"Und dann noch das Passwort bitte." Ich stutze. Mein Laptop war einem umgekippten Kaffee zum Opfer gefallen, und eigentlich wollte ich es nur reparieren lassen. Dafür soll ich Zugriff zu meinen persönlichsten Fotos, E-Mails, den Steuerunterlagen erlauben? Doch der Service-Mitarbeiter einer großen Reparaturkette lässt nicht locker. Ohne Passwort könnte man die Funktion nicht testen, erklärt er mir. Erst als ich vorschlage, einen Gast-Account einzurichten, lässt er sich damit zufrieden stellen.
So wie mir geht es auch vielen anderen Kunden. In Foren und auf sozialen Medien berichten zahlreiche Nutzer*innen, wie sie bei Reparaturen von Smartphones, Tablets oder PCs zur Passwort- oder PIN-Herausgabe aufgefordert wurden. Aber ist das wirklich nötig? Und: Dürfen die Hersteller das? Wir haben bei Herstellern, Reparatur-Diensten, Händlern und einem Anwalt gefragt, wie sie das Problem handhaben – und wie es rechtlich darum bestellt ist.
Löschen statt fragen
Die befragten Hersteller Apple und Motorola machen es sich am einfachsten: Sie weisen die Kunden darauf hin, dass sie die Geräte gegebenenfalls auf den Werkzustand zurücksetzen müssen, um die Reparatur durchführen. Im Klartext heißt das: Sie haben zwar keinen Zugriff auf die Daten, im Zweifel haben aber auch die Kunden keinen Zugriff mehr darauf. Ein regelmäßiges Backup ist also Pflicht. Während Apple im Löschen der Daten nur die letzte Notlösung sieht, verweist Motorola in seinen Service-Richtlinien darauf, dass die Geräte grundsätzlich gelöscht werden.
Bei Apple dürfte das aber die Ausnahme sein. Nach dem Konzern ist es in der Regel nicht nötig, für die Reparatur auf die Daten zuzugreifen. Bei Lenovo ist es nach Auskunft des Konzerns genauso. Eine Ausnahme nennen beide: Wenn es sich beim dem Service-Auftrag um ein Software-Problem handelt, ist ein Zugriff auf den Nutzer-Account unumgänglich. Das ist nachvollziehbar.
Reparatur oft auch ohne Passwort möglich
Bei den Reparatur-Diensten ist die Lage sehr unterschiedlich. Während etwa der Mac-Händler Gravis nach eigenen Angaben keinen Zugriff auf ein Passwort braucht, dafür aber gelegentlich Geräte zurücksetzt, kann man bei Mediamarkt oder Saturn durchaus schon mal nach dem Passwort gefragt werden. Das sei aber nur dann der Fall, wenn das Gerät gleich vor Ort repariert werden kann, erklären die Elektromarkt-Schwestern. Muss das Gerät eingeschickt werden, wird nicht nach einem Passwort gefragt.
Die Ausnahme ist der Dienstleister Justcom: "In der Regel ist ein Zugriff auf das Gerät notwendig, um Fehler festzustellen (Analyse/Diagnose) und vor allem den Abschlusstests zu machen. Dazu ist in vielen Fällen ein Kennwort oder PIN notwendig", erklärt der Dienst auf Anfrage. Zwar seien viele Reparaturen auch ohne den Zugriff möglich. "Da es aber nicht immer von Anfang an klar ist, welche Defekte vorliegen, ist es prozessual von Vorteil, Zugriff auf die zu reparierende Geräte zu haben." Die Angabe der Kennwörter sei natürlich freiwillig. Aber: "Wir lehnen unter Umständen auch einen Auftrag ab, wenn wir keinen Zugriff auf das Gerät erhalten können", stellt Justcom klar.
