Festschrift für Jürgen Taeger

Welche Maßnahmen konkret vorzunehmen sind, bestimmt sich in diesem Rahmen immer anhand von Art, Umfang, Umständen und Zwecken der Verarbeitung. Der Verantwortliche muss keineswegs immer den Stand der Technik einhalten. Eine negative Abweichung vom Stand der Technik kann im Einzelfall unter Berücksichtigung von Implementierungskosten sowie Eintrittswahrscheinlichkeit und Schwere der Risiken im Einzelfall einerseits sowie ergänzender technischer und/oder organisatorischer Maßnahmen andererseits als insgesamt wertend betrachtet verhältnismäßig und damit gestattet sein.

Wie genau technische oder organisatorische Maßnahmen in diesem Zusammenhang auszugestalten sind, schreibt die DS-GVO nicht vor, ebenso wenig Mindestvorgaben oder Obergrenzen. Einzig und allein maßgebend ist, dass die einzelne Maßnahme unter Berücksichtigung der Umstände des jeweiligen Datenverarbeitungsprozesses geeignet ist, die Datenschutzgrundsätze effektiv umzusetzen und die Rechte der betroffenen Personen zu schützen.30 Der Verordnungstext hebt hier v.a. die Möglichkeit der Pseudonymisierung in Art. 25 Abs. 1 DS-GVO hervor.

Zielvorgabe für die Verantwortlichen ist in diesem Kontext die Umsetzung der Datenschutzgrundsätze aus Art. 5 DS-GVO, die durch korrespondierende Regelungen in der Verordnung konkretisiert werden. Verantwortliche müssen sie während des gesamten Verarbeitungszyklus beachten, sprich: bei der Festlegung der Mittel des Prozesses und bei dessen Durchführung. Ändern sich die Umstände des Datenverarbeitungsprozesses, so obliegt es den Verantwortlichen, auch unter den sich ändernden Umständen die Einhaltung der genannten Grundsätze zu gewährleisten.31 Dies stellt insofern eine Herausforderung dar, als dass sich eine Veränderung der Prozesse im Hinblick auf Umfang und Hintergrund jederzeit einstellen kann.

Im Hinblick auf das Erforderlichkeitskriterium im Rahmen des Art. 25 Abs. 2 Satz 2 DS-GVO sind, wie ausgeführt, die Menge der erhobenen personenbezogenen Daten, der Umfang ihrer Verarbeitung sowie ihre Speicherfrist und Zugänglichkeit zu beachten. Diese Vorgaben dienen der technischen und organisatorischen Absicherung des Grundsatzes, dass personenbezogene Daten ohnehin nur im Rahmen des für einen bestimmten Zweck Erforderlichen verarbeitet werden dürfen (vgl. Art. 6 Abs. 1, Abs. 4 DS-GVO). Die Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 25 Abs. 2 DS-GVO ersetzt nicht die Rechtsgrundlage der Datenverarbeitung gemäß Art. 6 DS-GVO.

In Bezug auf die Menge der erhobenen personenbezogenen Daten soll grundsätzlich nur im Rahmen des Erforderlichen das Mindestmaß verarbeitet werden. Die Speicherfrist sollte sich an dem Zeitraum orientieren, der für die entsprechenden Verarbeitungen unbedingt notwendig ist. Eine darüber hinausgehende Speicherung muss gesondert gerechtfertigt sein. Werden Daten nicht mehr benötigt, sind sie zu löschen oder zu anonymisieren. Im Übrigen ist darauf zu achten, dass nur solche Personen Zugriff auf die Daten haben, die den Zugang für die Verarbeitung benötigen. Hier ist sicherzustellen, dass der Zugang auch gewährleistet bleibt, um in kritischen Situationen handlungsfähig zu bleiben.32

Allen Definitionsversuchen zum Trotz bleibt es für den Praxisanwender häufig unklar, welche Vorgaben er einzuhalten hat bzw. wie diese konkret umzusetzen sind.33 Hilfe geben zum einen die Leitlinien des Europäischen Datenschutzausschusses, zum anderen kann man sich an den sieben Prinzipien des Privacy by Design nach Ann Cavoukian 34 orientieren.35 Danach ist Datenschutz zunächst proaktiv zu gewährleisten, d.h. Risiken für die Rechtsgüter der Betroffenen sollen gar nicht erst eintreten. Datenschutz soll außerdem als Standard eingestellt sein und der Betroffene soll über die Benutzung seiner Daten selbst verfügen können. Maßnahmen zum Schutze von Daten müssen bereits in die jeweilige Infrastruktur im Sinne eines „integralen Bestandteils“ eingebettet sein. Nichtsdestotrotz soll Datenschutz die Funktionalität des entsprechenden Services nicht beschränken, sondern ein Ausgleich gefunden werden. Die Sicherheit der Daten muss während des gesamten Verarbeitungszyklus gewährleistet sein. Der Nutzer selbst soll durch durchgängige Transparenz über die Nutzung seiner Daten informiert sein und ihre Verarbeitung kontrollieren können. Bei ihm liegt dann im Ergebnis auch die Hoheit über seine Daten.36 Anhand dieser sieben Prinzipien lässt sich zumindest eine praktische Richtschnur für eine DS-GVO-konforme Umsetzung von Privacy by Design und Privacy by Default im Einzelfall ableiten.

