Festschrift für Jürgen Taeger

In der Praxis ergeben sich bei der Abgrenzung von Verantwortlichkeiten im datenschutzrechtlichen Sinne beispielsweise Herausforderungen, wenn im Rahmen der Reparatur eines Kraftfahrzeugs in einer Werkstatt Daten aus den im Fahrzeug verbauten Datensammlern verarbeitet werden. Handelt es sich um fahrzeugbezogene Daten ohne Personenbezug, findet Datenschutzrecht ohnehin keine Anwendung. Erhält der Mitarbeiter der Werkstatt Zugriff auf personenbezogene Daten, die im Fahrzeug gespeichert sind, und kann er so das Fahrverhalten des betroffenen Fahrzeugnutzers nachvollziehen oder gar Bewegungsprofile des Betroffenen erstellen, hängt es von der konkreten Verarbeitung im Einzelfall ab, inwiefern die Werkstatt als Verantwortlicher oder Auftragsverarbeiter zu qualifizieren ist. Die Komplexität der Festlegung der Verantwortlichen steigt, wenn im Zusammenhang mit der Reparatur des Fahrzeugs die ausgelesenen Daten an den Hersteller weitergegeben werden (Stichwort: Gewährleistung und Kulanz) oder sonstige Dritte neben dem Nutzer des Fahrzeugs auf diese Daten unmittelbaren oder mittelbaren Zugriff haben (Vermieter, Leasinggeber oder Versicherer). Entsprechende Problemlagen sind ohne Weiteres im arbeitsteilig über einzelne Konzerngesellschaften hinweg organisierten Konzern, beispielsweise im Segment Werbung und Vertrieb ebenso vorstellbar wie beispielsweise im Bereich der Onlinewerbung – der vom EuGH entschiedene Fall Fashion ID17 verdeutlicht dies in anschaulicher Weise.

Kein Adressat von Art. 25 DS-GVO sind Hersteller, Entwickler und Anbieter von technischen Produkten, Systemen und Diensten, solange sie nicht selbst „Verantwortlicher“ einer Verarbeitung sind.18 Dies ist der Fall, wenn sie über das Produkt, System bzw. den Dienst auch selber personenbezogene Daten erheben und verarbeiten. Ausweislich des EG 78 sollen sie allenfalls ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung ihrer Produkte, Systeme, Services und Anwendungen zu berücksichtigen. Der Gesetzgeber hat also erkannt, dass die Verantwortlichen in einer Abhängigkeit zu den Herstellern und Entwicklern von Datenverarbeitungstools stehen.19 Sie determinieren zwar die Grundbedingungen, innerhalb derer sich die Datenverarbeitung vollziehen kann, entscheiden aber nicht eigenverantwortlich über die konkreten Zwecke und Mittel.20 Dieser Umstand zieht vor dem Hintergrund der Effektivität des Datenschutzes Kritik nach sich. Die Konferenz der Datenschutzbehörden des Bundes und der Länder ist der Auffassung, der Adressatenkreis des Art. 25 DS-GVO sei nicht weitreichend genug, obwohl er Pflichten enthalte, die sich durchaus auch an Hersteller richten. Konsequenz hieraus sei zum einen ein zu niedriges Datenschutzniveau und zum anderen eine übermäßige Belastung der Verantwortlichen, da diese die Defizite ausgleichen müssten.21 Bis zu einer entsprechenden Anpassung der DS-GVO hat diese nicht unberechtigte Kritik allerdings keine praktischen Auswirkungen. Letztlich scheint es ohnehin so, als könnten Hersteller nur am Markt bestehen, wenn sie die Vorgaben von Art. 25 Abs. 1 DS-GVO umsetzen.22

Die beschriebenen Abgrenzungsfragen stellen sich praktisch beispielsweise im Umfeld der Entwicklung von Automobilen: Wie verhält sich der Hersteller von Kommunikationssystemen im Auto in Bezug auf die Daten, die der Endkunde durch die Benutzung z.B. eines Navigationssystems generiert? Ist er als Verantwortlicher anzusehen, unterliegt er den Anforderungen von Art. 25 DS-GVO direkt, fungiert er nur als Hersteller außerhalb des Anwendungsbereichs der Vorschrift, hat er mittelbar deren Vorgaben zu erfüllen. Auch Software as a Service-Provider sammeln Nutzungs- und Performancedaten, die in den von ihnen angebotenen Clouds abgelegt werden. Hier stellt sich ebenfalls die Frage, ob sie Auftragsverarbeiter oder (gemeinsam) Verantwortliche der Datenverarbeitung sind.

