richtig sein sollte, stimme ich Dir zu. Es ist eine Sauerei, eine eventuell nur falsch bediente Festplatte ohne Kontrolle wieder an die Wand zu hängen. Und ja, da sehe ich in der Tat einen fahrlässigen Umgang mit Deinen persönlichen Daten. Gegen welchen Artikel der DSGVO dabei im einzelnen verstoßen wird, kann ich Dir nicht sagen. Aber ganz allgemein verstößt es gegen das Recht auf informationelle Selbstbestimmung, von dem die DSGVO nur einen Teil darstellt.

Das erinnert mich an eine Geschichte, die mir ein Mitarbeiter von Kaufhof erzählte. Ein Kunde erwarb eine Bratpfanne und brachte diese einige Wochen später benutzt wieder ins Geschäft und bat um Umtausch. Sie sei doch nicht so nach seiner Mütze.

So lange wir nicht wissen, wie, in welchem und mit welchen Worten die Festplatte in den Laden kam, kann man den Sachverhalt nicht beurteilen. Beschweren kann sich mit Fug und Recht zumindest der Käufer der vermeintlich neuen FP bzw. des vermeintlich neuen Laptops.

Ob im Geschäft ein Fehler gemacht hat, erschließt sich mir noch nicht, weil eben der Sachverhalt nicht klar ist und von dem hängt alles ab. Ob ein Geschäft, dass eine vermeintlich defekte Platte durchtestet, keinen Fehler, aber eben auch keine Daten bemerkt und die Platte dann wieder in den Verkauft gibt, fahrlässig handelt, wenn es die Platte nicht so „desinfiziert“, dass keine Daten wiederherstellbar sind, müsste mal ein Gericht entscheiden. Ganz von der Hand zu weisen ist das nicht. Andererseits ist aber auch der Eigentümer der Festplatte zu einem gewissen Grad in der Pflicht, sich um die Löschung der Daten zu bemühen. Inwieweit man da eine hinreichende Sachkunde erwarten darf (also dass einfaches Löschen nicht reicht, z.B.), müsste dann wieder ein Gericht abwägen.

Klar ist aber auch, dass man mit dem Datenschutz nicht weit kommt. Der Händler hat die Daten weder erhoben noch verarbeitet. Die DSGVO greift also nicht. Wenn ich nicht etwas übersehe, bleibt dann nur noch der allgemeine Schadenersatzanspruch nach §823 BGB und um darüber einen Anspruch geltend zu machen, bräuchte man erst einmal einen nachweisbaren, bezifferbaren Schaden und das dürfte gerade hier, wo der ehrliche Finder (bzw. wahrscheinlich auch Sucher) sich gemeldet hat, anstatt die Daten zu missbrauchen, eher schwierig werden.

Gruß
C.

Als Anspruchsgrundlage wäre vor allem an §§ 280 Abs. 1 S. 1; 241 Abs. 2 BGB zu denken. Den Schaden halte ich allerdings auch für fraglich.

Interessant wäre noch die strafrechtliche Beurteilung. Entsorgungsauftrag = unentgeltliches Recht zum Weiterverkauf?

Hi

sollte die Platte denn entsorgt werden ? Oder hat der TO das nur vermutet, weil er die Platte einfach im Rahmen der Garantie zurückgegeben hat, weil er einen Defekt vermutete und hat es möglicherweise deswegen auch nicht für erforderlich gehalten, den Laden auf die auf der Platte befindlichen Daten hinzuweisen?

Eine mechanische Vernichtung der Festplatte, bevor man sie im Rahmen eines Garantiefalls zurück gibt, wäre ja nicht besonders schlau

Dann nimmt der Laden die Platte entgegen, hängt sie an ein Testgerät - stellt fest, dass die Platte sehr wohl funktioniert, und räumt sie wieder ins Regal (weil sie von den Daten ja nichts wissen)

Was man dem Laden in diesem Fall vorwerfen könnte, wäre dass sie nicht nachgefragt haben, ob da noch etwas drauf sein könnte …

Üblicherweise werden Festplatten (sofern es nicht gerade externe sind) im Rahmen einer Neuninstallation eh formatiert, so dass die Daten dann zumindest zu einem großen Teil schon ziemlich futsch wären.

