Читать книгу Festschrift für Jürgen Taeger - Группа авторов - Страница 41

Kein Adressat von Art. 25 DS-GVO sind Hersteller, Entwickler und Anbieter von technischen Produkten, Systemen und Diensten, solange sie nicht selbst „Verantwortlicher“ einer Verarbeitung sind.18 Dies ist der Fall, wenn sie über das Produkt, System bzw. den Dienst auch selber personenbezogene Daten erheben und verarbeiten. Ausweislich des EG 78 sollen sie allenfalls ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung ihrer Produkte, Systeme, Services und Anwendungen zu berücksichtigen. Der Gesetzgeber hat also erkannt, dass die Verantwortlichen in einer Abhängigkeit zu den Herstellern und Entwicklern von Datenverarbeitungstools stehen.19 Sie determinieren zwar die Grundbedingungen, innerhalb derer sich die Datenverarbeitung vollziehen kann, entscheiden aber nicht eigenverantwortlich über die konkreten Zwecke und Mittel.20 Dieser Umstand zieht vor dem Hintergrund der Effektivität des Datenschutzes Kritik nach sich. Die Konferenz der Datenschutzbehörden des Bundes und der Länder ist der Auffassung, der Adressatenkreis des Art. 25 DS-GVO sei nicht weitreichend genug, obwohl er Pflichten enthalte, die sich durchaus auch an Hersteller richten. Konsequenz hieraus sei zum einen ein zu niedriges Datenschutzniveau und zum anderen eine übermäßige Belastung der Verantwortlichen, da diese die Defizite ausgleichen müssten.21 Bis zu einer entsprechenden Anpassung der DS-GVO hat diese nicht unberechtigte Kritik allerdings keine praktischen Auswirkungen. Letztlich scheint es ohnehin so, als könnten Hersteller nur am Markt bestehen, wenn sie die Vorgaben von Art. 25 Abs. 1 DS-GVO umsetzen.22

Die beschriebenen Abgrenzungsfragen stellen sich praktisch beispielsweise im Umfeld der Entwicklung von Automobilen: Wie verhält sich der Hersteller von Kommunikationssystemen im Auto in Bezug auf die Daten, die der Endkunde durch die Benutzung z.B. eines Navigationssystems generiert? Ist er als Verantwortlicher anzusehen, unterliegt er den Anforderungen von Art. 25 DS-GVO direkt, fungiert er nur als Hersteller außerhalb des Anwendungsbereichs der Vorschrift, hat er mittelbar deren Vorgaben zu erfüllen. Auch Software as a Service-Provider sammeln Nutzungs- und Performancedaten, die in den von ihnen angebotenen Clouds abgelegt werden. Hier stellt sich ebenfalls die Frage, ob sie Auftragsverarbeiter oder (gemeinsam) Verantwortliche der Datenverarbeitung sind.