Die Forderung nach Datenschutz durch Technikgestaltung hat eine zentrale Bedeutung in der Datenschutz-Grundverordnung (DSGVO). So manches Software-Produkt fällt negativ auf, weil Anforderungen aus dem Datenschutz bei der Entwicklung nicht beachtet wurden.
Die DSGVO richtet sich aktuell nur an die Verantwortlichen
Tatsächlich aber richtet sich die DSGVO an die Verantwortlichen in den jeweiligen Organisationen, die personenbezogene Daten verarbeiten (Verarbeiter) und an die Unternehmen, die personenbezogene Daten im Auftrag verarbeiten (Auftragsverarbeiter). Artikel 25 DSGVO adressiert somit primär den Verantwortlichen und nicht etwa die Hersteller der Produkte, die von Beginn an durch entsprechende Entwicklungsvorgaben datenschutzgerecht konzipiert sein sollen. Natürlich kann der Verantwortliche, z.B. die Geschäftsleitung, entsprechende Forderungen im Rahmen des Beschaffungsprozesses (z.B. vertraglich) abbilden. Je nach Marktposition des Herstellers und der Bedeutung des Kunden für den Hersteller wird sich dies aber vielfach nicht einfach durchsetzen lassen.
Hersteller müssen (auch) Adressaten der DSGVO werden
Erwägungsgrund 78 zur DSGVO lässt eine Verpflichtung der Hersteller (zumindest) anklingen:
… In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.
Die Formulierung „sollten ermutigt werden“ verleitet zu dem Schluss, eine (Mit-)verantwortung der Hersteller als „unverbindliche Empfehlung“ zu interpretieren. Konsequent hat deshalb die Datenschutzkonferenz (DSK), abrufbar unter diesem Link, hierzu ausgeführt:
Die DSGVO stellt mit „data protection by design / data protection by default“ Grundsätze auf, die sich an Hersteller richten, nimmt Hersteller aber nicht als solche in die Pflicht. Die Forderung nach „data protection by design/data protection by default“ läuft, wenn sie ausschließlich an die Verantwortlichen gerichtet wird, häufig ins Leere.
Ferner fordert Erw.Gr. 78 zu Art. 25 DSGVO, dass den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen auch bei öffentlichen Ausschreibungen Rechnung zu tragen ist. Dies dürfte nicht nur bei der Entwicklung von Individual-Software relevant sein, sondern auch bei Standard-Produkten, zumindest, soweit mehrere Hersteller bzw. Produkte zur Wahl stehen bzw. Einflüsse auf die Implementierung bzw. Konfiguration möglich sind.
Über die Position der DSK hinausgehend vertritt der Landesbeauftragte für den Datenschutz Baden-Württemberg die Auffassung, dass die Durchsetzung einer Verordnung, die auch die Hersteller adressiert, nur dann möglich wäre, wenn die Datenschutz-Aufsichtsbehörden auch zur Kontrolle der Einhaltung des Datenschutzes bei Herstellern, Importeure, Lieferanten, etc. befugt wären.
Privacy by design am Beispiel Webcam-Abdeckung
Die für die Verarbeitung Verantwortlichen müssen die Risiken jeder Verarbeitung bewerten und die geeigneten Schutzmaßnahmen zur Einhaltung der DSGVO auswählen. Ein Zurückbleiben hinter den Anforderungen löst also stets eine Begründungspflicht aus.
Die Umsetzung von Privacy by Design kann schon im Kleinen beginnen, wie das Beispiel der Laptop-Kameraabdeckungen zeigt: Viele Anwender rüsten ihre Laptop-Kameras nach, um einer heimlichen Beobachtung zu entgehen (etwa, nachdem die eingebaute Webcam gehackt wurde und dann ohne Wissen und Wollen des Benutzers aktiviert werden kann). An diesem Beispiel zeigt sich: Nachträgliche Webcam-Abdeckungen sind kein Notbehelf, sondern die nachträgliche Umsetzung von Schutzmaßnahmen, die man von den Herstellern nach geltendem Recht nicht verlangen kann. Geradezu konträr zu dem Schutzziel wirkt daher die Warnung eines Laptop-Herstellers vor dem Nachrüsten im Hinblick auf mögliche Gerätedefekte (vgl. hier).
Wäre es daher nicht sinnvoll, wenn Hersteller aufgefordert bzw. verpflichtet werden sollten, derartige Technologien zum Schutz der Rechte Betroffener bei der Entwicklung und Gestaltung solcher Produkte zu berücksichtigen, obwohl sie nicht für die mit diesen Produkten durchgeführte Verarbeitung verantwortlich sind? Richtet man den Blick auf die Anforderungen in anderen Bereichen, wird deutlich, welche Einflussmöglichkeiten der Gesetzgeber hat, wenn er denn möchte (z.B. verpflichtende Assistenzsysteme in neuen Fahrzeugen).
Nicht immer ist es so einfach und kostengünstig möglich wie bei einer Webcam-Abdeckung oder einem Blickschutz-Filter gegen neugierige Einblicke (einige Hersteller integrierten diesen schon vor längerem bei einigen Modellen, wie bei heise.de berichtet).
Nach Auffassung der Aufsichtsbehörden für den Datenschutz bestehen nicht nur hier erhebliche Lücken. Bei dem Versuch, dezentral Mängel zu beseitigen, die zentral verursacht wurden (z.B. durch mangelndes Geräte-Design) komme es zu einer Potenzierung von technischem und bürokratischem Aufwand. Dies belaste dann alle Verantwortlichen und Auftragsverarbeiter.
Fazit
Die Möglichkeiten der Verantwortlichen wie der Aufsichtsbehörden zur Einwirkung auf das Design von Hard- und Software sind beschränkt. Gefragt ist hier der EU-Gesetzgeber, die entsprechenden Verpflichtungen der Hersteller zur Umsetzung der Schutzziele im technischen Datenschutz zu schaffen. So lange dies nicht der Fall ist, liegt die Verantwortung allein bei den Verwendern bzw. Auftragsverarbeitern, die Maßnahmen nach dem Stand der Technik zu kennen und im Rahmen Ihrer Verhältnismäßigkeits- und Risikoprüfung zu dokumentieren und umzusetzen.