Sprich: solange wir nicht GENAU wissen, ob etwas und was genau vereinbart war - warum die Platte genau zum Laden zurück ging - was dort am Tresen genau gesprochen wurde … ist alles Makulatur

Gruß h.

2 Like

Darüber dachte ich auch nach, aber ich war mir nicht sicher, welches Schuldverhältnis zwischen Kunde und Laden noch bestehen könnte. Die Gewährleistungssache war ja abgewickelt. Am Ende wird es so oder so am Schaden mangeln und ob da eine Pflichtverletzung stattgefunden ist, ist im Zweifel Auslegungssache bzw. eine Frage der konkreten Umstände, die wir leider nicht kennen.

Das ändert doch nichts an § 241 Abs. 2 BGB und damit an einem entsprechenden Schuldverhältnis.

Ich beginne, die Zusammenhänge zu ahnen. Die „alte“ Festplatte war noch nicht alt. Du hattest sogar noch eine Verpackung und hast die vermeintlich defekte Platte samt der Verpackung abgegeben und im Austausch eine neue mitgenommen? Liege ich mit der Mutmaßung richtig?
Pierre hats erfaßt! So war es. 4TB-Platte April 2020 gekauft und Dez. 2021 gegen neue 5TB-Platte eingetauscht, weil die alte nicht mehr funktionierte. Das geht natürlich nicht mit einer zerstörten Platte. Auftrag war recycling und nicht weiterverkaufen. Das Geld für die alte Platte wurde mir erstattet.
Der neue Käufer konnte meine alte Platte nicht einmal zurückgeben, weil er keine Kaufquittung hatte. Aber er kann sie nutzen, weil er 1 neues „Netzteil“ dazu gekauft hat. Da er ebenfalls Akademiker ist wie ich, vertraue ich ihm, daß er die versprochene Formatierung wirklich macht. Damit wäre ich zufrieden. Lehre für die Zukunft: keine Laufwerke mit eigenen Daten weggeben, auch nicht gegen Erstattung. Bei fest eingebauten Teilen muß ich dann meine einschlägigen Bekannten bemühen, die bei Entsorgungsunternehmen oder als EDV-Operator arbeiten.
Danke für die Kommentare! :+1:

Das passt aber nicht zusammen! Aufgrund der Erstattung war das nicht mehr deine Platte und hattest Du kein Recht mehr über das weitere Schicksal dieser Platte zu entscheiden. Vielmehr stand es nach der Erstattung dem Händler vollkommen frei, was er mit dieser Platte macht.

3 Like

Bitte was …? Meinst du das ernst?

2 Like

Recycling beinhaltet aber einen möglichen Weiterverkauf, nachdem es repariert wurde

1 Like

Du hast gar keinen Auftrag erteilt. Natürlich darf als defekt zurückgenommene Ware wieder instand gesetzt werden.
Allerdings sehe ich da duraus einen Verstoß gegen die DSGVO. Schließlich ist ein Teil davon, dass Daten sicher verwahrt werden.

Und dass persönliche Daten auf dem Datenträger sein können, muss der Händler gerade bei als defekt reklamierten Ware annehmen. Schließlich hat der Anwender dann ja keine Chance, die Daten vorab selbst zu löschen.

Frage ist natürlich, was der neuen Besitzer so angestellt hat, um die Daten sichtbar zu machen. Waren die einfach vorhanden oder hat er „wilde“ Widerherstellungsmethoden angewendet?

Nun ja, das sieht zumindest das Amtsgericht Hildesheim anders: Zusammenfassung einer RA-Kanzlei (dort auch Aktenzeichen angegeben).