Riskante Passwort-Herausgabe
"Für die allermeisten Vorgänge wird es nötig sein, Zugriff auf das System zu bekommen, um entweder genau Fehlersuche zu betreiben oder um den Reparaturerfolg zu verifizieren", bestätigt Maik Morgenstern. Er leitet das auf IT-Sicherheit spezialisierte AV-Test Institut. "Ausnahmen sind natürlich der einfache Austausch von bestimmten Komponenten, bei denen der Erfolg auch ohne Anmeldung am System verifizierbar ist, zum Beispiel das Netzteil am PC oder Display am Smartphone." Wenn die Reparatur-Dienste also nicht die Zugriffe auf die Spezialsoftware der Hersteller haben oder das Gerät nicht zurücksetzen wollen, bleibt ihnen oft gar keine andere Wahl als um Zugriff auf das System zu bitten.
Doch dabei gehen sie durchaus ein Risiko ein, weiß der Experte. "Mit einem Passwort kann man all das, was ein angemeldeter Nutzer tun kann", erklärt Morgenstern. Neben dem Zugriff auf alle lokal vorliegenden Daten und Fotos sei auch das Benutzen von Apps oder das Aufrufen von Webseiten möglich. "In den vielen Fällen wird der Nutzer in Apps und Webseiten angemeldet sein, ohne dass weitere Passwörter abgefragt werden." Dadurch könne man theoretisch auch bei Facebook schnüffeln, Amazon-Bestellungen aufgeben oder auf E-Mails zugreifen und diese auch löschen oder versenden.
Zugriff bei Reparatur verboten
Kein Wunder, dass alle Anbieter versichern, dass die Angestellten sich nur auf die für die Reparatur relevanten Daten beschränken sollen. "Kundenspezifische Daten, wie beispielsweise persönliche Dokumente oder Bilder, werden nicht aufgerufen", betont etwa SaturnMediamarkt. Alles andere sei aber auch verboten, erklärt Anwalt Lev Lexow von der Kanzlei Siebert Goldberg Lexow. "Das überlassene Passwort darf ausschließlich für die Reparatur genutzt werden", bestätigt er auf Anfrage. So sei es natürlich erlaubt, sich mit Einverständnis des Kunden auf dem Rechner einzuloggen, um beschädigte Programme zu löschen. "Nach dem Einloggen darf sich der Mitarbeiter des Herstellers hingegen nicht die privaten Fotos des Kunden auf dem Endgerät anschauen."
Grundsätzlich sei es aber rechtens, den Kunden um das Passwort zu bitten. "Ob der Kunde es herausgeben möchte entscheidet aber allein er", bestätigte Lexow. Dann kann er allerdings auch auf einem Defekt sitzen bleiben. "Wenn die Reparatur ohne das Passwort nicht möglich ist und auch keine Alternativen bestehen, kann der Hersteller die Reparatur tatsächlich wegen Unmöglichkeit verweigern", schränkt der Anwalt die Wahlfreiheit ein. "Als Kunde sollte man sich daher immer erläutern lassen, warum das Passwort erforderlich ist und fragen, ob es nicht datenschutzrechtlich sicherere Alternativen gibt."
"Wenn möglich würde ich mich nach einem Dienstleister umsehen, der Datenschutz und Privatsphäre garantiert und den Nutzer am besten ausführlich informiert und anleitet, wie eine Reparatur mit minimalen Datenzugriff erfolgen kann"; rät auch Sicherheits-Experte Morgenstern. Für eine Analyse reiche etwa ein Gastaccount aus. Sollte das aus technischen Gründen nicht möglich sein, solle man sich zumindest aus Internetdiensten abmelden und kritische Daten entweder entfernen oder verschlüsseln. Die größte Sicherheit bietet ein radikaler Schritt: "Im besten Fall erstellt man ein komplettes Backup und setzt das Gerät zurück", erklärt der Experte. "Es ist ohnehin zu empfehlen alle Daten zu sichern, da es bei der Reparatur zum Datenverlust kommen kann."
