Privacy by Design und Privacy by Default

Welche Neuerung bringen die beiden Grundsätze? Welche zivilrechtlichen Konsequenzen ergeben sich hieraus?

Eine wichtige Neuerung, die die Datenschutzgrundverordnung (DSGVO) im Mai 2018 mit sich bringen wird, sind die Grundsätze zum Privacy by design bzw Privacy by default. Diese Grundsätze verpflichten die Verantwortlichen zu Datenschutz durch Technikgestaltung bzw. durch datenschutzfreundliche Voreinstellungen, in dem sie geeignete technische und organisatorische Maßnahmen treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden, so Art. 25 Abs. 1, Abs.2 DSGVO. Mit den genannten Datenschutzgrundsätzen ist beispielsweise die Datenminimierung des Art. 5 Abs. 1 lit. c DSGVO gemeint, der vorschreibt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. 

Noch Fragen?
Wir bieten Hilfe zu allen Fragen rund um die Themen Privacy by Design und Privacy by Default
0228 - 74 89 80

Pflichteninhalt der des Art. 25 DSGVO

Normadressat

Adressiert wird durch die Verpflichtungen des Art. 25 DSGVO ausschließlich der Verantwortliche. Darunter ist im Sinne des Art. 4 Abs. 1 Nr. 7 DSGVO diejenige Stelle zu verstehen, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Die Hersteller von Produkten, Diensten und Anwendungen sind also nicht unmittelbar von der Pflicht zum Datenschutz durch Technikgestaltung betroffen. Gleichsam liegt dem Art. 25 DSGVO aber der Gedanke zugrunde, dass die unmittelbare Verpflichtung des Verantwortlichen zu einer Nachfrage beim Hersteller nach datenschutzrechtlich zulässigen Produkten führt und damit auch die Hersteller mittelbar von den Regelungen des Art. 25 DSGVO eingeholt werden.

Inhalt der Verpflichtungen

Das Konzept, dass sich in der Verpflichtungen zum Datenschutz durch Technikgestaltung niederschlägt, denkt präventiv und betrachtet Technik nicht nur als Regelungsgegenstand des Datenschutzes, sondern vielmehr als potentielles Durchsetzungswerkzeug, indem die Vorgaben des Datenschutzes bereits in die Programmierung und Konzipierung von Datenverarbeitungsvorgängen eingebunden und berücksichtigt werden. So hat der Verpflichtete bereits bei der Produktentwicklung, der Einführung von Systemen oder der Gestaltung von Prozessen und im Betrieb geeignete technischen und organisatorischen Maßnahmen vorzusehen, um die Datenschutzgrundsätze (Bsp. Datenminimierung) umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen. Technische Maßnahmen meint in diesem Zusammenhang sowohl physische Vorkehrungen, die sich auf den Vorgang der Datenverarbeitung erstrecken (bauliche Maßnahmen, um den Zutritt unbefugter zu verhindern) als auch Vorkehrungen, die den Software- und Hardwareprozess der Verarbeitung datenschutzkonform ausgestalten. Organisatorische Maßnahmen hingegen umfassen hauptsächlich äußere Rahmenbedingungen des technischen Verarbeitungsprozesses. Auch die Psyeudonymisierung und Anonymisierung von Daten gilt als eine solche Maßnahme, ebenso wie die systemseitige Gewährleistung, dass bereits erfasste Daten wieder gelöscht werden können. Genauso zielt Art. 25 DSGVO darauf ab, dass die technische Umsetzung des Widerspruchrechts realisiert wird, sodass der Betroffene seinen Widerspruch mittels automatisierter Verfahren ausüben kann.

Die Verpflichtung zum Datenschutz durch datenschutzfreundliche Voreinstellungen ist derart, umzusetzen, dass durch Voreinstellungen grundsätzlich nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Das bedeutet, das System muss in seinen Standardeinstellungen so eingestellt und konfiguriert sein, dass ein datenschutzkonformes Arbeiten ermöglicht wird. Für den Hersteller bedeutet dies, dass die Produkte so zur Verfügung gestellt werden müssen, dass datenschutzfreundliche Einstellungen bereits eingepflegt und nachvollziehbar dokumentiert sind.

Vergleich mit bisheriger Regelung im BDSG und DSRL

Das Konzept des Privacy by Design und Privacy by Default ist in der DSGVO nicht völlig neu, sondern war bereits in der Datenschutzrichtlinie angelegt: Auch Art. 17 RL 95/46/EG legte den Verantwortlichen die Pflicht auf, geeignete technische und organisatorische Maßnahmen zu ergreifen, die zum Schutz gegen unrechtmäßige Verarbeitung erforderlich sind. Hinsichtlich der Klarheit und Verbindlichkeit bleibt Art. 17 DSRL weit hinter den Regelungen der DSGVO zurück, denn Art. 25 DSGVO verpflichtet zur Umsetzung der Datenschutzgrundsätze, während die DSRL zwar auch Datenschutzgrundsätze in ihrem Art. 6 enthält, diese aber nicht durch eine vergleichbare Formulierung zur Umsetzung gebracht werden. Ähnlich verhält es sich mit den deutschen Umsetzungsnormen der §§ 3a, 9 BDSG. Erstmals wird auch eine durch Art. 25 DSGVO eine echte Rechtspflicht mit Verpflichtungsqualität eingeführt, denn die Aufsichtsbehörde kann über Art. 58 Abs. 2 lit. d DSGVO die Einhaltung und Umsetzung anordnen, ebenso kann den Verantwortlichen im Fall eines Verstoßes ein Bußgeld treffen.

