Wann gilt die DSGVO für Hersteller?
Die Politik, die Wirtschaft, die Gesellschaft – alle rufen sie nach mehr Digitalisierung. Mehr Digitalisierung der Arbeit, der Schulen, der Verwaltung oder des privaten Lebens. Häufig genannte „Buzzwords“ dabei sind Internet of Things (IoT), Smart Home und Autonomes Fahren. Wenn Hersteller dabei allerdings über das Ziel hinausschießen, indem sie den Rechtsrahmen für digitale Produkte, insbesondere bei Cybersecurity und Datenschutz, nicht beachten, reagieren die (Aufsichts-) Behörden streng, teilweise sogar mit Produktverboten. Diese können die Hersteller in erhebliche Schwierigkeiten bringen.
Ein sehr bekanntes Beispiel ist das Verbot der Spielpuppe „My friend Cayla“ durch die Bundesnetzagentur im Jahr 2017. Die Puppe war internetfähig und konnte so mit dem spielenden Kind in einfachen Sätzen kommunizieren. Die Funktionserweiterung des Produkts mithilfe des Internets ist charakterisierend für das IoT. Eine Bluetooth-Verbindung, die die Puppe benötigte, entsprach jedoch nicht dem Stand der Technik und es war Dritten möglich, Gespräche abzuhören und auch auf den Lautsprecher der Puppe zuzugreifen. Es fehlte ihr somit an ausreichender Cybersicherheit und damit auch an einem ausreichenden Datenschutz. Die Puppe galt schnell als “Spionin im Kinderzimmer” und die Bundesnetzagentur stufte sie – nach einem entsprechenden Hinweis – als “verbotene Sendeanlage” nach § 90 Telekommunikationsgesetz (TKG) ein und sprach ein Verkaufsverbot aus. Seit 2018 gilt nun die Datenschutzgrundverordnung (DSGVO), die den EU-weiten Rechtsrahmen des Datenschutzes setzt. Wie können die Aufsichtsbehörden nun bei Verletzungen des Datenschutzes durch Hersteller, auch im Bereich IoT, vorgehen? Adressiert und verpflichtet die DSGVO die Hersteller überhaupt?
I. Wie adressiert die DSGVO die Hersteller?
1. Welche Daten dürfen Hersteller erheben und verarbeiten?
Die Regelungen der DSGVO dienen vorrangig dem Schutz personenbezogener Daten durch Verarbeitung. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Davon abzugrenzen sind Maschinen- und Gerätedaten. Da maschinengenerierte Daten regelmäßig aus Produktionsprozessen bzw. den dort verwendeten Maschinen entstammen und sich ausschließlich auf diese Prozesse beziehen, liegt ein Personenbezug regelmäßig nicht vor. Hersteller müssen bei solchen Daten nicht auf den rechtlichen Rahmen der DSGVO achten.
2. Sind Hersteller auch Verantwortliche im Sinne der DSGVO
Jene Stelle, die die Verarbeitung der Daten letztendlich durchführt, indem sie über den Zweck und die Mittel der Verarbeitung entscheidet, ist für diese auch verantwortlich. Die DSGVO adressiert die Verantwortlichen direkt und verpflichtet diese zur Einhaltung der Datenschutzgrundsätze. Doch Hersteller führen diese Verarbeitung der personenbezogenen Daten häufig nicht selbst durch. Sie stellen „nur“ das Produkt oder die Technik zur Verfügung, auf deren Grundlage die Verarbeitung durch den Verantwortlichen zu einem späteren Zeitpunkt erfolgt. Deswegen fallen sie nicht unmittelbar in den Anwendungsbereich der DSGVO und müssen – rein formal betrachtet – auch nicht deren Verpflichtungen erfüllen. Dennoch sollten sich die Hersteller die Datenschutzgrundsätze und ‑vorgaben genau ansehen und bestenfalls einhalten. Denn ein Nutzer ihres Produkts wird sich letzten Endes gegen das Produkt entscheiden müssen, wenn er wegen des Produkts die Datenschutzgrundsätze nicht einhalten kann. Deswegen „ermutigt“ die DSGVO die Hersteller, „das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen“ (Erwägungsgrund 78 der DSGVO). Diese „Pflicht“ trifft die Hersteller des Produkts dann mittelbar, wenn eben der Hersteller selbst keine Daten verarbeitet, aber der Nutzer der DSGVO unterliegt. Wohingegen eine unmittelbare Verpflichtung eines Herstellers sogar dann besteht, wenn er zu einem späteren Zeitpunkt als Betreiber datenschutzrechtlich verantwortlich ist, z.B. bei einem Betrieb von Backendservern für IoT-Geräte.
II. Die Pflicht zur Ausgestaltung datenschutzkonform nutzbarer Produkte
Die DSGVO mag die Hersteller zwar nicht direkt adressieren, dennoch ergibt sich eine Pflicht zur datenschutzkonformen Ausgestaltung aufgrund möglicher zivilrechtlicher Haftungsansprüche.
