Datenschutzkonforme Stilllegung von IT-Systemen nach LGPD in Brasilien

Für Unternehmen, die in Brasilien tätig sind, gilt neben europäischen Regelwerken auch das brasilianische Datenschutzgesetz LGPD. Dieses betrifft nicht nur produktive Systeme, sondern auch das Lebensende von IT-Hardware: Laptops, Desktops, Server, Storage und andere Geräte, die personenbezogene Daten enthalten oder enthalten haben.

Werden solche Geräte ohne kontrollierte Datenvernichtung entsorgt oder verkauft, kann dies als Datenschutzvorfall gewertet werden – mit entsprechenden rechtlichen und reputativen Folgen.

1. Warum das Hardware-Lebensende ein Datenschutzthema ist

• Laptops und PCs mit lokalen Dateien, Caches, Credentials;
• Server und Storage-Systeme mit Datenbanken und Logs;
• Netzwerkgeräte mit Konfigurationen und Protokollen;
• Mobile Endgeräte mit synchronisierten Unternehmensdaten.

Solange Datenträger physisch existieren und nicht sicher gelöscht oder zerstört wurden, besteht das Risiko, dass sensible Informationen rekonstruiert werden.

2. LGPD und Anforderungen an das Datenende

Die LGPD fordert u. a.:

• angemessene Sicherheitsmaßnahmen für personenbezogene Daten;
• Prävention von Schäden für betroffene Personen;
• Löschung von Daten, wenn der Zweck erfüllt ist und keine Aufbewahrungspflicht mehr besteht;
• Nachweisfähigkeit der eingesetzten Schutzmaßnahmen.

Diese Punkte beziehen sich auch auf den Umgang mit Altgeräten und Datenträgern.

3. Typische Schwachstellen bei der IT-Entsorgung

• Weitergabe von Notebooks nach einfacher Formatierung;
• Verkauf oder Entsorgung über inoffizielle Schrotthändler;
• Externe Lagerung von Altgeräten ohne Konzept zur Datenvernichtung;
• Fehlende Dokumentation, wann und wie Datenträger zerstört wurden.

4. Interne Richtlinie zur Stilllegung von IT-Assets

Eine robuste Richtlinie sollte definieren:

• Scope: Welche Arten von Assets sind erfasst?
• Rollen: Wer entscheidet über Stilllegung und Entsorgung?
• Prozess: Wie werden Systeme logisch abgeschaltet und aus Verzeichnissen entfernt?
• Datenvernichtung: Wann werden Datenträger physisch zerstört?
• Partner: Welche Dienstleister, z. B. Ecobraz, sind zugelassen?
• Dokumentation: Welche Nachweise sind aufzubewahren?

5. Datenvernichtung in der Praxis

• Softwarebasiertes Löschen für interne Weiterverwendung, sofern standardisiert und prüfbar;
• Verschlüsselung als zusätzliche Sicherheitslinie während der Nutzung;
• Physische Zerstörung von Datenträgern bei hoher Sensibilität oder Verlassen der Unternehmenssphäre.

6. Dokumentation und Nachweise

• Inventarlisten stillgelegter IT-Assets;
• Freigabeprotokolle für Entsorgungsaktionen;
• Datenvernichtungszertifikate von Ecobraz;
• Zertifikate zur Behandlung und Verwertung von Elektroschrott;
• konsolidierte Übersichten pro Standort (CNPJ) und Zeitraum;
• vertragliche Regelungen zu Vertraulichkeit und Datenschutz.

7. Rolle von Ecobraz in der Praxis

• Organisation von Abholungen an Standorten, Werken und Rechenzentren in Brasilien;
• an IT-Security-Anforderungen ausgerichtete Prozesse für datenhaltige Hardware;
• Erstellung von Zertifikaten zur Datenvernichtung für Audit-Zwecke;
• gesetzeskonforme Behandlung und Verwertung von Elektroschrott;
• Bereitstellung von Kennzahlen für ESG- und Nachhaltigkeitsberichte.

8. Kurz-Checkliste für Unternehmen

• [ ] Existiert eine Richtlinie zur Stilllegung von IT-Systemen für Brasilien?
• [ ] Wird Datenvernichtung bei Altgeräten systematisch dokumentiert?
• [ ] Sind Partner wie Ecobraz vertraglich zur Einhaltung von Datenschutz verpflichtet?
• [ ] Stehen Nachweise (Zertifikate) für Prüfungen bereit?

9. Fazit

IT-Entsorgung in Brasilien sollte als integraler Bestandteil der Datenschutz- und ESG-Strategie betrachtet werden. Mit klaren internen Regeln und einem spezialisierten Partner wie Ecobraz lassen sich rechtliche, sicherheitsbezogene und reputative Risiken deutlich reduzieren.

Weitere Informationen: https://ecobraz.org