Datenschutz-Warnung zum Jahresende: IT-Entsorgung wird zur Risikofalle

Deutsche Unternehmen gefährden durch unsachgemäße IT-Entsorgung sensible Daten – besonders bei KI-Geräten. Das warnt der Bundesdatenschutzbeauftragte zum Jahreswechsel.

Einfach „Werkszustand wiederherstellen“ und das alte Laptop verkaufen? Diese Praxis reicht bei weitem nicht aus, um die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu erfüllen. Das Virtuelle Datenschutzbüro, eine Plattform der deutschen Aufsichtsbehörden, warnte am 11. Dezember 2025 eindringlich davor. Viele Standard-Löschvorgänge entfernen nur Dateiverweise, die eigentlichen Daten bleiben auf der Festplatte oder dem SSD-Speicher aber oft physisch erhalten und sind mit Spezialsoftware wiederherstellbar.

Für Firmen, die zum Jahresende gebrauchte Geräteflotten an Refurbisher verkaufen, birgt das erhebliche Haftungsrisiken. Die Behörde empfiehlt stattdessen zertifizierte Software, die Speichermedien nach anerkannten Standards wie DIN 66399 oder BSI 200-2 mehrfach überschreibt. Bei modernen SSDs sind spezielle Löschbefehle wie „ATA Secure Erase“ nötig. Unterlässt ein Unternehmen diese Schritte, handelt es sich rechtlich bereits um eine Datenpanne – mit möglichen hohen Bußgeldern nach Artikel 83 DSGVO.

Neue Gefahrenquelle: KI-fähige Hardware

Die Risikolandkarte hat sich in diesem Jahr deutlich erweitert. Am 22. Dezember 2025 veröffentlichte der Bundesdatenschutzbeauftragte (BfDI) einen Leitfaden zu KI in Behörden. Die Prinzipien gelten laut Experten auch für die Privatwirtschaft. Die neue Herausforderung: Geräte mit integrierter Künstlicher Intelligenz (Edge AI).

Diese „KI-ready“-PCs oder Smartphones speichern sensible Daten nicht nur auf herkömmlichen Partitionen. Lokale KI-Modelle legen Nutzerinteraktionen, Inferenzdaten oder angepasste Modellgewichte oft in separaten Caches auf Neural Processing Units (NPUs) ab. Herkömmliche Wischroutinen übersehen diese Speicherbereiche leicht. Der BfDI betont, dass Datenschutz-Folgenabschätzungen den gesamten Lebenszyklus von KI-Systemen umfassen müssen – bis hin zur fachgerechten Vernichtung.

Seit August 2024 gelten neue KI‑Regeln — viele Unternehmen riskieren unwissentlich Bußgelder, weil Kennzeichnung, Risikoklassifizierung und Dokumentation fehlen. Der kostenlose Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt praxisnah, welche Pflichten für Hersteller, Anwender und Behörden gelten, wie Sie KI‑Systeme korrekt klassifizieren und welche Übergangsfristen zu beachten sind. Inklusive Checklisten und konkreten Handlungsschritten für Compliance bei KI‑Hardware und Edge‑AI. Kostenlosen KI‑Umsetzungsleitfaden jetzt herunterladen

Refurbished-Boom erhöht den Druck

Die Dringlichkeit der Warnungen kommt nicht von ungefähr. Der Markt für professionell aufgearbeitete IT boomt. Laut dem Digitalverband Bitkom setzen bereits 15 Prozent der deutschen Unternehmen auf refurbished Hardware, weitere 15 Prozent erwägen es. Diese Kreislaufwirtschaft treibt die Geräteflut auf dem Gebrauchtmarkt – besonders zum Jahresende, wenn Budgetüberschüsse noch genutzt und Bestände bereinigt werden.

Das Problem liegt in der Verantwortungskette. Überlässt ein Unternehmen die Datenlöschung dem Refurbisher nach dem Transport, haftet es weiterhin für eventuelle Datenpannen auf dem Weg oder bei mangelhafter Löschung. Die parallele Einführung des EU-KI-Gesetzes verschärft die Lage: Bei Hochrisiko-KI-Systemen drohen bei unsachgemäßer Entsorgung nun Strafen sowohl aus der DSGVO als auch aus dem KI-Recht.

Compliance-Lücke schließt sich

Die zeitgleichen Warnungen zeigen einen verschärften Regulierungsfokus. Wurden früher vor allem Papierakten und einfache Festplatten betrachtet, rücken nun mobile Geräte und KI-Hardware in den Mittelpunkt. Rechtsberater sehen im Mythos des ausreichenden Werksresets eine der hartnäckigsten Compliance-Lücken im deutschen Mittelstand.

Die Definition „personenbezogener Daten“ auf einem Gerät weitet sich aus: Sie umfasst nun auch Verhaltensmuster, die von lokalen KI-Assistenten erlernt wurden. Die strategische Veröffentlichung des BfDI-Leitfadens kurz vor den Feiertagen ist eine klare Botschaft an IT-Abteilungen, die ihre Infrastruktur im ersten Quartal 2026 erneuern: Die „saubere Schreibtisch“-Policy muss zur „sauberen Festplatte“-Policy bei der Außerbetriebnahme werden.

Ausblick 2026: Strengere Regeln kommen

Die Aufsicht wird sich weiter verschärfen. Der volle Anwendungsbereich des EU-Datengesetzes und weitere Teile des KI-Gesetzes werden voraussichtlich transparentere Lösch- und Portabilitätsfunktionen für vernetzte Geräte vorschreiben.

Unternehmen sollten ihre Verträge mit IT-Entsorgern (ITAD) sofort überprüfen. Als Best Practice für 2026 gilt die Löschung vor Ort, noch bevor die Geräte das Firmengelände verlassen. Bei verschlüsselten Geräteflotten setzt sich zudem „Crypto-Shredding“ durch – das Löschen der Verschlüsselungsschlüssel, wodurch die Daten unlesbar werden.

Die Botschaft der Behörden zum Jahresende 2025 ist eindeutig: Der Lebenszyklus eines IT-Geräts endet erst dann, wenn seine Daten nachweislich zerstört sind. Die Mentalität „verkaufen und vergessen“ wird zum unkalkulierbaren Risiko.

PS: Planen Sie, Geräteflotten auszutauschen oder an Refurbisher zu geben? Der gleiche kostenlose KI‑Verordnungs‑Leitfaden erläutert zusätzlich, welche Nachweise, Lösch‑ und Dokumentationspflichten bei Hochrisiko‑Systemen nötig sind — und wie Sie Haftungsfallen bei Außerbetriebnahme vermeiden. Mit Vorlagen für Nachweisdokumente und klaren To‑dos für Löschung, Kennzeichnung und Auftragsverarbeitung. Jetzt kostenlosen KI‑Guide zur Verordnung sichern