Inter­net of Things (IoT) & Co.

Wann gilt die DSGVO für Hersteller?

Die Poli­tik, die Wirt­schaft, die Gesell­schaft – alle rufen sie nach mehr Digi­ta­li­sie­rung. Mehr Digi­ta­li­sie­rung der Arbeit, der Schu­len, der Ver­wal­tung oder des pri­va­ten Lebens. Häu­fig genann­te “Buz­z­words” dabei sind Inter­net of Things (IoT), Smart Home und Auto­no­mes Fah­ren. Wenn Her­stel­ler dabei aller­dings über das Ziel hin­aus­schie­ßen, indem sie den Rechts­rah­men für digi­ta­le Pro­duk­te, ins­be­son­de­re bei Cyber­se­cu­ri­ty und Daten­schutz, nicht beach­ten, reagie­ren die (Aufsichts-) Behör­den streng, teil­wei­se sogar mit Pro­dukt­ver­bo­ten. Die­se kön­nen die Her­stel­ler in erheb­li­che Schwie­rig­kei­ten bringen.

Ein sehr bekann­tes Bei­spiel ist das Ver­bot der Spiel­pup­pe “My friend Cay­la” durch die Bun­des­netz­agen­tur im Jahr 2017. Die Pup­pe war inter­net­fä­hig und konn­te so mit dem spie­len­den Kind in ein­fa­chen Sät­zen kom­mu­ni­zie­ren. Die Funk­ti­ons­er­wei­te­rung des Pro­dukts mit­hil­fe des Inter­nets ist cha­rak­te­ri­sie­rend für das IoT. Eine Bluetooth-Verbindung, die die Pup­pe benö­tig­te, ent­sprach jedoch nicht dem Stand der Tech­nik und es war Drit­ten mög­lich, Gesprä­che abzu­hö­ren und auch auf den Laut­spre­cher der Pup­pe zuzu­grei­fen. Es fehl­te ihr somit an aus­rei­chen­der Cyber­si­cher­heit und damit auch an einem aus­rei­chen­den Daten­schutz. Die Pup­pe galt schnell als “Spio­nin im Kin­der­zim­mer” und die Bun­des­netz­agen­tur stuf­te sie – nach einem ent­spre­chen­den Hin­weis – als “ver­bo­te­ne Sen­de­an­la­ge” nach § 90 Tele­kom­mu­ni­ka­ti­ons­ge­setz (TKG) ein und sprach ein Ver­kaufs­ver­bot aus. Seit 2018 gilt nun die Daten­schutz­grund­ver­ord­nung (DSGVO), die den EU-weiten Rechts­rah­men des Daten­schut­zes setzt. Wie kön­nen die Auf­sichts­be­hör­den nun bei Ver­let­zun­gen des Daten­schut­zes durch Her­stel­ler, auch im Bereich IoT, vor­ge­hen? Adres­siert und ver­pflich­tet die DSGVO die Her­stel­ler überhaupt?

I. Wie adres­siert die DSGVO die Hersteller?

1. Wel­che Daten dür­fen Her­stel­ler erhe­ben und verarbeiten?

Die Rege­lun­gen der DSGVO die­nen vor­ran­gig dem Schutz per­so­nen­be­zo­ge­ner Daten durch Ver­ar­bei­tung. Per­so­nen­be­zo­ge­ne Daten sind alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen. Davon abzu­gren­zen sind Maschinen- und Gerä­te­da­ten. Da maschi­nen­ge­ne­rier­te Daten regel­mä­ßig aus Pro­duk­ti­ons­pro­zes­sen bzw. den dort ver­wen­de­ten Maschi­nen ent­stam­men und sich aus­schließ­lich auf die­se Pro­zes­se bezie­hen, liegt ein Per­so­nen­be­zug regel­mä­ßig nicht vor. Her­stel­ler müs­sen bei sol­chen Daten nicht auf den recht­li­chen Rah­men der DSGVO achten.

