Die Zeiten analoger Produkte scheinen vorbei. Digitale Produkte und IoT-Geräte sind jedenfalls massiv auf dem Vormarsch. Für viele Hersteller bedeutet das eine Umstellung der Produktion und die stärkere Befassung mit digitalen Technologien. Sobald ein Hersteller jedoch ein Produkt entwickelt, das später für den Nutzer Daten verarbeiten soll, muss er den aktuellen digitalen Rechtsrahmen der IT-Sicherheit und des Datenschutzes beachten. Sollen später personenbezogene Daten verarbeitet werden, also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, müssen Hersteller entgegen einer verbreiteten Meinung auch die Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten.
I. Die DSGVO aus Sicht der Hersteller
Grundsätzlich adressiert die DSGVO nur die Verantwortlichen der Verarbeitung, also jene Stellen, die über den Zweck und die Mittel der Verarbeitung personenbezogener Daten entscheiden. Hersteller hingegen stellen meist nur das Produkt dem Markt zur Verfügung, selbst führen sie die Verarbeitung häufig nicht durch. Die DSGVO verpflichtet sie deswegen nicht unmittelbar, “ermutigt” sie aber, „das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen“ (Erwägungsgrund 78 der DSGVO). Die Idee dahinter ist simpel: Die DSGVO braucht die Hersteller zur Einhaltung nicht zu verpflichten, denn das regelt der Markt von selbst.
Die Nutzer, so der Gedanke des Gesetzgebers, werden sich letzten Endes gegen ein Produkt entscheiden, wenn sie als verantwortliche Stelle wegen des Produkts den erforderlichen Datenschutz nicht einhalten können. Daraus ergibt sich sogleich eine mittelbare “Pflicht” für Hersteller, ihre Produkte so auszugestalten, dass die Vorgaben der DSGVO bei späteren Datenverarbeitungen eingehalten werden können. Sind die Hersteller auch in den späteren Betrieb der digitalen Produkte involviert, werden sie darüber hinaus häufig selbst Adressaten der DSGVO. Dies kann etwa der Fall sein, wenn Backendsysteme oder Plattformen für IoT-Geräte betrieben werden und auf diesen eine Verarbeitung personenbezogener Daten stattfindet. Bereits bei der Produktentwicklung auf die Einhaltung der DSGVO zu achten, liegt in dieser Konstellation folglich im ureigenen Interesse des Herstellers.
II. Die Pflicht zur Ausgestaltung datenschutzkonform nutzbarer Produkte
Wenn Hersteller den für ihr Produkt erforderlichen Datenschutz nicht einhalten, muss das nicht zu Sanktionen aus der DSGVO führen. Dies sollte sie aber nicht abhalten, die datenschutzrechtlichen Vorgaben zu beachten, denn ein Verstoß kann einerseits zu einem Haftungsfall nach dem Kauf- und Werkvertragsrecht führen: Weiß der Hersteller, dass später mit seinem Produkt personenbezogene Daten verarbeitet werden und hält die rechtlichen Vorgaben für ein datenschutzkonform nutzbares Produkt nicht ein, kann dies einen Mangel begründen und zur Haftung führen. Andererseits ist eine Produzentenhaftung nach § 823 Abs. 1 BGB i. V. m. mit dem Recht auf Schutz der Privatsphäre, u. a. gem. Art. 8 GRCh und Art. 16 AEUV, dem Grundrecht auf informationelle Selbstbestimmung und dem allgemeinen Persönlichkeitsrecht nicht ausgeschlossen. Hersteller sollten deswegen unbedingt darauf achten, die gebotenen Sicherheitsstandards sowohl des Datenschutzes als auch der Cybersecurity einzuhalten und die berechtigten Sicherheitserwartungen des voraussichtlichen Benutzerkreises kennen. Wegen der aktuellen Herausforderungen der Datenübermittlung in Drittstaaten, die aus der “Schrems II”-Entscheidung des EuGH resultieren und den hierzu laufenden Kontrollen der Datenschutzaufsichtsbehörden, sollten Hersteller dabei insbesondere auf die Rechtmäßigkeit einer Übertragung personenbezogener Daten in Nicht-EU-Länder, insbesondere in die USA, kritisch prüfen.
III. Strategische Umsetzung
Eine möglichst frühzeitige strategische Umsetzung verringert das Risiko für die Hersteller enorm. Mithilfe eines geeigneten Managementsystems können Sie zunächst die anzuwendenden Vorschriften identifizieren, die konkreten Vorgaben ableiten und diese dann im Entwicklungs- und Produktionsprozess implementieren. Wir unterstützen Sie dabei gerne.