Festplattenvernichtung in Deutschland: Wenn Datenschutz zur Chefsache wird
- Second IT

- Jun 30
- 4 min read
Eine alte Festplatte im Keller ist kein Datenschutzproblem. Bis sie es ist.
Drei Jahre. So lange liegen ausgemusterte Festplatten in deutschen Unternehmen durchschnittlich im Lager, bevor irgendjemand sich darum kümmert. Drei Jahre voller Kundendaten, Gehaltsabrechnungen, Verträge. Ungeschützt.
Das ist kein Einzelfall. Das ist Alltag in der IT-Abteilung.
Viele Geschäftsführer denken, das Thema sei mit einem Klick auf "Papierkorb leeren" erledigt. Ein fataler Irrglaube. Wer schon einmal eine Recovery-Software auf einer "gelöschten" Festplatte laufen lassen hat, weiß: Die Daten sind noch da. Fast immer.
Das eigentliche Problem: Datenreste sind kein Restrisiko, sie sind ein Vollrisiko
Festplatten sterben selten einen sauberen Tod. Sie fallen aus, werden ausgetauscht, wandern in eine Kiste. Genau hier beginnt das Drama.
Ein gelöschter Datenträger ist juristisch betrachtet noch ein Datenträger mit personenbezogenen Daten – solange die Inhalte forensisch wiederherstellbar sind. Die DSGVO kennt da kein Pardon. Artikel 32 verlangt technische und organisatorische Maßnahmen, die ein angemessenes Schutzniveau gewährleisten. "Wir haben das schon irgendwie gelöscht" zählt nicht dazu.
Und dann gibt es noch die physische Realität: defekte SSDs. Hier wird es richtig unangenehm.
Warum Software-Löschung bei beschädigten SSDs scheitert
Ein Insider-Detail, das kaum jemand außerhalb der Branche kennt: Bei einer SSD mit defektem Controller läuft keine Löschsoftware mehr durch. Der Datenträger antwortet nicht, das Wear-Leveling lässt sich nicht ansprechen, die Overprovisioning-Bereiche bleiben unberührt. Klingt technisch? Ist es auch. Bedeutet praktisch: Auf dem Papier "gelöscht", in der Realität komplett auslesbar – sofern jemand die Hardware in die Finger bekommt.
Genau deshalb braucht es bei physisch beschädigten Medien zwingend die mechanische Zerstörung. Keine Ausnahme.
Die Konsequenzen: Wenn aus Schlamperei ein Bußgeldbescheid wird
Reden wir Klartext.
Die Datenschutzaufsichtsbehörden in Deutschland verhängen Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ausfällt. Bei einem mittelständischen Unternehmen reicht oft schon ein einziger Vorfall, um existenzbedrohend zu werden.
Es geht aber nicht nur ums Geld.
Reputationsschaden: Ein durchgesickerter Datenleck-Fall über entsorgte Festplatten verbreitet sich in der Branche schneller als jede Pressemitteilung.
Wirtschaftsspionage: Konkurrenten, die gezielt Schrottplätze und Entsorger nach IT-Equipment durchsuchen – das klingt nach Krimi, passiert aber tatsächlich.
Vertragsstrafen: Viele B2B-Verträge enthalten mittlerweile eigene Klauseln zur Datenträgervernichtung. Wer hier patzt, riskiert Schadensersatzforderungen vom eigenen Kunden.
Ein Geschäftsführer eines mittelständischen Logistikunternehmens hat es mir einmal so erklärt: "Wir haben unterschätzt, wie viel Vertrauen in einer einzigen Festplatte steckt." Genau das ist der Punkt.
Die Greenwashing-Falle bei Entsorgungszertifikaten
Hier kommt etwas, das selten offen angesprochen wird: Nicht jedes "Entsorgungszertifikat" ist das Papier wert, auf dem es gedruckt steht.
Manche Anbieter verkaufen einen Sammelnachweis als individuelles Vernichtungsprotokoll. Klingt seriös, ist aber rechtlich dünn. Wenn im Ernstfall – etwa bei einer Prüfung durch die Datenschutzaufsichtsbehörde – kein lückenloser Audit-Trail mit Seriennummern-Tracking vorliegt, nützt das schönste Zertifikat nichts.
Worauf es wirklich ankommt: Jeder einzelne Datenträger muss von der Abholung bis zur physischen Zerstörung nachverfolgbar sein. Seriennummer für Seriennummer. Kein Sammelposten, keine Pauschalbescheinigung.
Die Lösung: Strukturierte Festplattenvernichtung als Prozess, nicht als Notlösung
Genau hier setzt Second IT an.
Statt Festplattenver nichtung als lästige Pflichtübung zu behandeln, baut Second IT den gesamten Prozess als geprüften Workflow auf – von der Abholung beim Kunden bis zum finalen Vernichtungsnachweis.
Wie der Prozess in der Praxis aussieht
1. Erfassung und Seriennummern-Tracking
Jeder Datenträger wird beim Abholtermin einzeln erfasst. Keine Sammelschütte, keine Schätzwerte. So entsteht von Anfang an ein belastbarer Audit-Trail.
