DSGVO Datenschützer nehmen Softwarehersteller ins Visier
Vage Vorgaben in der Datenschutz-Grundverordnung DSGVO sorgen für Verunsicherung.
Berlin Seit eineinhalb Jahren lebt Europa nach neuen Datenschutz-Regeln. Die Datenschutz-Grundverordnung DSGVO, die am 25. Mai 2018 zur Pflicht in der EU wurde, hat für viele Diskussionen gesorgt. Nahezu alle Befürchtungen hätten sich aber als „völlig unbegründet“ erwiesen, resümierte vor wenigen Monaten der Bundesdatenschutzbeauftragte Ulrich Kelber. „Die Krabbelphase nähert sich dem Ende, das Kind hat laufen gelernt.“
Doch allmählich zeigen sich manche Schwachstellen bei den neuen Vorschriften. Behörden und Betriebe agierten „teilweise unsicher, Umsetzungsdefizite sind zu beobachten“, heißt es in einem gemeinsamen „Erfahrungsbericht“ der Datenschutzbeauftragten des Bundes und der Länder zur Anwendung der DSGVO, wie das Handelsblatt berichtet. Ein Problem sind offenkundig die „vielfältigen“ Vorgaben, die ein „umfassendes Datenschutzmanagement des Verantwortlichen“ erfordern.
Dazu zählt etwa auch die richtige Auslegung der Vorschriften. Dass es hier mitunter hakt, zeigt der immer noch sehr hohe Beratungsbedarf, den die Aufsichtsbehörden registrieren. Als ein wunder Punkt in der DSGVO haben sich aus Sicht der Behörden die Vorgaben für Softwarehersteller erwiesen.
Die aktuellen Datenschutzvorschriften widersprächen dem Produkthaftungsrecht, nach dem Hersteller für Schäden, die durch ihre Produkte entstehen, haften. „Daher sollte Ziel sein, auch für datenschutzrechtlich relevante Produkte stärker auch die Hersteller in die Pflicht zu nehmen“, schreiben die Behörden in ihrem Bericht mit Blick auf die Ende Mai von der EU-Kommission geplante Evaluierung des neuen Regelwerks.
„Die nationalen Produkthaftungsregelungen würden dann durch die DSGVO verdrängt, was für die Einheitlichkeit des Schutzes personenbezogener Daten in der EU von großem Vorteil wäre“, sagte der Hamburger Datenschützer Johannes Caspar dem Handelsblatt. Bei Verstößen sieht die DSGVO Bußgelder von bis zu 20 Millionen Euro oder - im Falle eines Unternehmens - ein Bußgeld von bis zu vier Prozent des weltweit erzielten Jahresumsatzes vor.
Momentan würden etwa Softwarehersteller „in keiner Weise ermutigt“, das von der DSGVO eingeforderte „Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen“, bemängeln die deutschen Datenschützer. Damit bestünden nicht nur „erhebliche Lücken im Bereich des Schutzes personenbezogener Daten“, heißt es in ihrem Bericht. Es komme zudem zu einer „Potenzierung von technischem und bürokratischem Aufwand bei dem Versuch, dezentrale Mängel zu beseitigen, die zentral verursacht werden“. Dies führe zu einer „überproportionalen“ Belastung insbesondere kleiner und mittlerer Unternehmen.
Unterschiedliche Reaktionen in der Politik
Die Problematik führen die Datenschützer darauf zurück, dass Vorgaben der DSGVO „nicht weitreichend genug“ seien. Dort wird zwar die Beachtung von Grundsätzen wie Datenschutz durch Technikgestaltung („Privacy by Design“) und datenschutzfreundlichen Voreinstellungen („Privacy by Default“) verlangt, jedoch allgemein von „Verantwortlichen“.
Diese entwickelten in der Regel aber nicht selbst Hard- und Software, sondern seien vielmehr auf die angebotenen Systeme angewiesen, „sodass Produkte und Einsatzbedingungen von Anbieterseite diktiert werden können“. Als Konsequenz schlagen die Aufsichtsbehörden vor, in der DSGVO auch die Hersteller von Software zur Einhaltung des „datenschutzfördernden Designprinzips“ zu verpflichten.
Der Datenschützer Caspar hält es für „durchaus sinnvoll“, den Herstellern von Diensten, Produkten und Anwendungen einem verantwortlichen Datenverarbeiter gleichzustellen. Zumal Herstellern häufig eine „Schlüsselfunktion“ sowohl für den Datenschutz als auch für die Datensicherheit bei der Nutzung zukomme. „Die Rechtsfigur der gemeinsamen Verantwortlichkeit in der DSGVO hat zwar dazu geführt, dass in vielen Fällen die Hersteller, die zumindest auch Einfluss auf Zweck und Mittel der Datenverarbeitung mit festlegen, datenschutzrechtlich eine gemeinsame Verantwortung trifft“, erläuterte der Behördenchef.
Wo jedoch eine derartige gemeinsame Verantwortung gerade nicht bestehe, weil etwa nur ein Produkt verkauft werde, ohne dass eine Einflussnahme auf die Datenverarbeitung durch den Käufer erfolge, sollte der Hersteller verpflichtet sein, „geeignete technisch-organisatorische Maßnahmen für den Schutz der mit dem System verarbeiteten Daten zu ergreifen“. Rechtsschutzlücken könnten so vermieden werden.
