Читать книгу Festschrift für Jürgen Taeger - Группа авторов - Страница 43

Zeitlich gesehen beginnt das Stadium, in dem die Voraussetzungen von Art. 25 DS-GVO zu erfüllen sind, lange vor dem Beginn der jeweiligen Verarbeitung durch das jeweils datenverarbeitende Produkt (Hard- und/oder Software), System oder Dienst in dessen Entwicklungs- und Herstellungsphase (Design & Build).23 Damit verlagert sich das Regelungsregime der Vorschrift in ein Stadium vor Datenverarbeitung und betrifft in aller Regel mit dem Hersteller ein Rechtssubjekt, das eigentlich nicht bzw. nicht unmittelbar von der DS-GVO erfasst ist (Art. 2 Abs. 1 DS-GVO).24

Im Design-and-Build-Stadium können sowohl die Vorgaben von Art. 25 Abs. 1 DS-GVO als auch Art. 25 Abs. 2 DS-GVO zur Anwendung gelangen.

Die Frage nach der Geeignetheit technischer und organisatorischer Maßnahmen i.S.v. Art. 25 Abs. 1 DS-GVO orientiert sich am Stand der Technik, den Implementierungskosten sowie Art, Umfang, Umständen und Zwecken der Verarbeitung sowie den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere etwaiger Risiken für Betroffene. Ausgangspunkt dieser Prüfung ist immer der Stand der Technik. Dieser Begriff ist nicht legaldefiniert. Nach Auffassung des Europäischen Datenschutzausschusses verlangt der Begriff „Stand der Technik“ von den Verantwortlichen, den technologischen Fortschritt zu berücksichtigen, der auf dem Markt verfügbar ist. Hieraus folgt, dass die Verantwortlichen über den technologischen Fortschritt grundsätzlich und fortlaufend informiert sein müssen, insbesondere ob und wie die implementierte Technologie datenschutzrechtliche Risiken für den Verarbeitungsbetrieb begründen kann und wie sie die Maßnahmen und Garantien implementieren müssen, die eine wirksame Umsetzung der datenschutzrechtlichen Grundsätze und Anforderungen sowie der Rechte der betroffenen Personen angesichts der gewählten Infrastruktur gewährleisten.25 Offen bleibt hingegen, was – jenseits von etwaigen Maßnahmenkatalogen26 – mit „auf dem Markt“ verfügbar im Einzelnen meint, insbesondere ob eine technische Innovation, die zwar am Markt bekannt ist, jedoch für die jeweils Betroffenen allenfalls bei Dritten beziehbar bzw. lizensierbar ist, hierunter fällt, was im Sinne eines effektiven Datenschutzes durch Technikgestaltung wohl zu bejahen ist. Diese Sichtweise hat dann aber andererseits auch zur Folge, dass die jeweilige Innovation nicht in die konkrete Bestimmung der Reichweite des Begriffs des „Standes der Technik“ einzubeziehen ist, wenn der dritte Veräußerer und/oder Rechteinhaber sich weigert, die technische Innovation dem Betroffenen zur Verfügung zu stellen. Der Begriff des Standes der Technik und damit auch der Umfang des Erfordernisses des Datenschutzes durch Technikgestaltung wird so subjektiviert.

Auch die datenschutzrechtliche Literatur geht davon aus, dass es sich beim Stand der Technik im Sinne des Art. 25 DS-GVO um Maßnahmen handelt, die technisch möglich und erprobt sind und auf gesicherten Erkenntnissen von Wissenschaft und Technik beruhen.27 Der „Stand der Technik“ ist als eine mittlere Stufe zu verstehen und umfasst einerseits mehr als die anerkannten Regeln der Technik (die sich bereits in der Praxis verbreitet und bewährt haben), andererseits aber weniger als den Stand von Wissenschaft und Technik (der auch neueste Erkenntnisse der Forschung umfasst).28 Nicht unter den Stand der Technik fallen innovative Konzepte und Implementierungen aus dem Forschungslabor, die ihre Funktionsfähigkeit noch nicht unter Beweis gestellt haben und bisher nicht am Markt verfügbar sind.29 Der Stand der Technik im Sinne des Art. 25 DS-GVO richtet sich somit danach, inwieweit eine bestimmte Technik jenseits eines Prototypen- oder Entwicklungsstatus tatsächlich in der Praxis einsetzbar ist. Nicht erforderlich ist hingegen, dass die Technik bereits Marktstandard ist.

Welche Maßnahmen konkret vorzunehmen sind, bestimmt sich in diesem Rahmen immer anhand von Art, Umfang, Umständen und Zwecken der Verarbeitung. Der Verantwortliche muss keineswegs immer den Stand der Technik einhalten. Eine negative Abweichung vom Stand der Technik kann im Einzelfall unter Berücksichtigung von Implementierungskosten sowie Eintrittswahrscheinlichkeit und Schwere der Risiken im Einzelfall einerseits sowie ergänzender technischer und/oder organisatorischer Maßnahmen andererseits als insgesamt wertend betrachtet verhältnismäßig und damit gestattet sein.

