Bundesrat: Anbieter wie Microsoft sollen für DSGVO-Einhaltung haften
Die Länder fordern, Hersteller müssten selbst gewährleisten, dass von ihnen in Verkehr gebrachte Produkte datenschutzkonform sind. Das würde Nutzer entlasten.
(Bild: mixmagic/Shutterstock.com)
Der Bundesrat hält mehr als fünf Jahre nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) eine umfassende Reform des Normenwerks für angebracht. In einer am Freitag beschlossenen Stellungnahme bringt er auf Antrag Bayerns weitgehende Neuerungen ins Spiel. Seiner Ansicht nach sollen Software-Hersteller etwa "selbst gewährleisten müssen, dass die von ihnen in Verkehr gebrachten Produkte datenschutzkonform sind". Dies würde alle Anwender inklusive kleiner und mittlerer Unternehmen (KMU) entlasten. Ein paralleler Gedanke finde sich bereits in geplanten EU-Gesetzen wie dem Cyber Resilience Act oder der KI-Verordnung.
Datensicherheitsstandards "ab Werk"
Untersuchungen hiesiger oder europäischer Datenschützer zu Microsofts Cloud-gestütztem Office-Paket MS 365 belegten mehrfach, "dass Verantwortliche angesichts der unzureichenden Berücksichtigung europäischer Datenschutzstandards in Produkten und Diensten global agierender Hersteller oder Anbieter vor beträchtlichen Herausforderungen stehen", begründet die Länderkammer ihre Initiative. Das Prinzip Privacy by Design sei zwar bereits in der DSGVO angelegt, reiche aber offenbar nicht aus.
Hersteller sollen dem Bundesrat zufolge daher ihre Produkte und Dienste verpflichtend zertifizieren lassen, Datensicherheitsstandards "ab Werk" aktivieren oder im Falle etwaiger Transfers persönlicher Informationen in Drittstaaten "hinreichende Garantien" vorsehen. Die geforderte gesetzliche "Konformitätsverpflichtung von Herstellern oder Anbietern von IT-Dienstleistungen" würde insoweit auch "einen nachhaltigen Beitrag zu mehr Rechtssicherheit und datenschutzgerechter Digitalisierung leisten und den Vollzug durch die Datenschutzaufsichtsbehörden effektivieren".
Strahlkraft der DSGVO – aber zu viel Bürokratie
Aktuell verweisen die Länder auf Probleme, mit denen sich "Verantwortliche und Auftragsverarbeiter beispielsweise im Rahmen ihrer Rechenschaftspflicht" konfrontiert sähen. Auch die "Konzentration der Marktmacht bestimmter Software-Hersteller" gebe Anlass zur Sorge. Ein Anknüpfen der datenschutzrechtlichen Haftung allein bei Nutzern von Programmen und Auftragsverarbeitern greife daher zu kurz.
Generell ist der Bundesrat der Ansicht, dass sich die DSGVO "bewährt hat und zur europaweiten Harmonisierung datenschutzrechtlicher Standards" beigetragen habe. Dazu komme auch eine internationale Ausstrahlungswirkung. Dies habe den Schutz der Grundrechte verbessert und das Bewusstsein "beim Umgang mit personenbezogenen Daten sowohl im öffentlichen als auch privaten Bereich maßgeblich" vergrößert. Gleichwohl stehe das Datenschutzrecht in Anbetracht aktueller wie künftiger technologischer, wirtschaftlicher, rechtlicher und zivilgesellschaftlicher Entwicklungen vielen Herausforderungen gegenüber". Die Länder verweisen hier etwa auf "das Aufkommen von Systemen künstlicher Intelligenz" (KI). Dazu trete der zunehmend "aus Forschung, Wirtschaft, Gesellschaft und öffentlichem Bereich kommunizierte Wunsch", vorhandene Messwerte "zu unterschiedlichsten innovationsfördernden, datenaltruistischen oder anderen legitimen Zwecken zu nutzen".
Kein "unantastbarer Geltungsanspruch" der DSGVO
Der Bundesrat will so deutlich machen, dass die DSGVO nicht einen "unantastbaren Geltungsanspruch im Detail" zum Ausdruck bringe. Es soll ausgelotet werden, ob der Datenschutz angesichts der digitalen Transformation "durch risikogerechte bereichsspezifische Regelungen effektiver, rechtssicherer und praxisgerechter auszugestalten" sei. Die Rechtslage sei vor allem für KMU und ehrenamtlich Tätige noch unklar und nicht auf deren Bedürfnisse ausgerichtet. Der praktische Aufwand für die Erfüllung von Anforderungen in Kernbereichen der DSGVO wie dem Grundsatz der Rechenschaftspflicht oder Informationspflichten stehe "vielfach im Missverhältnis zum erkennbaren Mehrwert für Betroffene".
Hintergrund ist, dass die EU-Kommission noch bis zum 8. Februar eine Konsultation zur DSGVO durchführt. Sie will damit ihren für Mitte 2024 anstehenden zweiten Evaluierungsbericht vorbereiten. Die Länderkammer bittet die Kommission konkret auch zu prüfen, ob "Qualitätsanforderungen für automatisierte Entscheidungen etabliert und insbesondere ein wirksamer Schutz vor Diskriminierung eingerichtet werden könnten". Sie erhofft sich ferner Hinweise, welche Anforderungen an eine Anonymisierung zu richten und wie diese praxistauglich umsetzbar sind.
(bme)
