Reuschlaw

Unter­schätz­te Risi­ken – Die Bedeu­tung der DSGVO für die Produktentwicklung

Die Zei­ten ana­lo­ger Pro­duk­te schei­nen vor­bei. Digi­ta­le Pro­duk­te und IoT-Geräte sind jeden­falls mas­siv auf dem Vor­marsch. Für vie­le Her­stel­ler bedeu­tet das eine Umstel­lung der Pro­duk­ti­on und die stär­ke­re Befas­sung mit digi­ta­len Tech­no­lo­gien. Sobald ein Her­stel­ler jedoch ein Pro­dukt ent­wi­ckelt, das spä­ter für den Nut­zer Daten ver­ar­bei­ten soll, muss er den aktu­el­len digi­ta­len Rechts­rah­men der IT-Sicherheit und des Daten­schut­zes beach­ten. Sol­len spä­ter per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den, also Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen, müs­sen Her­stel­ler ent­ge­gen einer ver­brei­te­ten Mei­nung auch die Vor­ga­ben der Datenschutz-Grundverordnung (DSGVO) einhalten.

I.    Die DSGVO aus Sicht der Hersteller

Grund­sätz­lich adres­siert die DSGVO nur die Ver­ant­wort­li­chen der Ver­ar­bei­tung, also jene Stel­len, die über den Zweck und die Mit­tel der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ent­schei­den. Her­stel­ler hin­ge­gen stel­len meist nur das Pro­dukt dem Markt zur Ver­fü­gung, selbst füh­ren sie die Ver­ar­bei­tung häu­fig nicht durch. Die DSGVO ver­pflich­tet sie des­we­gen nicht unmit­tel­bar, “ermu­tigt” sie aber, „das Recht auf Daten­schutz bei der Ent­wick­lung und Gestal­tung der Pro­duk­te, Diens­te und Anwen­dun­gen zu berück­sich­ti­gen und unter gebüh­ren­der Berück­sich­ti­gung des Stands der Tech­nik sicher­zu­stel­len, dass die Ver­ant­wort­li­chen und die Ver­ar­bei­ter in der Lage sind, ihren Daten­schutz­pflich­ten nach­zu­kom­men“ (Erwä­gungs­grund 78 der DSGVO). Die Idee dahin­ter ist sim­pel: Die DSGVO braucht die Her­stel­ler zur Ein­hal­tung nicht zu ver­pflich­ten, denn das regelt der Markt von selbst.

Die Nut­zer, so der Gedan­ke des Gesetz­ge­bers, wer­den sich letz­ten Endes gegen ein Pro­dukt ent­schei­den, wenn sie als ver­ant­wort­li­che Stel­le wegen des Pro­dukts den erfor­der­li­chen Daten­schutz nicht ein­hal­ten kön­nen. Dar­aus ergibt sich sogleich eine mit­tel­ba­re “Pflicht” für Her­stel­ler, ihre Pro­duk­te so aus­zu­ge­stal­ten, dass die Vor­ga­ben der DSGVO bei spä­te­ren Daten­ver­ar­bei­tun­gen ein­ge­hal­ten wer­den kön­nen. Sind die Her­stel­ler auch in den spä­te­ren Betrieb der digi­ta­len Pro­duk­te invol­viert, wer­den sie dar­über hin­aus häu­fig selbst Adres­sa­ten der DSGVO. Dies kann etwa der Fall sein, wenn Backendsys­te­me oder Platt­for­men für IoT-Geräte betrie­ben wer­den und auf die­sen eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten statt­fin­det. Bereits bei der Pro­dukt­ent­wick­lung auf die Ein­hal­tung der DSGVO zu ach­ten, liegt in die­ser Kon­stel­la­ti­on folg­lich im urei­ge­nen Inter­es­se des Herstellers.

II.    Die Pflicht zur Aus­ge­stal­tung daten­schutz­kon­form nutz­ba­rer Produkte

Wenn Her­stel­ler den für ihr Pro­dukt erfor­der­li­chen Daten­schutz nicht ein­hal­ten, muss das nicht zu Sank­tio­nen aus der DSGVO füh­ren. Dies soll­te sie aber nicht abhal­ten, die daten­schutz­recht­li­chen Vor­ga­ben zu beach­ten, denn ein Ver­stoß kann einer­seits zu einem Haf­tungs­fall nach dem Kauf- und Werk­ver­trags­recht füh­ren: Weiß der Her­stel­ler, dass spä­ter mit sei­nem Pro­dukt per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den und hält die recht­li­chen Vor­ga­ben für ein daten­schutz­kon­form nutz­ba­res Pro­dukt nicht ein, kann dies einen Man­gel begrün­den und zur Haf­tung füh­ren. Ande­rer­seits ist eine Pro­du­zen­ten­haf­tung nach § 823 Abs. 1 BGB i. V. m. mit dem Recht auf Schutz der Pri­vat­sphä­re, u. a. gem. Art. 8 GRCh und Art. 16 AEUV, dem Grund­recht auf infor­ma­tio­nel­le Selbst­be­stim­mung und dem all­ge­mei­nen Per­sön­lich­keits­recht nicht aus­ge­schlos­sen. Her­stel­ler soll­ten des­we­gen unbe­dingt dar­auf ach­ten, die gebo­te­nen Sicher­heits­stan­dards sowohl des Daten­schut­zes als auch der Cyber­se­cu­ri­ty ein­zu­hal­ten und die berech­tig­ten Sicher­heits­er­war­tun­gen des vor­aus­sicht­li­chen Benut­zer­krei­ses ken­nen. Wegen der aktu­el­len Her­aus­for­de­run­gen der Daten­über­mitt­lung in Dritt­staa­ten, die aus der “Schrems II”-Entscheidung des EuGH resul­tie­ren und den hier­zu lau­fen­den Kon­trol­len der Daten­schutz­auf­sichts­be­hör­den, soll­ten Her­stel­ler dabei ins­be­son­de­re auf die Recht­mä­ßig­keit einer Über­tra­gung per­so­nen­be­zo­ge­ner Daten in Nicht-EU-Länder, ins­be­son­de­re in die USA, kri­tisch prüfen.

III.    Stra­te­gi­sche Umsetzung

Eine mög­lichst früh­zei­ti­ge stra­te­gi­sche Umset­zung ver­rin­gert das Risi­ko für die Her­stel­ler enorm. Mit­hil­fe eines geeig­ne­ten Manage­ment­sys­tems kön­nen Sie zunächst die anzu­wen­den­den Vor­schrif­ten iden­ti­fi­zie­ren, die kon­kre­ten Vor­ga­ben ablei­ten und die­se dann im Entwicklungs- und Pro­duk­ti­ons­pro­zess imple­men­tie­ren. Wir unter­stüt­zen Sie dabei gerne.

reusch­law One­pager zum Download

reuschlaw Onepager Cybersecurity

reusch­law One­pager Cybersecurity

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.