In diesem Abschnitt wird erörtert, inwiefern die Datenschutz-Grundverordnung ausschließlich Pflichten für die Verantwortlichen (und die Auftragsverarbeiter) enthält und wie sich dies indirekt auf Technologieanbieter auswirken kann.
Datenschutz durch Technikgestaltungkann so verstanden werden, dass der Datenschutz nicht nur für Verarbeitungsvorgänge in der operativen Phase berücksichtigt wird, sondern auch bereits in der Planungs- und Umsetzungsphase.Ganz allgemein könnte man den „Datenschutz durch Technikgestaltung“ als eine Methode betrachten, die den Datenschutz in allen Phasen des Lebenszyklus einer Verarbeitungstätigkeit berücksichtigt[1], von der Konzeption über die Planung und Durchführung bis hin zur betrieblichen Nutzung und dem endgültigen Abbau.
Am gesamten Lebenszyklus sind in der Regel auch andere Akteure als der Verantwortliche und der Auftragsverarbeiter beteiligt.Am wichtigsten ist, dass viele Entscheidungen, die sich auf die Datenschutzaspekte einer Verarbeitungstätigkeit auswirken, von Technologieanbietern getroffen werden, die häufig Software und Systeme entwerfen und implementieren.Wenn Technologieanbieter in die Entwicklung von Produkten und Dienstleistungen investieren, die dann auf dem Markt angeboten werden, tragen sie auch dazu bei, den Stand der Technik für eine bestimmte Art der Verarbeitung personenbezogener Daten zu definieren.
Im Gegensatz dazu werden in der Datenschutz-Grundverordnung Pflichten für die Verantwortlichen und die Auftragsverarbeiter festgelegt.Sie enthält keine direkte Verpflichtung für Technologieanbieter.In seiner Vorläufigen Stellungnahme zu Schutz der Privatsphäre durch Technikgestaltungweist der EDSB auf diese Tatsache hin, indem er Folgendes feststellt:[2]
„Eine schwerwiegende Einschränkung der Pflichten gemäß Artikel 25 ist darin zu sehen, dass diese nur für die für die Verarbeitung Verantwortlichen gelten, nicht hingegen für die Entwickler dieser Produkte und Technologien, die zur Verarbeitung personenbezogener eingesetzt werden. Im verfügenden Teil der DSGVO findet sich keine Verpflichtung für Anbieter von Produkten und Technologie.“
Da die DSGVO als Ganzes und insbesondere Art. 25 ausschließlich Pflichten für die Verantwortlichen (und die Auftragsverarbeiter) umfasst, ist der Anwendungsbereich dieses Abschnitts entsprechend begrenzt.
Obwohl es keine rechtlichen Pflichten für Technologieanbieter gibt, hat Art. 25 DSGVO dennoch indirekt Einfluss auf sie.Erwägungsgrund 78 DSGVO deutet dies an, indem er Folgendes feststellt[3]: „Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.“Wie die Beeinflussung von Technologieanbietern erfolgt, wird in der Folge näher beschrieben.
Das Argument konzentriert sich auf Software, die von einem Technologieanbieter erstellt wurde.Es gibt zwei Möglichkeiten, wie ein Verantwortlicher eine solche Software erhalten kann:
- Als Ergebnis einer kundenspezifischen Entwicklung oder
- durch den Erwerb der auf dem Markt befindlichen Software.
Im ersten Fall wird der Entwurf und die Entwicklung der Software von dem Verantwortlichen veranlasst und der Technologieanbieter kann entweder intern oder extern sein; im zweiten Fall gibt es eine Vielzahl von Verantwortlichen mit ähnlichen Bedürfnissen, die eine Marktnachfrage nach bestimmten Arten von Software schaffen.Die Konzeption und Entwicklung der Software wird dann vom Technologieanbieter mit dem Ziel angestoßen, eine wettbewerbsfähige Position auf dem Markt zu erreichen.
Die technischen Einzelheiten der Softwareentwicklung sind für die Verantwortlichen und ihre Vertreter in der Regel unzugänglich.Daher beschränkt sich in beiden Fällen die Interaktion zwischen Prüfern und Technologieanbietern auf die Kommunikation über Anforderungen.Die Rolle der Anforderungen in den beiden Fällen ist wie folgt:
- Bei der kundenspezifischen Entwicklung sind die Anforderungen das wichtigste Instrument für die Verantwortlichen, um die Ziele des Entwicklungsprozesses zu formulieren.Die Anforderungen werden auch verwendet, um festzustellen, ob der Entwicklungsprozess erfolgreich abgeschlossen wurde.Dies geschieht bei der Abnahmeprüfung.
- Wenn Verantwortliche Software kaufen, benötigen sie Anforderungen, um aus dem Marktangebot eine geeignete Software auszuwählen.Bei Ausschreibungen können solche Anforderungen den Technologieanbietern mitgeteilt werden, um Angebote einzuholen, die den Anforderungen entsprechen; beim Kauf von Software ohne Ausschreibung müssen die Verantwortlichen prüfen, ob verschiedene Softwareangebote die Anforderungen erfüllen.In beiden Fällen ist die Validierung der Angebote in Bezug auf die Anforderungen ein wichtiger Faktor für die Kaufentscheidung des Verantwortlichen.
Während also die Pflichten für Technologieanbieter nicht in den Anwendungsbereich von Art. 25 fallen, sind die Verantwortlichen verpflichtet, angemessene Datenschutzanforderungen festzulegen, und tragen die volle Verantwortung für die von ihnen eingesetzte Software.Bei der Validierung der Software im Hinblick auf die Anforderungen können der Stand der Technik und die Kosten der Implementierung berücksichtigt werden (siehe Artikel 25 DSGVO und spätere Diskussion).Das Fehlen oder die überhöhten Kosten angemessener Software auf dem Markt können jedoch nicht als Rechtfertigung für den Einsatz unangemessener Software gelten.
Quellenangaben
1Der Begriff Verarbeitungstätigkeit wird hier im Sinne von Art. 30 DSGVOVerzeichnis von Verarbeitungstätigkeiten und Art. 4 Absatz 16 Buchstabe bDSGVO verwendet.In beiden Fällen ist eine Verarbeitungstätigkeit die Grundeinheit einer Unternehmung eines Verantwortlichen, die die Verarbeitung personenbezogener Daten beinhaltet. ↑
2Seiten 7 und 8, Seitennummer 37. ↑
3Siehe Satz 5. ↑