Festschrift für Jürgen Taeger

Normativer Anknüpfungspunkt für die vorliegend zu behandelnden zivilrechtlichen Fragestellungen bildet Art. 25 DS-GVO. Eine Vorschrift, deren Bedeutung für die Rechts- und insbesondere Unternehmenspraxis kaum hoch genug bemessen werden kann;4 in nahezu jedem Unternehmen wird Software eingesetzt, die personenbezogene Daten verarbeitet. Hier werden Fragen des Datenschutzes durch Technikgestaltung augenblicklich relevant.

Art. 25 DS-GVO stellt insofern ein Novum im europäischen Datenschutzrecht dar, als er im Sinne einer spezifischen Regelung ausdrücklich Vorgaben für den Datenschutz durch Technikgestaltung („Data Protection by Design“ bzw. „Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Data Protection by Default“ bzw. „Privacy by Default“) bei der Verarbeitung personenbezogener Daten formuliert.5 Die Norm beruht auf der berechtigten Annahme, dass Datenschutz am effektivsten durch die Einbeziehung der zur Verarbeitung personenbezogener Daten eingesetzten Technik umgesetzt werden kann. Art. 25 DS-GVO soll ausweislich des gesetzgeberischen Willens absichern, dass der Verantwortliche die in der DS-GVO formulierten datenschutzrechtlichen Anforderungen zu einem möglichst frühen Zeitpunkt, bestenfalls schon im Rahmen der Entwicklung und Gestaltung von Anwendungen, Diensten, wie z.B. Cloud-Diensten, Produkten oder Systemen, durch entsprechende technische und organisatorische Maßnahmen umsetzt.6

Um eine datenschutzkonforme Verarbeitung personenbezogener Daten zu gewährleisten, muss der Verantwortliche insbesondere den Grundsatz des Datenschutzes durch Technikgestaltung nach Art. 25 Abs. 1 DS-GVO beachten, und zwar durchgehend während des gesamten Verarbeitungszyklus. Die Bedeutung dieser Vorgaben ist nicht zu unterschätzen, finden sich hierin doch Elemente anderer Regelungen der DS-GVO wieder, sodass die Umsetzung von Art. 25 Abs. 1 DS-GVO erhebliche Auswirkung auf die Gewährleistung der Datenschutz-Compliance hat.

Art. 25 Abs. 1 DS-GVO verlangt, dass der Verantwortliche bei der Planung („Zeitpunkt der Festlegung der Mittel für die Verarbeitung“) und Durchführung („Zeitpunkt der eigentlichen Verarbeitung“) von Datenverarbeitungsprozessen geeignete technische und organisatorische Maßnahmen trifft, um allgemeine Datenschutzgrundsätze wirksam umzusetzen und notwendige Garantien in die Verarbeitung aufzunehmen, um den Anforderungen der DS-GVO zu genügen und so die Rechte von Betroffenen zu schützen. Die Frage, welche Maßnahmen in technischer und organisatorischer Hinsicht als geeignet zu beurteilen sind, bemisst sich nach den Vorgaben des Art. 25 Abs. 1 DS-GVO nach dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und dem Zwecke der Verarbeitung sowie den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen.

Daneben verpflichtet Art. 25 Abs. 2 DS-GVO den Verantwortlichen, Datenschutzgrundsätze durch datenschutzfreundliche Voreinstellungen umzusetzen. Er muss geeignete technische und organisatorische Maßnahmen ergreifen, die sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Im Hinblick auf die Erforderlichkeit ist nach Art. 25 Abs. 2 Satz 2 DS-GVO zu beachten: die Menge der erhobenen personenbezogenen Daten, der Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.

Wie aber ist das Verhältnis von Privacy by Design und Privacy by Default zu bewerten? Die Frage stellt sich insbesondere deshalb, weil Art. 25 Abs. 1 DS-GVO im Gegensatz zu dessen Abs. 2 eine Verhältnismäßigkeitsprüfung in Bezug auf die Geeignetheit technischer und organisatorischer Maßnahmen enthält, was sich potenziell zulasten der Verantwortlichen auswirken könnte. Einigkeit besteht weitestgehend, dass Privacy by Default (Art. 25 Abs. 2 DS-GVO) einen Unterfall des Privacy by Design (Art. 25 Abs. 1 DS-GVO) darstellt.7 Insofern konkretisiert Art. 25 Abs. 2 DS-GVO das Prinzip eines Datenschutzes durch Technikgestaltung i.S.v. Art. 25 Abs. 1 DS-GVO. Gegen eine unabhängige Geltung der Absätze 1 und 2 DS-GVO spricht, dass der Grundsatz der Datenminimierung bereits in Art. 25 Abs. 1 DS-GVO aufgeführt ist. Datenminimierung bedeutet gemäß Art. 5 Abs. 1 lit. c DS-GVO u.a., dass die Verarbeitung personenbezogener Daten auf das für die Zwecke der Verarbeitung notwendige8 Maß beschränkt sein muss. Dies wiederum ist gerade der Kern des Art. 25 Abs. 2 DS-GVO. Art. 25 Abs. 2 DS-GVO stellt damit eine Konkretisierung und mithin einen Unterfall des Datenschutzes durch Technikgestaltung dar.

