iX 2/2020
S. 3
Editorial
Februar 2020

Sprengstoff 2020

Der baden-württembergische Daten­schutzbeauftragte Stefan Brink will zum 31. Januar 2020 seinen dienstlichen Twitter-Account ­löschen. Kein alltäglicher Vorgang, denn als Begründung verweist er auf ein viel beachtetes Urteil des Bundesverwaltungsgerichts, demzufolge der Betreiber einer Fanpage in einem sozialen Netzwerk für die Datenverarbeitungsvorgänge beim Aufruf der Webseite ver­antwortlich ist. Zwar ging es in dem Verfahren um Facebook, Experten sehen die Entscheidung aber als übertragbar auf andere soziale Netzwerke an.

Da kann eine Datenschutzbehörde ja kaum mit schlechtem Beispiel vorangehen. Vermutlich werden weitere nach­ziehen und zahlreiche andere Behörden folgen. Manche mutmaßen bereits, dass Datenschützer den Abschied von Twitter und Co. auch bald von Unternehmen fordern könnten.

Das Jahr 2020 verspricht in datenschutzrechtlicher Sicht aber noch mehr Spannung als nur die Frage der rechtskonformen Nutzung sozialer Netzwerke durch Unternehmen und Behörden. Anfang November 2019 legten die Datenschutzbeauftragten des Bundes und der Länder, die sogenannte Datenschutzkonferenz, ihren ersten Anwendungsbericht zur DSGVO vor (siehe S. 86).

Eine der Forderungen in diesem Papier hat es in sich: Die Datenschützer fordern, die DSGVO um eine Haftung von Software- und Hardwareherstellern zu ergänzen. Sie schreiben: „Es sollten auch Hersteller, Lieferanten, Importeure, Verkäufer usw. in die Pflicht genommen werden, so wie dies im Produkthaftungsrecht […] bereits der Fall ist.“ Als Argument ziehen sie den Grundsatz des „Datenschutzes durch Technikgestaltung“ aus Art. 25 DSGVO heran.

Die Datenschutzkonferenz weist zu Recht darauf hin, dass es den Verantwortlichen – also etwa Unternehmen, die personenbezogene Daten von Arbeitnehmern oder Kunden verarbeiten – nicht zugemutet werden kann, für die datenschutzkonforme Entwicklung oder Programmierung der von ihnen eingesetzten Systeme einzustehen.

Diese Forderung ist ein Paradigmenwechsel im Datenschutzrecht, denn durch sie wird Verantwortung auf einen Zeitpunkt vorverlagert, zu dem noch gar keine personenbezogenen Daten verarbeitet werden – nämlich auf die Gestaltung, Entwicklung, Programmierung und den Vertrieb von Produkten, die anschließend solche Daten verarbeiten. Eine solche Haftung zielt also letztlich darauf, dass Hersteller mit ihrer Software und Hardware potenziell datenschutzwidrige Verarbeitungen ermöglichen oder fördern.

Das ist nur konsequent, denn es ist deutlich effektiver, Anbieter wie Microsoft und Co., aber auch zahlreiche Start-ups an die Kandare zu nehmen. Nach jetzigem Stand versprechen diese Unternehmen die effiziente Verarbeitung personenbezogener Daten, lassen ihre Kunden aber bezüglich der Datenschutz-Com­pliance (zumindest juristisch) alleine.

Jetzt müssen wir nur noch hoffen, dass sich die deutsche Datenschutzkonferenz in der auf EU-Ebene erforderlichen Abstimmung über Änderungen an der DSGVO durchsetzen kann. Immerhin trifft sie mit ihrem Erfahrungsbericht den Puls der Zeit und profiliert sich im EU-Kontext als Treiber der Weiterentwicklung des Datenschutzes. 2020 bleibt also in datenschutzrechtlicher Sicht spannend.

Tobias Haar, Rechtsanwalt, LL.M. (Rechtsinformatik), MBA,

ist Rechtsanwalt mit Schwerpunkt IT-Recht bei Vogel & Partner in Karlsruhe.

Kommentare lesen (1 Beitrag)

Leserbrief schreiben

Artikel als PDF herunterladen

Auf Facebook teilen

Auf X teilen