Auch insoweit ist in diesem Gesamtzusammenhang zu beachten, dass der Hersteller, wie ausgeführt, regelmäßig nicht Adressat des Art. 25 DS-GVO ist. Solange dies nicht der Fall ist, ist es unmittelbar der Verantwortliche, der im Beschaffungsprozess eines datenverarbeitenden Produkts, Systems oder Dienstes die Einhaltung der Vorgaben des Art. 25 DSGVO dahingehend zu evaluieren hat, ob der Hersteller die Vorgaben des Datenschutzes durch Technikgestaltung im Entwicklungs- und Herstellungsprozess des datenverarbeitenden Produkts, Systems oder Dienstes im gebotenen Umfang beachtet hat.

Bei der Implementierung der Anforderungen des Datenschutzes durch Technikgestaltung nebst datenschutzfreundlicher Voreinstellungen handelt es sich nach dem Gesetzeswortlaut nicht um einen einmaligen Vorgang, sondern um eine fortlaufende Anforderung, die unter Berücksichtigung einer möglichen Änderung der Geeignetheit der technischen, aber auch organisatorischen Maßnahmen im zeitlichen Verlauf eine regelmäßige Überprüfung und ggf. Anpassung dieser Maßnahmen über die regelmäßig mehrjährige Nutzungszeit eines datenverarbeitenden Produkts (Hard- und/oder Software), Systems oder Dienstes erfordert. Dies gilt, wie ausgeführt, unmittelbar für den Verantwortlichen, strahlt jedoch mittelbar auf den in aller Regel nicht personenidentischen Hersteller bzw. gar den Veräußerer insofern aus, Datenschutz durch Technikgestaltung andauernd über die Lebenszeit einer personenbezogene Daten verarbeitenden Hard- oder Software darzustellen.

Entscheidend ist in diesem Kontext, ob und wie konkret sich der Stand der Technik im Nutzungszeitraum der datenverarbeitenden Hard- oder Software bezogen auf diese ändert. Regelmäßig unterliegt er einem dynamischen Wandel, der eine Adaption der technischen, aber auch organisatorischen Sicherungsmaßnahmen erforderlich machen kann. Doch auch wenn die jeweiligen Funktionen oder Dienste nicht (mehr) dem Stand der Technik entsprechen, bedeutet dies nicht, dass ein Verstoß gegen Art. 25 DS-GVO vorliegt. So sieht Art. 25 Abs. 1 DS-GVO eine Abwägung v.a. unter Berücksichtigung der Risiken für die Rechte und Freiheiten Betroffener zum einen und zum anderen der Implementierungskosten anderer technischer oder organisatorischer Maßnahmen vor. Daraus kann sich einzelfallabhängig ergeben, dass die Nutzung der jeweiligen datenverarbeitenden Hard- oder Software (noch) DS-GVO-konform bzw. jedenfalls darstellbar ist.

Kommt die technische Ausgestaltung eines datenverarbeitenden Produkts (Hard- und/oder Software), Systems oder Dienstes den datenschutzrechtlichen Vorgaben nicht nach, kann dies zivilrechtliche Mängel und in der Konsequenz Gewährleistungspflichten auf Hersteller-, Entwickler- oder Veräußererseite begründen. Außerdem ist zu erwägen, ob schon vorvertragliche Pflichten des Herstellers oder Veräußerers der Software bestehen.

Kommt einem Hardware-, Software- oder System-Veräußerer oder Diensteanbieter, wie einem Anbieter von Cloud-Diensten, bereits im Vorfeld des Vertragsschlusses eine Beratungs-, Schutz- oder Aufklärungspflicht im Rahmen des §§ 311, 241 Abs. 2 BGB zu, kann er sich für den Fall deren Nichterfüllung bzw. nicht ordnungsgemäßer Erfüllung nach §§ 280 Abs. 1, 241 Abs. 2 BGB schadensersatzpflichtig machen, wenn er den Erwerber nicht darauf hinweist, dass seine Software nicht den Anforderungen des Datenschutz genügt.37 Insbesondere im Hinblick auf die Annahme einer Aufklärungspflicht sind insoweit die Umstände des Einzelfalls zur Beurteilung entscheidend, ob im Verhältnis des Veräußerers zum Erwerber ein mit Blick auf datenschutzrechtliche Anforderungen relevantes Wissensgefälle besteht.38 In diesem Zusammenhang ist von Bedeutung, dass der Veräußerer bzw. der Dienstanbieter nicht notwendig personenidentisch mit dem Hersteller eines datenverarbeitenden Produkts (Hard- und/oder Software) oder Systems sein muss, das veräußert oder zu einem integralen Bestandteil eines zu kontrahierenden Dienstes werden soll. Dabei ist dann weiter zu berücksichtigen, ob und wie der Veräußerer in die Vertriebsorganisation des Herstellers einbezogen ist. Hiervon ausgehend ist zu erwägen, ob der Veräußerer sich selbst zunächst über die datenschutzrechtlichen Anforderungen informieren muss und darauf beruhend darüber aufzuklären hat, inwiefern die Software ihnen entspricht.39 Eingedenk dieser Parameter ist die Annahme überlegenen Wissens des Veräußerers, der nicht zugleich Hersteller ist, hinsichtlich datenschutzrechtlicher Vorgaben, die der Erwerber erfüllen muss, als Tatbestandsvoraussetzung einer Beratungs- und Aufklärungspflicht in der Praxis regelmäßig erheblich problematisch. Eine Erkundigungspflicht des Veräußerers, der nicht zugleich Hersteller ist, scheidet schon bereits mangels dogmatischer Grundlage aus.40