Im Ergebnis hat dies zur Folge, dass die in Art. 25 Abs. 1 DS-GVO aufgestellten Grundsätze an die Verhältnismäßigkeit der Datenschutzmaßnahmen auch für die Prüfung der Anforderungen nach Art. 25 Abs. 2 DS-GVO gelten.

Art. 25 DS-GVO richtet sich an datenschutzrechtlich Verantwortliche, nicht aber, jedenfalls nicht unmittelbar, an Händler und Diensteanbieter, es sei denn diese sind im Einzelfall als Verantwortliche zu qualifizieren, oder Auftragsverarbeiter. Art. 25 DS-GVO erfordert mithin eine exakte Bestimmung der datenschutzrechtlichen Verantwortlichkeit, um seinen persönlichen Geltungsbereich im Einzelfall zu fixieren.

Adressat der Regelung in Art. 25 DS-GVO ist der Verantwortliche, d.h. diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DS-GVO).9 Grundsätzlich können mehrere Verantwortliche an einem Datenverarbeitungsprozess beteiligt sein. Ist dies der Fall, ist eine Abgrenzung zur gemeinsamen Verantwortlichkeit notwendig. Eine Verarbeitung personenbezogener Daten durch einen (unabhängigen) Verantwortlichen und einen weiteren (unabhängigen) Verantwortlichen ist anzunehmen, wenn beide Verantwortliche keinen gemeinsamen Zweck verfolgen oder zur Datenverarbeitung keine gemeinsamen Mittel benutzen.

Demgegenüber liegt eine gemeinsame Verantwortlichkeit nach Art. 26 Abs. 1 DS-GVO vor, wenn die Verantwortlichen gemeinsam die Zwecke und die Mittel zur Verarbeitung personenbezogener Daten festlegen. Dies erfordert keine gleichwertige Verantwortlichkeit.10 Vielmehr können die Akteure in die Verarbeitung personenbezogener Daten in verschiedenen Phasen und in unterschiedlichem Ausmaß in der Weise einbezogen sein, dass der Grad der Verantwortlichkeit eines jeden von ihnen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.11 Außerdem ist es nach ständiger Rechtsprechung auch nicht erforderlich, dass jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten hat.12 Gerade in Konzern- und Unternehmensverbänden ist die Rechtsfigur der gemeinsamen Verantwortlichkeit von Bedeutung, weil Dienstleistungen hier zunehmend arbeitsteilig erbracht werden und insofern ein wesentlicher Teil dieser Dienstleistungen unter Art. 26 DS-GVO fallen dürfte.13 Gleiches gilt im Bereich des Outsourcing von Geschäftsprozessen im Verhältnis zwischen Dienstleister und Kunde.

Im Gegensatz dazu sind Auftragsverarbeiter nicht direkt vom Anwendungsbereich des Art. 25 DS-GVO erfasst. Auftragsverarbeiter ist gemäß Art. 4 Nr. 8 DS-GVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Er verarbeitet die Daten strikt nach einer Anweisung des Verantwortlichen und ist somit derart stark weisungsgebunden, dass er keine selbstständige Entscheidung über Zweck und Mittel der Verarbeitung treffen kann.14 Art. 25 DS-GVO richtet sich seinem Wortlaut nach ausschließlich an Verantwortliche. Auftragsverarbeiter sind nur ausnahmsweise betroffen, wenn sie nach Art. 28 Abs. 10 DS-GVO für einen bestimmten Datenverarbeitungsprozess als Verantwortliche gelten. Dies ist der Fall, wenn sie systemwidrig für die Auftragsverarbeitung selbst die Mittel und Zwecke der Verarbeitung festlegen.15 Auftragsverarbeiter werden allerdings indirekt von den Anforderungen des Art. 25 DS-GVO betroffen. Dies ergibt sich einerseits aus Art. 28 Abs. 1 DS-GVO, demzufolge der Verantwortliche nur mit einem Auftragsverarbeiter zusammenarbeitet, der hinreichend Garantie dafür bietet, dass geeignete technische und organisatorische Maßnahmen derart durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der Betroffenen gewährleistet. Andererseits basiert Auftragsverarbeitung nach Art. 28 Abs. 3 DS-GVO auf einem Vertrag, der den Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO).16