Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Redaktion silicon.de,
Linkedin
Windows 10 (Bild: ZDNet.de)

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

Wenn Hersteller den Support für ihre Betriebssysteme einstellen, müssen Unternehmen handeln, weil sie keine Sicherheitsupdates mehr bekommen. Bei Windows 10 droht bald vielen Geräten das Aus, da der Nachfolger Windows 11 eine bestimmte Hardware voraussetzt, über die vor allem ältere Computer noch nicht verfügen. Mehrere 100 Millionen Geräte könnten weltweit betroffen sein, weil Windows 10 das mit Abstand am weitesten verbreitete Betriebssystem ist. In diesen Fällen sind die Unternehmen gezwungen, ältere Geräte auszutauschen. Dabei müssen sie auch darauf achten, dass die Datenträger sicher vernichtet werden, um kritische Daten gemäß gültiger Normen (DIN) unbrauchbar zu machen.

Verstoß gegen Sorgfaltspflicht

“Veraltete Software einzusetzen und damit zu riskieren, dass schützenswerte Daten wegen einer Sicherheitslücke im Betriebssystem aus der Firma abfließen, könnte gegen die Sorgfaltspflichten verstoßen, die von einem Geschäftsführer erwartet werden und die das Gesetz vorschreibt”, warnt Klaus Dräger, Geschäftsführer von Mammut Deutschland, einem Verbund mittelständischer Entsorgungsbetriebe.

Verstößt ein Geschäftsführer gegen diese Pflichten und kommt es deshalb zu einem finanziellen Schaden für das Unternehmen, haftet er laut GmbH-Gesetz (§ 43) unbegrenzt mit dem gesamten Privatvermögen. Sollten besonders sensible Informationen, wie Forschungsdaten, Baupläne oder personenbezogene Daten abfließen, kann der Schaden schnell in die Millionen gehen. Zudem sieht das Gesetz eine Beweislastumkehr vor. Geschäftsführer müssen darlegen, dass sie sich nichts zur Last legen lassen müssen, wenn sie mit dem Vorwurf konfrontiert werden, dass sie ihre Pflichten vernachlässigt haben. Leichte Fahrlässigkeit, wie ein zu spät aktualisiertes Betriebssystem, kann dafür schon ausreichen. ”

Ausbau und Zerstörung der Datenträger

In der Praxis dürfte das bedeuten, dass Geräte, die sich nicht mehr auf die aktuelle Version von Windows aktualisieren lassen, aus dem Verkehr gezogen werden müssen. Das Problem: Es reicht nicht aus, die Altgeräte beim Recyclinghof oder im Handel wieder abzugeben. Die Datenträger, etwa Festplatten oder elektronische Speichermedien, müssen in der Regel physisch vernichtet werden, um sicher zu gehen, dass sich die gespeicherten Daten nicht doch wieder herstellen lassen. Dafür müssen die Datenträger aus den Geräten ausgebaut und separat zerstört werden. Verbaute Akkus gelten sogar als Gefahrgüter, die nicht ohne weiteres mit anderen Abfällen entsorgt werden dürfen. Die übrige Elektronik, ohne Datenträger, sowie das Gehäuse lassen sich dagegen separat erfassen und recyclen.

Wer sich als Geschäftsführer für den Fall der Fälle absichern möchte, kann sich bestätigen lassen, welche Datenträger mit welcher Seriennummer wie vernichtet worden sind. Im besten Fall erfassen die Betriebe bereits bei der Beschaffung von Laptops, PCs und Mobiltelefonen, wann die Geräte gekauft worden sind, welche Seriennummern die Datenträger haben und wann sie entsorgt worden sind. “Viele Unternehmen beauftragen IT-Dienstleister damit, ihre Mitarbeiter mit den benötigten Arbeitsmitteln auszustatten”, erklärt Mammut-Chef Dräger. “Wichtig ist, dass in diesem Fall genau vereinbart wird, was mit den ausgetauschten Geräten passieren soll. Sonst fällt dem Geschäftsführer das Problem doch wieder vor die Füße.”

Einen Überblick über die gesetzeskonforme Daten- und Datenträgervernichtung gibt das Mammut-Whitepaper “Datenvernichtung: 7 Dinge, die Datenschützer nicht wissen“.