Ausgehend von den abstrakten gesetzlichen Vorgaben des Art. 25 DS-GVO stellt sich in der Rechtspraxis naturgemäß die Frage, wie die jeweilige Technologie in Bezug auf die Anforderungen des Datenschutzes auszugestalten ist. Zu unterscheiden sind hier aus der Sicht der Praxis zwei verschiedene Zeiträume, der Zeitraum vor und der Zeitraum nach Fertigstellung bzw. Markteinführung eines Produkts, Systems oder einer sonstigen technikbezogenen Dienstleistung.

Zeitlich gesehen beginnt das Stadium, in dem die Voraussetzungen von Art. 25 DS-GVO zu erfüllen sind, lange vor dem Beginn der jeweiligen Verarbeitung durch das jeweils datenverarbeitende Produkt (Hard- und/oder Software), System oder Dienst in dessen Entwicklungs- und Herstellungsphase (Design & Build).23 Damit verlagert sich das Regelungsregime der Vorschrift in ein Stadium vor Datenverarbeitung und betrifft in aller Regel mit dem Hersteller ein Rechtssubjekt, das eigentlich nicht bzw. nicht unmittelbar von der DS-GVO erfasst ist (Art. 2 Abs. 1 DS-GVO).24

Im Design-and-Build-Stadium können sowohl die Vorgaben von Art. 25 Abs. 1 DS-GVO als auch Art. 25 Abs. 2 DS-GVO zur Anwendung gelangen.

Die Frage nach der Geeignetheit technischer und organisatorischer Maßnahmen i.S.v. Art. 25 Abs. 1 DS-GVO orientiert sich am Stand der Technik, den Implementierungskosten sowie Art, Umfang, Umständen und Zwecken der Verarbeitung sowie den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere etwaiger Risiken für Betroffene. Ausgangspunkt dieser Prüfung ist immer der Stand der Technik. Dieser Begriff ist nicht legaldefiniert. Nach Auffassung des Europäischen Datenschutzausschusses verlangt der Begriff „Stand der Technik“ von den Verantwortlichen, den technologischen Fortschritt zu berücksichtigen, der auf dem Markt verfügbar ist. Hieraus folgt, dass die Verantwortlichen über den technologischen Fortschritt grundsätzlich und fortlaufend informiert sein müssen, insbesondere ob und wie die implementierte Technologie datenschutzrechtliche Risiken für den Verarbeitungsbetrieb begründen kann und wie sie die Maßnahmen und Garantien implementieren müssen, die eine wirksame Umsetzung der datenschutzrechtlichen Grundsätze und Anforderungen sowie der Rechte der betroffenen Personen angesichts der gewählten Infrastruktur gewährleisten.25 Offen bleibt hingegen, was – jenseits von etwaigen Maßnahmenkatalogen26 – mit „auf dem Markt“ verfügbar im Einzelnen meint, insbesondere ob eine technische Innovation, die zwar am Markt bekannt ist, jedoch für die jeweils Betroffenen allenfalls bei Dritten beziehbar bzw. lizensierbar ist, hierunter fällt, was im Sinne eines effektiven Datenschutzes durch Technikgestaltung wohl zu bejahen ist. Diese Sichtweise hat dann aber andererseits auch zur Folge, dass die jeweilige Innovation nicht in die konkrete Bestimmung der Reichweite des Begriffs des „Standes der Technik“ einzubeziehen ist, wenn der dritte Veräußerer und/oder Rechteinhaber sich weigert, die technische Innovation dem Betroffenen zur Verfügung zu stellen. Der Begriff des Standes der Technik und damit auch der Umfang des Erfordernisses des Datenschutzes durch Technikgestaltung wird so subjektiviert.

Auch die datenschutzrechtliche Literatur geht davon aus, dass es sich beim Stand der Technik im Sinne des Art. 25 DS-GVO um Maßnahmen handelt, die technisch möglich und erprobt sind und auf gesicherten Erkenntnissen von Wissenschaft und Technik beruhen.27 Der „Stand der Technik“ ist als eine mittlere Stufe zu verstehen und umfasst einerseits mehr als die anerkannten Regeln der Technik (die sich bereits in der Praxis verbreitet und bewährt haben), andererseits aber weniger als den Stand von Wissenschaft und Technik (der auch neueste Erkenntnisse der Forschung umfasst).28 Nicht unter den Stand der Technik fallen innovative Konzepte und Implementierungen aus dem Forschungslabor, die ihre Funktionsfähigkeit noch nicht unter Beweis gestellt haben und bisher nicht am Markt verfügbar sind.29 Der Stand der Technik im Sinne des Art. 25 DS-GVO richtet sich somit danach, inwieweit eine bestimmte Technik jenseits eines Prototypen- oder Entwicklungsstatus tatsächlich in der Praxis einsetzbar ist. Nicht erforderlich ist hingegen, dass die Technik bereits Marktstandard ist.