Die Forderung der Datenschützer stößt im politischen Berlin auf ein unterschiedliches Echo. Während SPD, FDP und Grüne den Vorstoß begrüßen, reagierte die Union zurückhaltend. „Anstatt weitere Vorgaben einzuführen, müssen wir im Rahmen der anstehenden Evaluierung der Datenschutz-Grundverordnung vor allem darauf achten, unnötige Bürokratieerfordernisse abzubauen und einheitliche Entscheidungen der Datenschutzbeauftragten mit Blick auf die DSGVO zu erreichen“, sagte der digitalpolitische Sprecher der Unions-Bundestagsfraktion, Tankred Schipanski (CDU), dem Handelsblatt.
Der SPD-Digitalpolitiker Jens Zimmermann betonte dagegen die Wichtigkeit der in der DSGVO festgeschriebenen Grundsätze. „Um diese auch durchsetzen zu können, braucht es eine Klarstellung der eindeutigen Haftungskette für alle digitalen Güter“, sagte der Bundestagsabgeordnete dem Handelsblatt. Die SPD fordere seit langem eine solche Haftungskette - insbesondere mit Blick auf Software und Cloud-Dienstleistungen. „Deswegen haben wir im Koalitionsvertrag von CDU, CSU und SPD vereinbart, dass wir klare Regelungen für die Produkthaftung in der digitalen Welt aufstellen werden.“
Europäischer Datenschutz als Wettbewerbsvorteil?
Ähnlich sieht es die FDP. „Ganz grundsätzlich sind wir der Auffassung, Hard- und Softwarehersteller für Schäden haften sollten, die fahrlässig durch Sicherheitslücken in ihren Produkten verursacht wurden“, sagte Fraktionsvize Frank Sitta dem Handelsblatt. Dieses Thema könne etwa bei einer Revision der Produkthaftungsrichtlinie in den Fokus genommen werden.
Die Belange des Datenschutzes sollten aus Sicht Sittas bereits in der Konstruktion von Hard- und Software mitgedacht werden. Einer Weiterentwicklung und Konkretisierung des Rechtsrahmens in Bezug auf datenschutzfreundliche Voreinstellungen in der DSGVO stehe er „durchaus offen gegenüber“. „Entscheidend ist letztlich, dass dabei für die Unternehmen Rechtssicherheit und Planungssicherheit hergestellt wird, ohne sie mit Überregulierungen übermäßig zu belasten“, betonte der FDP-Politiker.
Der Grünen-Bundestagsabgeordnete Dieter Janecek hält strengere Regeln für unabdingbar. „Man muss nur einen kurzen Blick nach China werfen, um zu erkennen wie richtig und wichtig es ist, dass wir in Europa einen sehr hohen Standard beim Datenschutz pflegen“, sagte der Sprecher seiner Fraktion für Industriepolitik und digitale Wirtschaft dem Handelsblatt. Bestehende Regulierungslücken sollten daher „zügig“ geschlossen werden.
Janecek mahnt zugleich, darauf zu achten, dass die Anwendung der datenschutzrechtlichen Anforderungen insbesondere für kleine und mittlere Unternehmen möglichst gut handhabbar sei. „Für kleinere Unternehmen wäre es eine erhebliche Entlastung, wenn insbesondere die großen Softwarehersteller beim Datenschutz stärker in die Pflicht genommen und zur strikten Einhaltung des Prinzips Privacy by Design verpflichten werden“, sagte der Grünen-Politiker.
Auch Verbraucherschützer sehen Handlungsbedarf. „Eine verpflichtende und bußgeldbewehrte Adressierung der Hersteller wäre weitaus effektiver und würde die Vorschrift nicht lediglich auf einen wohlgemeinten Programmsatz reduzieren“, heißt es in einem Gutachten der Universität Kassel im Auftrag des Verbraucherzentrale Bundesverbands (VZBV).
Der IT-Verband Bitkom warnte hingegen davor, den Anwendungsbereich der Vorschriften zu „Privacy by Design“ sowie „Privacy by Default“ auszuweiten. Stattdessen sollten die Regeln „zunächst nachgebessert und eindeutiger formuliert werden“, sagte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, dem Handelsblatt. Kleinere und mittlere Unternehmen litten vielmehr unter aufwändigen Informations- und Dokumentationspflichten, fügte Dehmel hinzu. Hier gelte es anzusetzen und die Vorschriften zu vereinfachen, um für eine wirkliche Entlastung zu sorgen.
Der CDU-Digitalpolitiker Schipanski betonte hingegen, dass ein auf Einhaltung des Datenschutzes ausgelegtes Produkt nicht nur ein Qualitätsmerkmal, sondern auch ein Wettbewerbsvorteil für die Hersteller sei. „Denn Datenschutz und Datensicherheit werden beim Kauf einer Software ein zunehmendes Entscheidungskriterium für den Kunden sein.“
Bitkom-Expertin Dehmel sieht das eher skeptisch. „Der hehre Wunsch nach Vorteilen für europäische Unternehmen im internationalen Wettbewerb aufgrund von umfassenden Datenschutzbestimmungen ist bislang nicht in Erfüllung gegangen“, sagte sie.
Mehr: Viele bekannte Online-Plattformen erfüllen die Datenschutz-Grundverordnung nur unzureichend. Die Anbieter müssen dringend nacharbeiten, fordert Justizstaatssekretär Billen.
Das Kommentieren dieses Artikels wurde deaktiviert.