Bundesrat fordert: Schon Produkte sollen datenschutzkonform sein

Bringen Unternehmen eine datenschutzwidrige Software auf den Markt und verwenden Nutzer diese dann, haften aktuellem nur letztere für Datenschutzverletzungen. Deshalb fordert der Bundesrat mit Beschluss vom 02.02.2024, dass schon die Produkte datenschutzkonform sind und anderenfalls auch die Hersteller haften. Die Datenschutzgrundverordnung (DSGVO) ist nun schon mehr als fünf Jahren ein zentraler rechtlicher Rahmen für den Schutz personenbezogener Daten. Mit seiner Forderung spricht sich der Bundesrat somit für eine tiefgreifende Reform des Datenschutzrechts aus.

Hintergrund und aktuelle Herausforderungen

Immer wieder kommt das Problem auf, dass IT-Systeme schon von Werk aus nicht den datenschutzrechtlichen Vorgaben entsprechen. Erst kürzlich ging es um das neue Outlook, dass von vielen als nicht datenschutzkonform eingestuft wurde mit der Folge, dass sogar Empfehlungen zur Nicht-Verwendung etwa vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ausgesprochen wurden.

Wird ein solches Produkt dann entsprechend datenschutzwidrig verwendet, haftet nicht der Hersteller, sondern nur der Nutzer. Dies stellt „Verantwortliche […] vor beträchtliche Herausforderungen“. Hinzukommt, dass eine Inanspruchnahme nur der Nutzer aufgrund der konzentrierten Marktmacht einiger wenige Hersteller nicht ausreiche.

Im Übrigen erfolgt die Stellungnahme auch vor dem Hintergrund des vorgesehenen Berichts der Europäischen Kommission über die Bewertung und Überprüfung der DSGVO. Die Frist zur Äußerung hierzu endet am 08.02.2024.

Forderungen des Bundesrats

Die auf einem Antrag Bayerns beruhende Bundesrat-Stellungnahme fordert nun, dass schon die in den Verkehr gebrachten Produkte datenschutzkonform sein sollen. Diese Reform zielt darauf ab, die Datenschutzverantwortlichkeiten zu verschärfen und die Compliance für alle Beteiligten, einschließlich Software-Hersteller, zu verbessern. Software-Entwickler wären dann dazu verpflichtet mittels einer Zertifizierung hinreichende Datenschutzstandards von Anfang an zu gewährleisten.

Insgesamt könne dies eine Entlastung aller Nutzer also auch kleiner und mittlerer Unternehmen herbeiführen. Vergleichbare Regelungen fände man auch in der geplanten KI-Verordnung und dem vorgesehenen Cyber-Resilience-Act.

DSGVO als Rahmen für die digitale Transformation

Trotz der aktuellen Herausforderungen betont der Bundesrat, dass die DSGVO ihre Bewährungsprobe bestanden hat und zu einer europaweiten „Harmonisierung datenschutzrechtlicher Standards“ beigetragen hat. Das spreche der DSGVO allerdings keinen „unantastbaren Geltungsanspruch im Detail“ zu. Die Forderungen nach einer umfassenden Reform sollen jedoch sicherstellen, dass die DSGVO weiterhin ein effektives Instrument bleibt, insbesondere vor dem Hintergrund neuer „technologischer, wirtschaftlicher, rechtlicher und zivilgesellschaftlicher Entwicklungen“. Das beinhalte insbesondere jüngste Entwicklungen im Bereich der künstlichen Intelligenz.

Fazit

Die Forderungen des Bundesrats, dass schon die Produkte datenschutzkonform ausgestaltet sein sollen, kommen nicht überraschend. Gerade in jüngster Zeit standen Hersteller solcher Softwares immer wieder in Kritik. Eine wie hier gewünschte Regelung könnte für eine erhebliche Entlastung von kleinen und mittleren Unternehmen sorgen und zudem die Datenschutzlandschaft insgesamt deutlich verbessern. Die DSGVO, die in den letzten Jahren eine wichtige Rolle bei der Stärkung der Datenschutzrechte gespielt hat, könnte durch eine umfassende Reform an die Anforderungen der digitalen Transformation angepasst werden. Spannend bleibt es vor allem vor dem Hintergrund, wie die Evaluation der Europäischen Kommission ausfallen wird.