2. Entscheidung: Löschen oder zerstören?
Funktionstüchtige Datenträger durchlaufen, wo wirtschaftlich sinnvoll, einen zertifizierten Löschprozess nach BSI-Richtlinien – Stichwort Remarketing-Prozess. Defekte oder beschädigte Medien gehen direkt in die mechanische Zerstörung. Second IT trifft diese Entscheidung nicht nach Bauchgefühl, sondern nach klar definierten technischen Kriterien.
3. Physische Vernichtung nach DIN 66399Die eigentliche Festplattenvernichtung erfolgt durch Schreddern auf die geforderte Sicherheitsstufe. Für hochsensible Daten – Finanzunternehmen, Behörden, Gesundheitswesen – reicht eine grobe Zerkleinerung nicht aus. Hier gilt die strengste Norm.
4. Lückenloses Datenvernichtungsprotokoll
Am Ende steht ein Dokument, das vor Gericht und vor jeder Datenschutzbehörde Bestand hat. Mit Seriennummern, Zeitstempel, Verantwortlichen. Schwarz auf weiß.
Second IT arbeitet dabei als zertifizierter Entsorgungsfachbetrieb. Das ist kein Marketingbegriff, sondern eine gesetzliche Qualifikation nach Kreislaufwirtschaftsgesetz – mit entsprechenden Auflagen und regelmäßigen Kontrollen.
Warum interne Lösungen meist scheitern
Viele IT-Abteilungen versuchen es erst selbst. Ein Hammer, ein Bohrer, fertig. Klingt pragmatisch, ist es aber nicht.
Erstens: Ohne professionelle Schredder-Technik bleiben oft lesbare Plattenfragmente übrig. Zweitens: Es fehlt der rechtssichere Nachweis. Drittens – und das wird gerne übersehen – bindet das interne Personalressourcen, die anderswo dringender gebraucht werden.
Die Rechnung ist simpel: Was intern Stunden kostet und trotzdem rechtlich angreifbar bleibt, erledigt ein spezialisierter Partner in einem Bruchteil der Zeit. Mit Garantie.
Fazit für Entscheider: Festplattenvernichtung ist Chefsache, kein IT-Nebenjob
Wer als CTO oder Geschäftsführer auf Nummer sicher gehen will, outsourct die Festplattenvernichtung an einen zertifizierten Partner mit lückenlosem Prozess. Second IT übernimmt genau diese Verantwortung – von der Abholung bis zum revisionssicheren Protokoll.
Die Alternative? Hoffen, dass nichts passiert. Keine besonders überzeugende Strategie, ehrlich gesagt.
Häufig gestellte Fragen zur Festplattenvernichtung
Wie lange dauert eine professionelle Festplattenvernichtung?
Bei kleineren Mengen meist innerhalb von wenigen Werktagen nach Abholung. Größere Projekte mit mehreren hundert Datenträgern können je nach Logistik und gewünschter Sicherheitsstufe ein bis zwei Wochen in Anspruch nehmen. Wichtig ist nicht die Geschwindigkeit allein, sondern die lückenlose Dokumentation jedes einzelnen Schritts.
Reicht eine einfache Formatierung der Festplatte aus, um DSGVO-konform zu sein?
Nein. Eine normale Formatierung löscht lediglich den Dateizuordnungsindex, die eigentlichen Daten bleiben physisch auf dem Datenträger erhalten und sind mit gängiger Software wiederherstellbar. Für echte DSGVO-Konformität braucht es entweder zertifizierte Löschverfahren oder eine physische Zerstörung nach anerkannten Normen.
Was kostet die Vernichtung einer Festplatte bei einem zertifizierten Anbieter?
Die Kosten hängen von Menge, Datenträgertyp und gewünschter Sicherheitsstufe ab. Bei größeren Mengen sinkt der Preis pro Einheit deutlich. Second IT erstellt individuelle Angebote nach kurzer Bestandsaufnahme, da pauschale Preisangaben der Komplexität des Prozesses selten gerecht werden.
Bekomme ich nach der Vernichtung einen rechtssicheren Nachweis?
Ja, und genau das unterscheidet seriöse Anbieter von Billiglösungen. Sie erhalten ein detailliertes Datenvernichtungsprotokoll mit Seriennummern-Tracking, das im Falle einer behördlichen Prüfung oder eines Audits als belastbarer Nachweis dient. Ohne dieses Dokument bleibt Ihre DSGVO-Compliance angreifbar.
Was passiert mit den zerstörten Materialien – ist das umweltfreundlich?
Die zerkleinerten Materialien werden fachgerecht nach Wertstoffen getrennt und dem Recycling zugeführt. Als zertifizierter Entsorgungsfachbetrieb unterliegt der Prozess strengen gesetzlichen Auflagen, sodass Umweltschutz und Datenschutz keine Gegensätze, sondern Teil desselben Prozesses sind.




Comments