Industrieauktionen aus Insolvenzen sind kein gewöhnlicher Warenverkauf. Insbesondere IT- und Büroausstattung stellt ein erhebliches datenschutzrechtliches Risiko dar, da nahezu jedes Gerät personenbezogene oder vertrauliche Unternehmensdaten enthalten kann.
12/02/2026 Insolvenz
Als Industrieauktionshaus, das regelmäßig Insolvenzauktionen durchführt, sehen wir uns in einer besonderen Verantwortung. IT-Ausstattung darf nur dann verwertet werden, wenn eine DSGVO-konforme Datenlöschung nachweislich und dokumentiert erfolgt ist.
In Insolvenzverfahren stehen Zeitdruck, Verwertungserlöse und rechtliche Pflichten in einem Spannungsfeld. Gleichzeitig befinden sich auf Datenträgern häufig sensible Informationen zu Mitarbeitern, Kunden, Lieferanten oder laufenden Vertragsverhältnissen.
Ein einfaches Zurücksetzen, Formatieren oder Löschen über das Betriebssystem genügt rechtlich nicht. Wer Hardware ohne professionelle Löschung in Verkehr bringt, riskiert erhebliche DSGVO-Verstöße.
Mit Eröffnung des Insolvenzverfahrens wird der Insolvenzverwalter datenschutzrechtlich Verantwortlicher im Sinne der DSGVO. Ein Insolvenzprivileg existiert nicht – die Datenschutz-Grundverordnung gilt vollumfänglich.
Der Insolvenzverwalter haftet persönlich für Datenschutzverstöße. Das betrifft auch die Freigabe von IT-Geräten zur Verwertung über Auktionen.
Bei einer geordneten Liquidation bleibt das Unternehmen beziehungsweise der Liquidator verantwortlich. Datenschutzpflichten können nicht pauschal auf Käufer oder Auktionshäuser übertragen werden.
Ohne nachweisbare Löschung dürfen Datenträger nicht verkauft oder weitergegeben werden.
Gerichte haben klar entschieden, dass Unternehmen verpflichtet sind, Datenträger vor dem Verkauf vollständig und professionell zu löschen. Ein bloßer Hinweis an den Käufer reicht nicht aus.
Bereits einzelne Verstöße können Schadensersatzansprüche und empfindliche Bußgelder nach sich ziehen – selbst bei vermeintlich geringem Schaden.
Bei funktionsfähigen Datenträgern ist das mehrfache Überschreiben mit zertifizierter Löschsoftware zulässig. Maßgeblich sind anerkannte Standards wie NIST SP 800-88, BSI-Vorgaben oder vergleichbare internationale Richtlinien.
Voraussetzung ist ein manipulationssicheres Löschprotokoll mit Seriennummer, Zeitstempel und eingesetztem Verfahren.
Defekte Datenträger oder Datenträger mit besonders hohem Schutzbedarf müssen physisch zerstört werden. Maßgeblich ist die ISO 21964, die die frühere DIN 66399 ersetzt hat.
Auch scheinbar unbrauchbare Festplatten oder SSDs können noch auslesbare Daten enthalten und dürfen nicht ungeschreddert weitergegeben werden.
Bei magnetischen Datenträgern kann Degaussing eingesetzt werden. Dabei wird die magnetische Struktur vollständig zerstört, sodass eine Wiederverwendung ausgeschlossen ist.
Diese Methode eignet sich insbesondere bei hohen Sicherheitsanforderungen.
Die ISO 21964 definiert sieben Sicherheitsstufen von P-1 bis P-7. Für personenbezogene Daten aus Unternehmen ist mindestens Sicherheitsstufe P-3 erforderlich.
Besonders sensible Daten wie Finanz-, Steuer- oder Gesundheitsdaten erfordern höhere Sicherheitsstufen bis P-5 oder darüber hinaus.
In der Praxis werden häufig Neben- und Randgeräte übersehen. Drucker, Kopierer, Router, Netzwerkspeicher oder IoT-Geräte enthalten oft interne Speicher mit sensiblen Informationen.
Ein weiterer häufiger Fehler ist die Aufbewahrung von Daten ohne rechtliche Grundlage. Eine „Aufbewahrung auf Vorrat“ ist nach DSGVO unzulässig.
IT-Geräte mit nachgewiesener, zertifizierter Datenlöschung können verwertet werden. Alle übrigen Datenträger müssen vorab vernichtet werden.
Diese klare Trennung schützt Insolvenzverwalter, Verkäufer, Käufer und das Auktionshaus gleichermaßen.
Datenlöschung sollte ausschließlich durch spezialisierte Dienstleister erfolgen. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist zwingend erforderlich.
Lösch- und Vernichtungszertifikate müssen langfristig aufbewahrt werden, um Nachweispflichten gegenüber Aufsichtsbehörden erfüllen zu können.
Zunächst müssen alle für das Insolvenzverfahren relevanten Daten gesichert werden. Erst danach darf eine Löschung auf Altgeräten erfolgen.
Nach Abschluss des Verfahrens sind personenbezogene Insolvenzdaten spätestens nach sechs Monaten zu löschen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
DSGVO-Verstöße können Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes nach sich ziehen.
Zusätzlich drohen Schadensersatzansprüche sowie persönliche Haftungsrisiken für Geschäftsführer und Insolvenzverwalter.
Die DSGVO-konforme Datenlöschung ist bei Insolvenzauktionen kein optionales Thema, sondern eine zwingende Voraussetzung für eine rechtssichere Verwertung.
Als Industrieauktionshaus setzen wir daher auf klare Prozesse, zertifizierte Löschverfahren und lückenlose Dokumentation – zum Schutz aller Beteiligten und zur Sicherstellung einer professionellen, rechtssicheren Verwertung.