Suchen

Kommentar zu Herstellern in der DSGVO Warum Privacy by Design (bisher) nicht gelingen kann

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Die Forderung nach Datenschutz durch Technikgestaltung (Privacy by Design) hat eine zentrale Bedeutung in der Datenschutz-Grundverordnung (DSGVO). Leider richtet sich die DSGVO aber gar nicht an die Hersteller, sondern an die Anwender. Ein aktuelles Schreiben des Europäischen Datenschutzausschusses (European Data Protection Board) macht dies nochmals deutlich.

Firmen zum Thema

Die DSGVO richtet sich aktuell nur an die Verantwortlichen in den Unternehmen, die personenbezogene Daten verarbeiten, nicht aber an die Hersteller – ein großer Fehler!
Die DSGVO richtet sich aktuell nur an die Verantwortlichen in den Unternehmen, die personenbezogene Daten verarbeiten, nicht aber an die Hersteller – ein großer Fehler!
(Bild: gemeinfrei / Pixabay )

So manches Produkt fällt negativ auf, weil der Datenschutz bei der Entwicklung nicht richtig beachtet wurde. Auf den ersten Blick scheint dies ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) zu sein, denn dort findet sich die Forderung nach Privacy by Design, in der Verordnung Datenschutz durch Technikgestaltung (Artikel 25 DSGVO) genannt.

Tatsächlich aber richtet sich die DSGVO an die Verantwortlichen in den Unternehmen, die personenbezogene Daten verarbeiten (Verarbeiter) und an die Unternehmen, die personenbezogene Daten im Auftrag verarbeiten (Auftragsverarbeiter). Artikel 25 und damit die Forderung nach Privacy by Design richtet sich ebenfalls an den Verantwortlichen und nicht etwa an die Hersteller der Produkte, die von Beginn an, durch entsprechende Entwicklungsvorgaben datenschutzgerecht sein sollen.

Natürlich kann der Verantwortliche, also die Geschäftsleitung in einem Anwenderunternehmen, entsprechende Forderungen im Rahmen des Einkaufs und in den Verträgen abbilden, je nach Marktposition des Herstellers wird sich dies aber nicht so einfach durchsetzen lassen.

Hersteller müssen Gegenstand der DSGVO werden

Es ist zwar nicht so, dass Hersteller gar nicht in der DSGVO genannt werden, wie dies teilweise behauptet wird. So besagen die zur DSGVO gehörenden Erwägungsgründe (zumindest): „In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen. Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.“

Wer das Zitat genau liest, findet darin „sollten ermutigt werden“, was sich nicht wirklich nach einer klaren Forderung der Verordnung anhört. Aus gutem Grund haben deshalb die Aufsichtsbehörden für den Datenschutz (Datenschutzkonferenz, DSK) in ihrem Erfahrungsbericht zur DSGVO geschrieben: „Die DSGVO stellt mit „data protection by design / data protection by default“ Grundsätze auf, die sich an Hersteller richten, nimmt Hersteller aber nicht als solche in die Pflicht. Die Forderung nach „data protection by design/data protection by default“ läuft, wenn sie ausschließlich an die Verantwortlichen gerichtet wird, häufig ins Leere.“

Über die Position der DSK hinausgehend vertritt der Landesbeauftragte für den Datenschutz Baden-Württemberg die Auffassung, dass die Durchsetzung einer Verordnung, die auch die Hersteller adressiert, nur dann möglich wäre, wenn die Datenschutz-Aufsichtsbehörden auch zur Kontrolle der Einhaltung des Datenschutzes bei Herstellern, Importeure, Lieferanten, etc. befugt wären.

Die Datenschutzaufsicht von Baden-Württemberg fordert entsprechend:

  • das Einfügen einer an der Produkthaftungs-Richtlinie orientierten Hersteller-Definition in den allgemeinen Begriffsbestimmungen und Aufnahme in sämtliche Verantwortlichen-Pflichten sowie
  • in die Verpflichtungen zur Zusammenarbeit mit den Aufsichtsbehörden und in die Zuständigkeits-, Aufgaben-und Befugnis-Normen der Aufsichtsbehörden sowie in die Sanktionsmöglichkeiten zum Zwecke der wirksamen Rechtsdurchsetzung.

Das Beispiel Webcam-Abdeckung

Der Europäische Datenschutzausschuss (EDPB), als Gremium der nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten, hat kürzlich von einem Schreiben berichtet, das ein Mitglied des EU-Parlaments an den EDPB gerichtet hat.

Der Brief befasste sich mit dem Thema Laptop-Kameraabdeckungen. Der Abgeordnete des EU-Parlaments betonte darin, dass diese Technologie zur Einhaltung der DSGVO beitragen könne, und schlug vor, neue Laptops damit auszustatten.

Dies erscheint als ein guter Vorschlag, denn viele Nutzer rüsten ihre Laptop-Kameras entsprechend nach, um einer heimlichen Beobachtung zu entgehen, nachdem die Webcam gehackt wurde (Stichwort Hack the cam).

In seiner Antwort stellt der Datenschutzausschuss aber klar, dass Laptop-Hersteller zwar aufgefordert werden sollten, das Recht auf Datenschutz bei der Entwicklung und Gestaltung solcher Produkte zu berücksichtigen, sie jedoch nicht für die mit diesen Produkten durchgeführte Verarbeitung verantwortlich sind und die DSGVO keine gesetzlichen Verpflichtungen festlegt für Hersteller, sofern sie nicht auch als Verarbeiter oder Auftragsverarbeiter fungieren.

Die für die Verarbeitung Verantwortlichen müssen die Risiken jeder Verarbeitung bewerten und die geeigneten Schutzmaßnahmen zur Einhaltung der DSGVO auswählen, einschließlich des Datenschutzes, der in Artikel 25 DSGVO festgelegt und standardmäßig verankert ist.

Es zeigt sich beispielhaft: Nachträgliche Webcam-Abdeckungen sind kein Notbehelf, sondern die nachträgliche Umsetzung von Schutzmaßnahmen, die man von den Herstellern nach DSGVO nicht verlangen kann.

Dies ist leider nicht nur bei Laptop-Kameras nachträglich notwendig, sondern bei vielen IT-Lösungen, und oftmals ist dies nicht so einfach und kostengünstig möglich wie bei einer Webcam-Abdeckung.

Die Aufsichtsbehörden für den Datenschutz haben die Situation ganz klar ausgedrückt: Damit bestehen nicht nur erhebliche Lücken im Bereich des Schutzes personenbezogener Daten, sondern es kommt zu einer Potenzierung von technischem und bürokratischem Aufwand bei dem Versuch, dezentral Mängel zu beseitigen, die zentral verursacht werden. Dies belastet alle Verantwortlichen und Auftragsverarbeiter, wobei KMU überproportional belastet werden.

Ändern kann dies aber keine Aufsichtsbehörde, hier sind die Gesetzgeber in der EU gefragt. Privacy by Design muss im „Design“ der DSGVO enthalten sein und zwar richtig.

(ID:46735632)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research