Im Urteil heißt es zur Haftung:

"Die Beklagte konnte sich durch allgemeine Hinweise darauf, dass bei der Rückgabe von Geräten mit Speichermedien der Urzustand wieder herzustellen sei und die Löschung aufgespielter, vertraulicher und personenbezogener Daten in der Verantwortung des Käufers bzw. Einsenders liege, ihrer Verantwortung für eine rechtmäßige Datenverarbeitung nach der DSGVO nicht entheben.*

Die Verlagerung für die Verantwortung mit dem Umgang von Daten käme in dem vorliegenden Fall einem pauschalen Haftungsausschluss gleich. Ein präventiver Haftungsausschluss widerspricht jedoch dem Schutzzweck der DSGVO.*

Die Beklagte ist auch nicht nach Art. 82 Abs. 3 DSGVO von der Haftung befreit. Denn dies wäre nur dann der Fall, wenn der Beklagten auch nicht die geringste Fahrlässigkeit vorzuwerfen wäre, etwa dann, wenn der Schaden ausschließlich auf ein Verhalten des Klägers oder auf höhere Gewalt zurückzuführen ist (vgl. Paal, a.a.O., 17 - beckonline). Dies ist augenscheinlich nicht der Fall, da die Beklagte selbst vorbringt, die im Rahmen der Wiederaufbereitung unzureichend durchgeführte Datenlöschung beruhe auf einem menschlichen Versehen und der verantwortliche Mitarbeiter sei zur verstärkten Sorgsamkeit gemahnt worden."
Quelle: o.g. Internetseite der Kanzlei

So wie ich als Laie das Urteil verstehe, wird der Händler zum potentiellen Datenverarbeiter, wenn er Datenträger annimmt, die üblicherweise Daten enthalten können.

1 Like

Einfach so ist auf einer Festplatte nichts sichtbar… SCNR.

Und was „wilde“ Wiederherstellungsmethoden sind, da scheiden sich vermutlich auch die Geister. Controller ausloten, Reinraum-Chirurgie sind vermutlich unbestritten wild, aber schon mit dd_rescue oder photorec ist in vielen Fällen erstaunliches machbar.

Vorab: der verlinkte Text hilft null bei der Frage, ob das Urteil in irgendeiner Weise auf den vorliegenden Fall anwendbar ist. Ich habe mir nun eine andere Quelle herausgesucht, aus der hervorgeht, dass das Gericht die Datenverarbeitung dadurch als gegeben ansieht, dass das Unternehmen gewerbsmäßig bzw. regelmäßig und eben auch im konkret entschiedenen Fall eine Wiederaufbereitung (zu der auch explizit die Bereinigung der Datenträger gehört) der zurückgesandten/-gegebenen Geräte betreibt/betrieb und die Geräte anschließend wieder verkauft/verkaufte.

Das ist hier konkret nicht der Fall, weswegen ich schon schrieb, dass im Zweifel ein Gericht entscheiden muss, ob hier (also im geschilderten Fall, bei dem wir den genauen Ablauf immer noch nicht kennen) eine Kontrolle bzgl. des Vorhandenseins von Daten und deren anschließende finale Löschung erwartet werden kann.

Es ist noch zu ergänzen, dass sich die DSGVO auf personenbezogene Daten bezieht, nicht aber auf Daten, die man nicht in fremden Händen haben möchte.

1 Like

hi,

wie stellt man sich das vor?

Kauft eine wirklich kaputte Festplatte und ein Netzteil dazu, weil die neue Platte schon aussah als …

Kaufte ungetestete Warenrückläufer in großen Kisten in der Hoffnung, da könnte was dabei sein, was eventuell noch geht?

Kauft eine neue Platte und ärgert sich, dass die nicht geht. Trägt sie aber nicht zum Händler sondern kauft noch ein Netzteil?

Beim schreiben kommt mir gerade der Verdacht, dass „Netzteil“ hier ein Y-USB-Kabel umschreibt.

nur mal so hypothetisch: falls auf der Platte irgendwo etwas liegen sollte, was eventuell Passwörter enthalten könnte… dann würde ich eher davon ausgehen, dass er nun sicher weiß, dass du leichtgläubig sein könntest.

grüße
lipi

2 Like

Ich habe nicht selbst mit ihm gesprochen, sondern meine Familie. Die Auskunft war, daß der Käufer kein Netzteil bekam und eins gekauft hatte, sodaß er die Platte lesen konnte. Darauf war ich leider nicht selbst gekommen, ich dachte, die Platte sei hinüber und wollte die Garantieleistung in Anspruch nehmen. Das finde ich ganz normal.