Das Problem fängt nicht im Rechenzentrum an – es endet dort

Wer schon einmal eine Serverkonsolidierung mitgemacht hat, kennt den Moment: Die alten Rack-Einheiten stehen abgebaut in der Ecke, die Migration läuft, das Team atmet durch. Und dann? Nichts. Die Hardware steht. Wochen. Manchmal Monate.

Was IT-Manager dabei häufig unterschätzen: Das Risiko beginnt nicht mit dem Einschalten eines neuen Systems. Es lauert in den alten Dell PowerEdge-Gehäusen und HPE ProLiant-Einschüben, die still vor sich hin stauben – noch immer vollgepackt mit Kundendaten, ERP-Snapshots, Active-Directory-Dumps und manchmal sogar unverschlüsselten Backup-Archiven.

Wer alte Server verkaufen will, betritt damit ein Terrain, auf dem Compliance, Datenschutz und wirtschaftlicher Restwert gleichzeitig auf dem Spiel stehen.

Was auf den Festplatten wirklich noch drauf ist

Hier liegt der blinde Fleck vieler Abteilungen. Ein Server, der „eh nur als Fileserver lief", enthält mitunter mehr schützenswerte Informationen als das aktive CRM-System. Alte RAID-Verbünde mit HDD- oder SSD-Arrays speichern Daten nicht linear – ein einfaches Formatieren löscht keine einzige Seite physisch.

Konkret bedeutet das: Ein externer Käufer gebrauchter Serverhardware, der über entsprechendes Know-how verfügt, kann aus einem scheinbar gelöschten RAID-10-Verbund innerhalb von Stunden Datenfragmente rekonstruieren. Daten aus dem Personalbereich. Aus der Finanzbuchhaltung. Aus Kundendatenbanken.

Die Datenschutzgrundverordnung (DSGVO) ist hier glasklär: Artikel 5 Absatz 1 Buchstabe f verpflichtet Unternehmen zur „Integrität und Vertraulichkeit" – auch beim Aussondern von Hardware. Es gibt keine Ausnahme für ausrangierte Geräte. Kein Sondertatbestand für Budgetdruck.

Was passiert, wenn's schiefläuft?

Der Worst Case ist kein theoretisches Szenario. Mehrfach dokumentierte Fälle aus Deutschland zeigen: Gebrauchte Unternehmensserver, auf freien Marktplätzen weiterverkauft, enthielten rekonstruierbare Personaldaten, medizinische Informationen oder Geschäftsgeheimnisse. Die Folgen reichen von Bußgeldern nach Artikel 83 DSGVO – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – bis hin zu strafrechtlicher Relevanz nach § 42 BDSG.

Und vergessen wir den Reputationsschaden nicht. Ein Datenleck, das über ausgesonderte Hardware entstand, ist in der IT-Branche schwer zu erklären. Gegenüber Kunden. Gegenüber dem Aufsichtsrat. Gegenüber der Presse.

Der typische Fehler: Datenlöschung intern „irgendwie" regeln

Viele IT-Abteilungen versuchen, das Problem mit Bordmitteln zu lösen. Ein Kollege führt DBAN aus, ein Tool überschreibt die Platten, fertig. Klingt pragmatisch. Ist aber gefährlich.

Erstens: DBAN und ähnliche Software-Tools funktionieren bei mechanischen Festplatten grundsätzlich ordentlich – sofern die Platte keine defekten Sektoren aufweist. Ist eine HDD auch nur teilweise beschädigt, überspringt das Tool diese Bereiche kommentarlos. Die Daten bleiben dort erhalten.

Zweitens: Bei SSDs und NVMe-Laufwerken versagt reine Software-Überschreibung strukturell. Wear-Leveling-Algorithmen verteilen Schreibvorgänge über den gesamten Speicher – ein einmaliges Überschreiben erreicht nicht alle physischen Zellen. Ohne Secure-Erase-Befehle auf Controllerebene oder physische Vernichtung bleibt ein Restrisiko.

Drittens: Ohne Datenvernichtungsprotokoll und lückenlosen Audit-Trail mit Seriennummern-Tracking kann das Unternehmen gegenüber einer Datenschutzbehörde nicht nachweisen, dass ordnungsgemäß gelöscht wurde. Der Prozess zählt – nicht die Absicht.