1. Mängelgewährleistung und Produzentenhaftung bei Fehlern im Datenschutz
Zum einen kann ein Haftungsfall nach dem Kauf- und Werkvertragsrecht vorliegen. Denn der Verstoß gegen den Datenschutz kann einen Mangel begründen, der bei Kenntnis des Herstellers, dass später personenbezogene Daten verarbeitet werden, zur Haftung führt. Zum anderen müssen die Hersteller die Datenschutzgrundsätze wegen einer möglichen Produzentenhaftung beachten. Diese ergibt sich aus § 823 Abs. 1 BGB i.V.m. dem Recht auf Schutz personenbezogener Daten, u.a. gem. Art. 8 GRCh und Art. 16 AEUV, dem Grundrecht auf informationelle Selbstbestimmung und dem allgemeinen Persönlichkeitsrecht. Dabei sollten Hersteller auf zwei Punkte besonderen Wert legen: die Einhaltung des gebotenen Sicherheitsstandards (Stand von Wissenschaft und Technik) und die berechtigte Sicherheitserwartung des voraussichtlichen Benutzerkreises. Auch hieraus ergibt sich also eine mittelbare Bindung des Herstellers an die Anforderungen der DSGVO.
2. Inhaltliche Vorgaben der DSGVO
Das spätere Produkt sollte den inhaltlichen Vorgaben der DSGVO entsprechen. Darunter fallen besonders der Grundsatz der Datenlöschung und Datenminimierung, die Implementierung von technisch und organisatorischen Maßnahmen nach Art. 32 DSGVO sowie die Einhaltung und Erfüllung der Betroffenenrechte (Transparenz, Auskunft etc.). Darüber hinaus sollten sich Hersteller über die Möglichkeit einer Auftragsverarbeitung und einer Übermittlung der Daten in Nicht-EU-Länder durch das Produkt, gerade im Bereich des IoT, bewusst sein und diese bei der Entwicklung beachten. Derzeit liegt vor allem die Drittlandsübermittlung im Fokus der Datenschutzaufsichtsbehörden.
III. Befugnisse der Aufsichtsbehörden nach der DSGVO
Die Maßnahmen gegenüber den Verantwortlichen sind vielfältig. Sie reichen von der Bereitstellungspflicht von Informationen und der Verpflichtung zur Umsetzung der Betroffenenrechte bis zur Anweisung und Untersagung von Verarbeitungsvorgängen sowie bei schwerwiegenden Datenschutzverletzungen bis zu Geldbußen. Das Damoklesschwert der Geldbußen ist den meisten wohl bekannt: die Höhe kann bis zu 20 Mio. EUR oder im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art. 83 DSGVO). Diese Maßnahmen treffen allerdings meist die Verantwortlichen, die die Daten letztendlich nach den eigenen Maßgaben verarbeiten. Der Hersteller wird bei den Maßnahmen durch die Aufsichtsbehörden in der DSGVO nicht adressiert. Dennoch vertreten diese die Auffassung, dass Bereitstellungspflichten und Prüfbefugnisse auch gegenüber Dritten und damit auch gegenüber Herstellern bestehen. Zudem leiten sie aus ihrer Aufgabe zur Öffentlichkeitsarbeit (Art. 57 Abs. 1 lit. b DSGVO) eine Befugnis für Produktwarnung ab. So riet beispielsweise der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Im Mai 2021 wegen datenschutzrechtlicher Risiken von der Nutzung von Microsoft Office 365 an Schulen ab. Ob die DSGVO die Aufsichtsbehörden jedoch wirklich dazu befugt sind, vor Produkten zu warnen, ist – zu Recht – umstritten und dürfte letztlich durch die Gerichte zu klären sein. Einigkeit dürfte jedoch darin bestehen, dass die Datenschutzaufsichtsbehörden nicht zu einem Produktverbot wie bei der Puppe „Cayla“ berechtigt sind.
IV. Herausforderungen und strategische Umsetzung
Die DSGVO und ihre Umsetzung durch die Datenschutzaufsichtsbehörden stellen Hersteller zu Weilen vor große Herausforderungen, die insbesondere aus rechtlichen Unklarheiten und einer hohen Dynamik bei der technischen Entwicklung resultieren. Herstellern ist deswegen dringend zu einer strategischen und möglichst frühzeitigen Umsetzung der Vorschriften durch ein geeignetes Managementsystem zu raten. Dabei sollten sie zunächst die anzuwendenden Vorschriften identifizieren, die konkreten Vorgaben ableiten und diese dann im Entwicklungs- und Produktionsprozess implementieren. Dabei sind wegen der Dynamik eine regelmäßige Kontrolle und ein fortlaufendes Monitoring unerlässlich.
V. Fazit
Bisher besteht keine unmittelbare Verpflichtung der Hersteller durch die DSGVO. Erst wenn Hersteller später selbst Verantwortliche werden oder das Produkt später personenbezogene Daten verarbeiten soll und der Hersteller davon Kenntnis hat, sind sie mittelbar zur Einhaltung der DSGVO verpflichtet und müssen die Datenschutzvorgaben beachten. Inwieweit die Aufsichtsbehörden Maßnahmen gegenüber Dritten, wie Herstellern, ergreifen können, ist umstritten. Praktisch drohen jedoch Informationsanfragen und externe Prüfungen sowie Produktwarnungen. Um dem gegenüber gut gewappnet zu sein, benötigen Hersteller ein geeignetes Managementsystem, um die Anforderungen der DSGVO und weitere Cybersecurity- und Datenschutzvorgaben rechtssicher umzusetzen.