Mögliche Konsequenzen für das Gewährleistungsrecht

Durch die verbindlichen Verpflichtungen des Art. 25 DSGVO tritt nun noch dringender als zuvor die Frage auf, ob ein Software-Produkt, das den Grundsätzen des Datenschutzrechts nicht genügt, mit einem Sachmangel behaftet ist und Gewährleistungsansprüche auslöst. Abhängig davon, ob sich der Vertragsinhalt auf die dauerhafte Überlassung von Standardsoftware ohne Anpassungsarbeiten oder die Erstellung von Individualsoftware mit einem konkreten Funktionsumfang bezieht, handelt es sich entweder um einen Kaufvertrag oder einen Werkvertrag, so dass sich die Beurteilung, ob ein Mangel vorliegt nach dem Sachmangelbegriff der §§ 434, 633 BGB richtet.

§§ 434 Abs. 1 Satz 1, 633 Abs. 2 Satz 1 BGB

Vereinbarte Beschaffenheit Eine Beschaffenheitsvereinbarung der Parteien nach §§ 434 Abs. 1 Satz 1, 633 Abs. 2 Satz 1 BGB würde vorliegen, wenn die Parteien sich ausdrücklich vertraglich darüber einigen, welche personenbezogenen Daten in welcher Weise über die Software verarbeitet werden sollen und dass die Software den datenschutzrechtliche Vorgaben genügen soll. Fehlt es der Software dann aber an der Erfüllung dieser datenschutzrechtlichen Voraussetzungen, liegt zwar ein Sachmangel vor, dieser ergibt sich aber nicht unmittelbar aus Ausstrahlungswirkung des Art. 25 DSGVO, sondern maßgeblich aus der parteilich vereinbarten Beschaffenheit.

§§ 434 Abs. 1 Satz 2 Nr. 1, 633 Abs. 2 Satz 2 Nr. 1 BGB

Ein Mangel könnte auch nach dem subjektiven Fehlerbegriff der §§ 434 Abs. 1 Satz 2 Nr. 1, 633 Abs. 2 Satz 2 Nr. 1 BGB auch dann vorliegen, wenn sich die Software nicht für die nach dem Vertrag vorausgesetzte Verwendung eignet. In diesem Zusammenhang kann auch die fehlende Einhaltung von gesetzlichen Ge- oder Verboten durch den Vertragsgegenstand die vertraglich vorausgesetzte Verwendung entfallen lassen. Dieser Grundsatz wurde vom OLG Hamm (OLG Hamm, Urt. v. 14.11.1994 - 31 U 105/94) bereits auch auf Softwareprodukte übertragen, sodass ein Softwareprodukt auch dann mangelhaft sein kann, wenn es grundsätzlich funktionsfähig ist, aber nicht die gesetzlichen Anforderungen erfüllt. Dies wird nach h.M. jedoch dahingehend wieder eingeschränkt, dass die Parteien die konkrete Verwendung zur Datenverarbeitung in der Vertragsverhandlung hätten erwähnen müssen, damit die gesetzlichen Anforderungen des Datenschutzrechts für den Anbieter erkennbar sind.

§§ 434 Abs. 1 Satz 2 Nr. 2, 633 Abs. 2 Nr. 2 BGB: Übliche Beschaffenheit

Auch die für die Mangelfreiheit vorausgesetzte übliche Beschaffenheit kann sich aus den rechtlichen Vorgaben des Datenschutzes ergeben. Werden diese Vorgaben von der Software nicht realisiert, entfällt die Eignung für den gewöhnlichen Gebrauch. Die vorausgesetzte Verwendung der personenbezogenen Datenverarbeitung muss sich aber aus dem Vertrag ergeben, sodass ein Sachmangel wohl nur dann vorliegt, wenn die Software ihrer Funktionsweise nach auf die Verarbeitung personenbezogener Daten angelegt ist.

Fazit

Eine Software, die die nach der vertraglich vorausgesetzten Verwendung oder der gewöhnlichen Beschaffenheit zur Verarbeitung personenbezogener Daten genutzt wird und erkennbar von einem datenschutzrechtlich Verantwortlichen erworben wird, muss den Anforderungen des Art. 25 DSGVO entsprechen. Damit wird über den Umweg der vertraglichen Leistungspflicht die Verpflichtung indirekt auch auf Hersteller ausgeweitet. Ob insoweit ein Mangel der Software, der den Weg zu de Gewährleistungsrechten eröffnet, begründet werden kann, muss im Einzelfall geprüft werden.