Die richtige Methode: Zertifizierter ITAD-Prozess von Anfang bis Ende

Genau hier setzt Second IT an. Kein Flickenteppich aus internen Bordmitteln und Hoffnung, sondern ein durchgängiger Remarketing-Prozess, der sämtliche Phasen des Hardware-Lifecycles abdeckt.

Wie der Prozess bei Second IT konkret abläuft:

• Inventarisierung & Audit-Trail: Jedes Gerät wird bei der Abholung per Seriennummer erfasst. Der Audit-Trail beginnt beim ersten Handgriff im Rechenzentrum des Kunden – nicht erst im Second-IT-Lager.

• Zertifizierte Datenlöschung nach BSI-Richtlinien: Second IT arbeitet nach den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik. Defekte Datenträger, bei denen eine softwarebasierte Löschung nicht möglich ist, werden physisch vernichtet – als anerkannter Entsorgungsfachbetrieb.

• Datenvernichtungsprotokoll: Nach Abschluss des Prozesses erhält jeder Kunde ein vollständiges, revisionssicheres Protokoll – auditierbar, DSGVO-konform, belastbar bei Behördenanfragen.

• Marktgerechte Bewertung & Ankauf: Parallel läuft die Wertermittlung. Server, Blade-Systeme, Netzwerkkomponenten – Second IT prüft den Marktwert und zahlt faire Ankaufspreise. Das Unternehmen wird also nicht nur sicher befreit, sondern erzielt gleichzeitig Rückflüsse in die IT-Budgets.

Dieser kombinierte Ansatz ist der entscheidende Unterschied. Alte Server verkaufen und dabei DSGVO-konform bleiben – das ist kein Widerspruch, wenn der richtige Partner den Prozess steuert.

Was viele nicht wissen: Greenwashing bei IT-Zertifikaten

Ein kurzer Exkurs für alle, die auf Zertifikate als Qualitätsmerkmal schauen – berechtigt, aber mit Vorsicht zu genießen. Der Markt für IT-Recycling und ITAD ist gewachsen, und damit auch die Zahl der Anbieter, die mit vermeintlichen Umwelt- oder Sicherheitszertifikaten werben, ohne dass hinter diesen Auszeichnungen belastbare Prüfprozesse stehen.

Fragen Sie bei jedem Anbieter konkret nach: Welche Norm liegt dem Zertifikat zugrunde? Wer hat auditiert? Sind die BSI-Richtlinien zur Datenvernichtung explizit Bestandteil des Prozesses, oder redet man von einem allgemeinen ISO-Umweltmanagement ohne datenschutzrechtliche Tiefe?

Second IT legt die eigenen Zertifikate offen und benennt die zugrundeliegenden Prüfprozesse. Das ist keine Selbstverständlichkeit.

Hauseigene Logistik: Unterschätzter Sicherheitsfaktor

Noch ein Punkt, der in Ausschreibungen selten auftaucht, aber operativ massiv relevant ist: die Transportkette. Wer alte Server verkaufen möchte, übergibt beim Abtransport Datenschutzverantwortung an den Logistikdienstleister – oft ohne es zu merken.

Viele ITAD-Anbieter lagern diesen Teil aus. Externer Speditionspartner, unbekannte Fahrer, keine durchgängige Dokumentation zwischen Abholung und Löschprozess. Eine Lücke im Audit-Trail.

Second IT setzt auf hauseigene Logistik. Das bedeutet: Dieselbe Verantwortungskette, die im Rechenzentrum beginnt, setzt sich lückenlos bis zur Datenlöschung fort. Kein Medienbruch. Kein Zuständigkeitsvakuum.

FAQ: Häufige Fragen zum Thema alte Server verkaufen

1. Kann ich alte Server einfach auf einer Online-Plattform verkaufen, wenn ich vorher die Festplatten entferne?

Das klingt logisch, birgt aber mehrere Risiken. Erstens müssen die entnommenen Laufwerke selbst fachgerecht und DSGVO-konform vernichtet oder gelöscht werden – ohne zertifiziertes Datenvernichtungsprotokoll fehlt der Nachweis. Zweitens können auf dem Server-Mainboard, in RAID-Controllern oder BIOS-Speichern Konfigurationsdaten und teils auch Zugangsdaten hinterlegt sein. Ein vollständiger ITAD-Prozess umfasst die gesamte Einheit – nicht nur die Laufwerke. Second IT empfiehlt, diese Entscheidung nicht intern zu treffen, sondern mit einem zertifizierten ITAD-Partner zu besprechen.