2. Sind Her­stel­ler auch Ver­ant­wort­li­che im Sin­ne der DSGVO

Jene Stel­le, die die Ver­ar­bei­tung der Daten letzt­end­lich durch­führt, indem sie über den Zweck und die Mit­tel der Ver­ar­bei­tung ent­schei­det, ist für die­se auch ver­ant­wort­lich. Die DSGVO adres­siert die Ver­ant­wort­li­chen direkt und ver­pflich­tet die­se zur Ein­hal­tung der Daten­schutz­grund­sät­ze. Doch Her­stel­ler füh­ren die­se Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten häu­fig nicht selbst durch. Sie stel­len “nur” das Pro­dukt oder die Tech­nik zur Ver­fü­gung, auf deren Grund­la­ge die Ver­ar­bei­tung durch den Ver­ant­wort­li­chen zu einem spä­te­ren Zeit­punkt erfolgt. Des­we­gen fal­len sie nicht unmit­tel­bar in den Anwen­dungs­be­reich der DSGVO und müs­sen – rein for­mal betrach­tet – auch nicht deren Ver­pflich­tun­gen erfül­len. Den­noch soll­ten sich die Her­stel­ler die Daten­schutz­grund­sät­ze und ‑vor­ga­ben genau anse­hen und bes­ten­falls ein­hal­ten. Denn ein Nut­zer ihres Pro­dukts wird sich letz­ten Endes gegen das Pro­dukt ent­schei­den müs­sen, wenn er wegen des Pro­dukts die Daten­schutz­grund­sät­ze nicht ein­hal­ten kann. Des­we­gen “ermu­tigt” die DSGVO die Her­stel­ler, “das Recht auf Daten­schutz bei der Ent­wick­lung und Gestal­tung der Pro­duk­te, Diens­te und Anwen­dun­gen zu berück­sich­ti­gen und unter gebüh­ren­der Berück­sich­ti­gung des Stands der Tech­nik sicher­zu­stel­len, dass die Ver­ant­wort­li­chen und die Ver­ar­bei­ter in der Lage sind, ihren Daten­schutz­pflich­ten nach­zu­kom­men” (Erwä­gungs­grund 78 der DSGVO). Die­se “Pflicht” trifft die Her­stel­ler des Pro­dukts dann mit­tel­bar, wenn eben der Her­stel­ler selbst kei­ne Daten ver­ar­bei­tet, aber der Nut­zer der DSGVO unter­liegt. Wohin­ge­gen eine unmit­tel­ba­re Ver­pflich­tung eines Her­stel­lers sogar dann besteht, wenn er zu einem spä­te­ren Zeit­punkt als Betrei­ber daten­schutz­recht­lich ver­ant­wort­lich ist, z.B. bei einem Betrieb von Backendser­vern für IoT-Geräte.

II. Die Pflicht zur Aus­ge­stal­tung daten­schutz­kon­form nutz­ba­rer Produkte

Die DSGVO mag die Her­stel­ler zwar nicht direkt adres­sie­ren, den­noch ergibt sich eine Pflicht zur daten­schutz­kon­for­men Aus­ge­stal­tung auf­grund mög­li­cher zivil­recht­li­cher Haftungsansprüche.

1. Män­gel­ge­währ­leis­tung und Pro­du­zen­ten­haf­tung bei Feh­lern im Datenschutz

Zum einen kann ein Haf­tungs­fall nach dem Kauf- und Werk­ver­trags­recht vor­lie­gen. Denn der Ver­stoß gegen den Daten­schutz kann einen Man­gel begrün­den, der bei Kennt­nis des Her­stel­lers, dass spä­ter per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den, zur Haf­tung führt. Zum ande­ren müs­sen die Her­stel­ler die Daten­schutz­grund­sät­ze wegen einer mög­li­chen Pro­du­zen­ten­haf­tung beach­ten. Die­se ergibt sich aus § 823 Abs. 1 BGB i.V.m. dem Recht auf Schutz per­so­nen­be­zo­ge­ner Daten, u.a. gem. Art. 8 GRCh und Art. 16 AEUV, dem Grund­recht auf infor­ma­tio­nel­le Selbst­be­stim­mung und dem all­ge­mei­nen Per­sön­lich­keits­recht. Dabei soll­ten Her­stel­ler auf zwei Punk­te beson­de­ren Wert legen: die Ein­hal­tung des gebo­te­nen Sicher­heits­stan­dards (Stand von Wis­sen­schaft und Tech­nik) und die berech­tig­te Sicher­heits­er­war­tung des vor­aus­sicht­li­chen Benut­zer­krei­ses. Auch hier­aus ergibt sich also eine mit­tel­ba­re Bin­dung des Her­stel­lers an die Anfor­de­run­gen der DSGVO.

2. Inhalt­li­che Vor­ga­ben der DSGVO

Das spä­te­re Pro­dukt soll­te den inhalt­li­chen Vor­ga­ben der DSGVO ent­spre­chen. Dar­un­ter fal­len beson­ders der Grund­satz der Daten­lö­schung und Daten­mi­ni­mie­rung, die Imple­men­tie­rung von tech­nisch und orga­ni­sa­to­ri­schen Maß­nah­men nach Art. 32 DSGVO sowie die Ein­hal­tung und Erfül­lung der Betrof­fe­nen­rech­te (Trans­pa­renz, Aus­kunft etc.). Dar­über hin­aus soll­ten sich Her­stel­ler über die Mög­lich­keit einer Auf­trags­ver­ar­bei­tung und einer Über­mitt­lung der Daten in Nicht-EU-Länder durch das Pro­dukt, gera­de im Bereich des IoT, bewusst sein und die­se bei der Ent­wick­lung beach­ten. Der­zeit liegt vor allem die Dritt­lands­über­mitt­lung im Fokus der Datenschutzaufsichtsbehörden.

