Geschäftsführer drohen privat zu haften, wenn der Support für Windows 10 im nächsten Jahr endet. Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks. Wer sich nicht darum kümmert, betroffene Geräte zu ersetzen und die gespeicherten Daten ordnungsgemäß zu vernichten, kann damit seine kaufmännischen Pflichten verletzen. Kommt es dann zu einem finanziellen Schaden für das Unternehmen, stehen Geschäftsführer womöglich mit ihrem Privatvermögen dafür ein, warnt der Daten- und Aktenvernichter Mammut Deutschland.
Wenn Hersteller den Support für ihre Betriebssysteme einstellen, müssen Unternehmen handeln, weil sie keine Sicherheitsupdates mehr bekommen. Häufig lässt sich die Software einfach auf den aktuellen Stand bringen, um das Problem zu lösen. Bei Windows 10 droht jedoch vielen Geräten das Aus, da der Nachfolger Windows 11 eine bestimmte Hardware voraussetzt, über die vor allem ältere Computer noch nicht verfügen. Mehrere hundert Millionen Geräte könnten weltweit betroffen sein, weil Windows 10 das mit Abstand am weitesten verbreitete Betriebssystem ist. In diesen Fällen sind die Unternehmen gezwungen, ältere Geräte auszutauschen. Dabei müssen sie auch darauf achten, dass die Datenträger sicher vernichtet werden, um kritische Daten gemäß gültiger Normen (DIN) unbrauchbar zu machen.
„Wer ein Unternehmen leitet, muss dafür sorgen, dass die Daten sicher verarbeitet werden und vor unbefugtem Zugriff geschützt sind“, sagt Klaus Dräger, Geschäftsführer bei Mammut Deutschland, einem Verbund mittelständischer Entsorgungsbetriebe. „Veraltete Software einzusetzen und damit zu riskieren, dass schützenswerte Daten wegen einer Sicherheitslücke im Betriebssystem aus der Firma abfließen, könnte gegen die Sorgfaltspflichten verstoßen, die von einem Geschäftsführer erwartet werden und die das Gesetz vorschreibt.“
Verstößt ein Geschäftsführer gegen diese Pflichten und kommt es deshalb zu einem finanziellen Schaden für das Unternehmen, haftet er laut GmbH-Gesetz (§ 43) unbegrenzt mit dem gesamten Privatvermögen. Sollten besonders sensible Informationen, wie Forschungsdaten, Baupläne oder personenbezogene Daten abfließen, kann der Schaden schnell in die Millionen gehen. Zudem sieht das Gesetz eine Beweislastumkehr vor. Geschäftsführer müssen darlegen, dass sie sich nichts zur Last legen lassen müssen, wenn sie mit dem Vorwurf konfrontiert werden, dass sie ihre Pflichten vernachlässigt haben. Leichte Fahrlässigkeit, wie ein zu spät aktualisiertes Betriebssystem, kann dafür schon ausreichen. „Geschäftsführer sind gut beraten, wenn sie frühzeitig organisieren, dass die vom Supportende betroffenen Geräte ersetzt werden“, so Dräger.
In der Praxis dürfte das bedeuten, dass Geräte, die sich nicht mehr auf die aktuelle Version von Windows aktualisieren lassen, aus dem Verkehr gezogen werden müssen. Das Problem: Es reicht nicht aus, die Altgeräte beim Recyclinghof oder im Handel wieder abzugeben. Die Datenträger, etwa Festplatten oder elektronische Speichermedien, müssen in der Regel physisch vernichtet werden, um sicher zu gehen, dass sich die gespeicherten Daten nicht doch wieder herstellen lassen. Dafür müssen die Datenträger aus den Geräten ausgebaut und separat zerstört werden. Verbaute Akkus gelten sogar als Gefahrgüter, die nicht ohne weiteres mit anderen Abfällen entsorgt werden dürfen. Die übrige Elektronik, ohne Datenträger, sowie das Gehäuse lassen sich dagegen separat erfassen und recyclen.
Wer sich als Geschäftsführer für den Fall der Fälle absichern möchte, kann sich bestätigen lassen, welche Datenträger mit welcher Seriennummer wie vernichtet worden sind. Im besten Fall erfassen die Betriebe bereits bei der Beschaffung von Laptops, PCs und Mobiltelefonen, wann die Geräte gekauft worden sind, welche Seriennummern die Datenträger haben und wann sie entsorgt worden sind. „Viele Unternehmen beauftragen IT-Dienstleister damit, ihre Mitarbeiter mit den benötigten Arbeitsmitteln auszustatten“, erklärt Mammut-Chef Dräger. „Wichtig ist, dass in diesem Fall genau vereinbart wird, was mit den ausgetauschten Geräten passieren soll. Sonst fällt dem Geschäftsführer das Problem doch wieder vor die Füße.“
Unternehmen aus Branchen, die häufig mit sensiblen Daten arbeiten und deren Mitarbeiter beim Kunden vor Ort sind, sollten besonders auf die Gerätesicherheit achten. Dazu gehören etwa mobile Pflegedienste, die medizinische Informationen über ihre Kunden speichern, oder Vertreter, die bei Hausbesuchen mit ihren Kunden über Versicherungen und die privaten Finanzen sprechen.
Einen vollständigen Überblick bietet das Mammut-Whitepaper „Datenvernichtung: 7 Dinge, die Datenschützer nicht wissen“. Das Dokument kann kostenfrei heruntergeladen werden unter dieser URL: https://www.mammut-deutschland.de/information-datenschutz/
Über Mammut Deutschland
Die Mammut Deutschland GmbH ist eine Mittelstandskooperation mit Sitz in Hamburg, die den bundesweiten Service für acht gleichberechtigte Entsorgungsbetriebe organisiert. Über die Zentrale werden seit 2011 alle überregionalen Aufträge für die Partnerbetriebe koordiniert. Alle Partner sind nach § 56 KrWG als professionelle Entsorgungsbetriebe zertifiziert und werden regelmäßig gemäß DIN EN ISO 9001:2015 auditiert. Die Daten- und Aktenvernichtung findet gemäß DIN 66399 sowie ISO 21964 an verschiedenen Standorten in der Bundesrepublik statt. Mammut Deutschland ist Mitglied im Bundesverband Sekundärstoffe und Entsorgung e.V. (bvse). www.mammut-deutschland.de
Pressekontakt:
Carsten Thiel
carsten.thiel@mammut-deutschland.de
+49 40 6590835-12