2. Wie lange dauert der Abhol- und Verwertungsprozess bei einem typischen Server-Rollout mit 20 bis 50 Einheiten?

Die Dauer hängt vom Zustand der Geräte, der Anzahl der Datenträger pro Server und dem Auslastungsgrad ab. Bei gut 30 bis 50 Standard-Rack-Servern mit je 4 bis 8 Festplatten ist ein vollständiger Prozess inklusive Abholung, Datenlöschung, Protokollierung und Abschlussrechnung in der Regel innerhalb weniger Werktage abgeschlossen. Second IT erstellt vorab eine verbindliche Zeitschiene – damit IT-Projekte nicht wegen Hardware-Rückläufen ins Stocken geraten.

3. Welche Dokumente erhalte ich als Nachweis für die DSGVO-konforme Datenvernichtung?

Nach Abschluss des Löschprozesses erhalten Sie ein revisionssicheres Datenvernichtungsprotokoll, das für jeden Datenträger einzeln dokumentiert: Seriennummer, Löschmethode, Datum, ausführende Stelle und – bei physischer Vernichtung – den Nachweis der Entsorgung als zertifizierter Entsorgungsfachbetrieb. Dieses Dokument ist bei Anfragen durch Datenschutzbehörden oder im Rahmen interner Audits unmittelbar verwendbar. Ein lückenloser Audit-Trail ist bei Second IT kein optionaler Zusatz, sondern fester Bestandteil jedes Auftrags.

4. Bekomme ich für alte, defekte Server überhaupt noch einen Ankaufspreis?

Das kommt auf Alter, Modell und Komponentenzustand an. Vollständig defekte Einheiten ohne verwertbare Komponenten werden in der Regel als Recycling-Material behandelt – hier steht die normgerechte Entsorgung im Vordergrund. Viele als „defekt" eingestufte Server enthalten jedoch noch funktionsfähige CPUs, Speichermodule, Netzwerkkarten oder Gehäuse mit Marktwert. Second IT führt eine Komponentenbewertung durch und kommuniziert das Ergebnis transparent – ohne versteckte Abzüge.

5. Was unterscheidet einen zertifizierten ITAD-Dienstleister von einem normalen IT-Händler, der gebrauchte Server ankauft?

Der entscheidende Unterschied liegt im Datenschutz-Prozess. Ein normaler Gebrauchthändler kauft Hardware – die Datenlöschung ist für ihn kein regulatorisches Pflichtfeld, sondern allenfalls ein Serviceversprechen. Ein zertifizierter ITAD-Dienstleister wie Second IT hingegen trägt nachweislich Verantwortung für den gesamten Prozess: von der DSGVO-konformen Datenlöschung nach BSI-Richtlinien über den lückenlosen Audit-Trail bis zum Datenvernichtungsprotokoll. Das ist nicht dasselbe – und bei einer Datenpanne macht dieser Unterschied den Ausschlag zwischen Bußgeld und Freispruch.

Fazit: Wer alte Server verkaufen will, braucht mehr als einen Käufer

Die Hardware hat einen Restwert. Das stimmt. Aber der eigentliche Wert des richtigen Prozesses liegt anderswo: in der Rechtssicherheit, die ein sauberer ITAD-Prozess schafft. In der Gewissheit, dass kein ehemaliger Mitarbeiter, kein Datenretter und kein neugieriger Käufer auf irgendeinem Flohmarktserver die Kunden-Datenbank des letzten Jahrzehnts wiederfindet.

Second IT übernimmt genau das – den vollständigen Lebenszyklus, lückenlos dokumentiert, zertifiziert und mit fairem wirtschaftlichem Gegenwert für die ausgesonderte Hardware. Kein Kompromiss zwischen Sicherheit und Effizienz. Beides geht – wenn man weiß, wie.