Wie genau technische oder organisatorische Maßnahmen in diesem Zusammenhang auszugestalten sind, schreibt die DS-GVO nicht vor, ebenso wenig Mindestvorgaben oder Obergrenzen. Einzig und allein maßgebend ist, dass die einzelne Maßnahme unter Berücksichtigung der Umstände des jeweiligen Datenverarbeitungsprozesses geeignet ist, die Datenschutzgrundsätze effektiv umzusetzen und die Rechte der betroffenen Personen zu schützen.30 Der Verordnungstext hebt hier v.a. die Möglichkeit der Pseudonymisierung in Art. 25 Abs. 1 DS-GVO hervor.

Zielvorgabe für die Verantwortlichen ist in diesem Kontext die Umsetzung der Datenschutzgrundsätze aus Art. 5 DS-GVO, die durch korrespondierende Regelungen in der Verordnung konkretisiert werden. Verantwortliche müssen sie während des gesamten Verarbeitungszyklus beachten, sprich: bei der Festlegung der Mittel des Prozesses und bei dessen Durchführung. Ändern sich die Umstände des Datenverarbeitungsprozesses, so obliegt es den Verantwortlichen, auch unter den sich ändernden Umständen die Einhaltung der genannten Grundsätze zu gewährleisten.31 Dies stellt insofern eine Herausforderung dar, als dass sich eine Veränderung der Prozesse im Hinblick auf Umfang und Hintergrund jederzeit einstellen kann.

Im Hinblick auf das Erforderlichkeitskriterium im Rahmen des Art. 25 Abs. 2 Satz 2 DS-GVO sind, wie ausgeführt, die Menge der erhobenen personenbezogenen Daten, der Umfang ihrer Verarbeitung sowie ihre Speicherfrist und Zugänglichkeit zu beachten. Diese Vorgaben dienen der technischen und organisatorischen Absicherung des Grundsatzes, dass personenbezogene Daten ohnehin nur im Rahmen des für einen bestimmten Zweck Erforderlichen verarbeitet werden dürfen (vgl. Art. 6 Abs. 1, Abs. 4 DS-GVO). Die Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 25 Abs. 2 DS-GVO ersetzt nicht die Rechtsgrundlage der Datenverarbeitung gemäß Art. 6 DS-GVO.

In Bezug auf die Menge der erhobenen personenbezogenen Daten soll grundsätzlich nur im Rahmen des Erforderlichen das Mindestmaß verarbeitet werden. Die Speicherfrist sollte sich an dem Zeitraum orientieren, der für die entsprechenden Verarbeitungen unbedingt notwendig ist. Eine darüber hinausgehende Speicherung muss gesondert gerechtfertigt sein. Werden Daten nicht mehr benötigt, sind sie zu löschen oder zu anonymisieren. Im Übrigen ist darauf zu achten, dass nur solche Personen Zugriff auf die Daten haben, die den Zugang für die Verarbeitung benötigen. Hier ist sicherzustellen, dass der Zugang auch gewährleistet bleibt, um in kritischen Situationen handlungsfähig zu bleiben.32

Allen Definitionsversuchen zum Trotz bleibt es für den Praxisanwender häufig unklar, welche Vorgaben er einzuhalten hat bzw. wie diese konkret umzusetzen sind.33 Hilfe geben zum einen die Leitlinien des Europäischen Datenschutzausschusses, zum anderen kann man sich an den sieben Prinzipien des Privacy by Design nach Ann Cavoukian34 orientieren.35 Danach ist Datenschutz zunächst proaktiv zu gewährleisten, d.h. Risiken für die Rechtsgüter der Betroffenen sollen gar nicht erst eintreten. Datenschutz soll außerdem als Standard eingestellt sein und der Betroffene soll über die Benutzung seiner Daten selbst verfügen können. Maßnahmen zum Schutze von Daten müssen bereits in die jeweilige Infrastruktur im Sinne eines „integralen Bestandteils“ eingebettet sein. Nichtsdestotrotz soll Datenschutz die Funktionalität des entsprechenden Services nicht beschränken, sondern ein Ausgleich gefunden werden. Die Sicherheit der Daten muss während des gesamten Verarbeitungszyklus gewährleistet sein. Der Nutzer selbst soll durch durchgängige Transparenz über die Nutzung seiner Daten informiert sein und ihre Verarbeitung kontrollieren können. Bei ihm liegt dann im Ergebnis auch die Hoheit über seine Daten.36 Anhand dieser sieben Prinzipien lässt sich zumindest eine praktische Richtschnur für eine DS-GVO-konforme Umsetzung von Privacy by Design und Privacy by Default im Einzelfall ableiten.

Auch insoweit ist in diesem Gesamtzusammenhang zu beachten, dass der Hersteller, wie ausgeführt, regelmäßig nicht Adressat des Art. 25 DS-GVO ist. Solange dies nicht der Fall ist, ist es unmittelbar der Verantwortliche, der im Beschaffungsprozess eines datenverarbeitenden Produkts, Systems oder Dienstes die Einhaltung der Vorgaben des Art. 25 DSGVO dahingehend zu evaluieren hat, ob der Hersteller die Vorgaben des Datenschutzes durch Technikgestaltung im Entwicklungs- und Herstellungsprozess des datenverarbeitenden Produkts, Systems oder Dienstes im gebotenen Umfang beachtet hat.