III. Befug­nis­se der Auf­sichts­be­hör­den nach der DSGVO

Die Maß­nah­men gegen­über den Ver­ant­wort­li­chen sind viel­fäl­tig. Sie rei­chen von der Bereit­stel­lungs­pflicht von Infor­ma­tio­nen und der Ver­pflich­tung zur Umset­zung der Betrof­fe­nen­rech­te bis zur Anwei­sung und Unter­sa­gung von Ver­ar­bei­tungs­vor­gän­gen sowie bei schwer­wie­gen­den Daten­schutz­ver­let­zun­gen bis zu Geld­bu­ßen. Das Damo­kles­schwert der Geld­bu­ßen ist den meis­ten wohl bekannt: die Höhe kann bis zu 20 Mio. EUR oder im Fall eines Unter­neh­mens bis zu 4 % sei­nes gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Geschäfts­jahrs betra­gen (Art. 83 DSGVO). Die­se Maß­nah­men tref­fen aller­dings meist die Ver­ant­wort­li­chen, die die Daten letzt­end­lich nach den eige­nen Maß­ga­ben ver­ar­bei­ten. Der Her­stel­ler wird bei den Maß­nah­men durch die Auf­sichts­be­hör­den in der DSGVO nicht adres­siert. Den­noch ver­tre­ten die­se die Auf­fas­sung, dass Bereit­stel­lungs­pflich­ten und Prüf­be­fug­nis­se auch gegen­über Drit­ten und damit auch gegen­über Her­stel­lern bestehen. Zudem lei­ten sie aus ihrer Auf­ga­be zur Öffent­lich­keits­ar­beit (Art. 57 Abs. 1 lit. b DSGVO) eine Befug­nis für Pro­dukt­war­nung ab. So riet bei­spiels­wei­se der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Württemberg Im Mai 2021 wegen daten­schutz­recht­li­cher Risi­ken von der Nut­zung von Micro­soft Office 365 an Schu­len ab. Ob die DSGVO die Auf­sichts­be­hör­den jedoch wirk­lich dazu befugt sind, vor Pro­duk­ten zu war­nen, ist – zu Recht – umstrit­ten und dürf­te letzt­lich durch die Gerich­te zu klä­ren sein. Einig­keit dürf­te jedoch dar­in bestehen, dass die Daten­schutz­auf­sichts­be­hör­den nicht zu einem Pro­dukt­ver­bot wie bei der Pup­pe “Cay­la” berech­tigt sind.

IV. Her­aus­for­de­run­gen und stra­te­gi­sche Umsetzung

Die DSGVO und ihre Umset­zung durch die Daten­schutz­auf­sichts­be­hör­den stel­len Her­stel­ler zu Wei­len vor gro­ße Her­aus­for­de­run­gen, die ins­be­son­de­re aus recht­li­chen Unklar­hei­ten und einer hohen Dyna­mik bei der tech­ni­schen Ent­wick­lung resul­tie­ren. Her­stel­lern ist des­we­gen drin­gend zu einer stra­te­gi­schen und mög­lichst früh­zei­ti­gen Umset­zung der Vor­schrif­ten durch ein geeig­ne­tes Manage­ment­sys­tem zu raten. Dabei soll­ten sie zunächst die anzu­wen­den­den Vor­schrif­ten iden­ti­fi­zie­ren, die kon­kre­ten Vor­ga­ben ablei­ten und die­se dann im Entwicklungs- und Pro­duk­ti­ons­pro­zess imple­men­tie­ren. Dabei sind wegen der Dyna­mik eine regel­mä­ßi­ge Kon­trol­le und ein fort­lau­fen­des Moni­to­ring unerlässlich.

V. Fazit

Bis­her besteht kei­ne unmit­tel­ba­re Ver­pflich­tung der Her­stel­ler durch die DSGVO. Erst wenn Her­stel­ler spä­ter selbst Ver­ant­wort­li­che wer­den oder das Pro­dukt spä­ter per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten soll und der Her­stel­ler davon Kennt­nis hat, sind sie mit­tel­bar zur Ein­hal­tung der DSGVO ver­pflich­tet und müs­sen die Daten­schutz­vor­ga­ben beach­ten. Inwie­weit die Auf­sichts­be­hör­den Maß­nah­men gegen­über Drit­ten, wie Her­stel­lern, ergrei­fen kön­nen, ist umstrit­ten. Prak­tisch dro­hen jedoch Infor­ma­ti­ons­an­fra­gen und exter­ne Prü­fun­gen sowie Pro­dukt­war­nun­gen. Um dem gegen­über gut gewapp­net zu sein, benö­ti­gen Her­stel­ler ein geeig­ne­tes Manage­ment­sys­tem, um die Anfor­de­run­gen der DSGVO und wei­te­re Cybersecurity- und Daten­schutz­vor­ga­ben rechts­si­cher umzusetzen.

[Ursprüng­lich erschie­nen im JURIS Magazin]

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.