IT Asset Disposal

„Wenn Unternehmen über IT-Sicherheit sprechen, denken sie meist an Firewalls, Patch-Management oder an Schulungen zum Umgang mit Phishing-Mails. Ein Bereich bleibt jedoch oft unbeachtet: die sichere Entsorgung von IT-Hardware, das sogenannte IT Asset Disposal (ITAD). Dabei ist gerade dieser Aspekt entscheidend: nicht nur für den Schutz sensibler Daten, sondern zunehmend auch für die Einhaltung regulatorischer Vorgaben. Mit dem Lieferkettensorgfaltspflichtengesetz (LkSG) rückt ITAD seit 2021 stärker in den Fokus von Compliance und Nachhaltigkeit und wird damit zu einer strategischen Pflichtaufgabe.

Eine aktuelle Untersuchung von Iron Mountain und Foundry Research zeigt, wie groß die Lücke ist: 56 Prozent der IT-Entscheider sehen das Risiko einer Datenexposition am Ende des Gerätelebenszyklus als besonders kritisch an, doch nur fünf Prozent der Sicherheitsbudgets fließen in ITAD-Maßnahmen. Gleichzeitig liegen die durchschnittlichen Kosten einer Datenpanne infolge unsachgemäßer Entsorgung bei 27,1 Millionen US-Dollar – ohne mögliche DSGVO-Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes einzubeziehen. Während die DSGVO bereits hohe Anforderungen an den Schutz personenbezogener Daten stellt, erweiterte das LkSG den Verantwortungsbereich: Unternehmen müssen nun nachweisen, dass auch bei der Entsorgung von Hardware Umwelt- und Sozialstandards eingehalten werden und dass Prozesse in der Lieferkette transparent dokumentiert sind.

In der Praxis jedoch behandeln viele Organisationen ITAD immer noch als logistische Nebenaufgabe. Die Verantwortung liegt oft in der Beschaffung oder im Facility Management, wodurch zentrale Risiken für Informationssicherheit, Compliance und Reputation ausgeblendet werden. Fragmentierte Prozesse, unklare Zuständigkeiten und die Abhängigkeit von Drittanbietern verschärfen die Problematik zusätzlich. Gerade mit Blick auf das LkSG wird deutlich, dass fehlende Dokumentation und mangelnde Kontrolle über Entsorgungsdienstleister gravierende Folgen haben können, nicht nur für die Datensicherheit, sondern auch für die Einhaltung gesetzlicher Sorgfaltspflichten.

Ein Umdenken ist daher unumgänglich. ITAD muss in dieselbe Kategorie fallen wie Endpoint Security oder Incident Response: als strategische Sicherheitsmaßnahme mit klarer Governance, zentralem Management und regelmäßigen Audits. Dazu gehört nicht nur die sichere Datenlöschung nach anerkannten Standards wie NIST 800-88 oder BSI-TL-03423, sondern auch eine lückenlose Nachverfolgung der gesamten Entsorgungskette. Unternehmen, die diesen Weg gehen, erfüllen nicht nur regulatorische Anforderungen, sondern verschaffen sich gleichzeitig handfeste Vorteile. Sie reduzieren Sicherheitsrisiken, verkürzen Audit-Prozesse und gewinnen an Transparenz im Gerätelebenszyklus.

Die Dringlichkeit wächst zusätzlich mit der zunehmenden Verlagerung auf hybride Arbeitsmodelle. Laptops, Smartphones und externe Speichermedien bewegen sich heute zwischen Homeoffice, Coworking-Spaces und Cloud-Umgebungen. Je dezentraler die Hardware, desto komplexer die sichere und dokumentierte Entsorgung und desto höher die Anforderungen an ein zentral gesteuertes ITAD-Programm. Unternehmen, die hier frühzeitig Standards setzen, vermeiden den Flickenteppich individueller Lösungen und schaffen Benchmarks, die auf Konzernebene wirken.

ITAD ist damit längst kein logistisches Randthema mehr. Durch das Lieferkettengesetz wird es zu einem Prüfstein für verantwortungsvolle Unternehmensführung. Wer ITAD konsequent in seine Sicherheits- und Compliance-Strategie integriert, sichert nicht nur Daten und erfüllt regulatorische Pflichten, sondern stärkt auch Vertrauen, Reputation und Wettbewerbsfähigkeit. Der blinde Fleck am Ende des Gerätelebenszyklus gehört damit endgültig der Vergangenheit an.“

“When companies discuss IT security, they typically consider firewalls, patch management, and phishing email training. However, one area is often overlooked: the secure disposal of IT hardware, also known as IT asset disposal (ITAD). This aspect is crucial for protecting sensitive data and complying with regulatory requirements. Since 2021, the German Supply Chain Due Diligence Act (Lieferkettensorgfaltspflichtengesetz, LkSG) has made ITAD a focus of compliance and sustainability, making it a strategic priority.

A recent study by Iron Mountain and Foundry Research shows the extent of the gap: While 56% of IT decision-makers consider the risk of data exposure at the end of the device lifecycle to be critical, only 5% of security budgets are allocated to ITAD measures. Meanwhile, the average cost of a data breach due to improper disposal is $27.1 million — not including possible GDPR fines of up to €20 million or 4% of annual turnover. While GDPR already imposes strict requirements for protecting personal data, LkSG expands the scope of responsibility. Companies must demonstrate that environmental and social standards are met during hardware disposal and that supply chain processes are transparently documented.

In practice, however, many organizations still treat ITAD as a logistical side task. Often, responsibility lies with procurement or facility management, who may overlook central risks to information security, compliance, and reputation. Fragmented processes, unclear responsibilities, and dependence on third-party providers exacerbate the problem. With regard to the LkSG in particular, lacking documentation and inadequate control over disposal services can have severe consequences for data security and complying with legal due diligence obligations.

A rethink is therefore unavoidable. ITAD must be categorized as a strategic security measure alongside endpoint security or incident response, with clear governance, central management, and regular audits. This includes secure data deletion according to recognized standards, such as NIST 800-88 or BSI-TL-03423, as well as seamless tracking of the entire disposal chain. Companies that take this approach fulfill regulatory requirements and gain tangible benefits. They reduce security risks, shorten audit processes, and gain transparency in the device lifecycle.

The urgency is increasing with the growing shift to hybrid work models. Laptops, smartphones, and external storage devices are moving between home offices, coworking spaces, and cloud environments. The more decentralized the hardware, the more complex secure, documented disposal becomes, and the higher the requirements for a centrally managed ITAD program. Companies that establish standards early on can avoid a patchwork of individual solutions and create enterprise-wide benchmarks.

ITAD is no longer just a logistical side issue. Thanks to the Supply Chain Due Diligence Act, it has become a cornerstone of responsible corporate governance. Companies that consistently integrate ITAD into their security and compliance strategies protect data, fulfill regulatory obligations, and strengthen trust, reputation, and competitiveness. The blind spot at the end of the device lifecycle is finally a thing of the past.”