Читать книгу Festschrift für Jürgen Taeger - Группа авторов - Страница 61

Die vorstehenden Überlegungen verdeutlichen die wichtige Bedeutung klarer vertraglicher Regelungen in Bezug auf die Gewährleistung von Datenschutz durch Technikgestaltung. Privacy by Design und Privacy by Default bilden Kernpunkte der Umsetzung datenschutzrechtlicher Vorgaben im Bereich der technologiebasierten Verarbeitung personenbezogener Daten. Verantwortliche im Sinne der DS-GVO trifft eine Pflicht zu ihrer Umsetzung, Verstöße werden mit Bußgeldern sanktioniert. Insofern sollten Unternehmen, die personenbezogene Daten verarbeiten, bei der Beschaffung datenverarbeitender Produkte (Hard- oder Software), IT-Systeme oder entsprechender Serviceleistungen (IT-Outsourcing oder Cloud-Services) darauf achten, vertraglich die Vorgaben von Art. 25 DS-GVO so zu platzieren, dass diese in jedem Fall „mittelbar“ für den Vertragspartner und weiter mittelbar für einen gegebenenfalls personenverschiedenen Hersteller gelten; zwar unterliegen diese nicht dem Regelungsregime des Art. 25 DS-GVO, über eine ausdrückliche vertragliche Beschaffenheitsvereinbarung oder sonst geeignete vertragliche Regelungen wird der Vertragspartner diesem mittelbar schließlich doch unterworfen. Auch kann de lege lata nur so dem Erwägungsgrund 78 zur DS-GVO endlich zur praktischen Relevanz verholfen werden, in dem es heißt, dass durch die Regelung zu Privacy by Design und Privacy by Default die Hersteller der „Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“

1 Der Verfasser dankt Herrn Rechtsrefendar Dr. Philipp Adelberg für seine hilfreiche Unterstützung bei der Diskussion der Inhalte und der Abfassung dieses Beitrags. 2 Martini, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, Art. 25 DS-GVO Rn. 25. 3 Baumgartner/Gausling, ZD 2017, 308, 309. 4 Baumgartner, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 25 DS-GVO Rn. 1; Buss, CR 2020, 1. 5 Hanßen, in: Wybitul, Handbuch EU-Datenschutz-Grundverordnung, 2017, Art. 25 DS-GVO Rn. 1. 6 Hanßen, in: Wybitul (Fn. 5), Art. 25 DS-GVO Rn. 4. 7 Lang, in: Taeger/Gabel, DSGVO/BDSG, 3. Aufl. 2019, Art. 25 DS-GVO Rn. 57; Mantz, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 25 DS-GVO Rn. 62; Nolte/Werkmeister, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 25 DS-GVO Rn. 9; a.A. Hartung, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 25 DS-GVO Rn. 1, der das Verhältnis von Abs. 1 zu Abs. 2 als ungeklärt ansieht. 8 In der englischen Fassung „necessary“. 9 Lang, in: Taeger/Gabel (Fn. 7), Art. 25 DS-GVO Rn. 24. 10 Lang, in: Taeger/Gabel (Fn. 7), Art. 26 DS-GVO Rn. 22 unter Bezugnahme auf EuGH, 5.6.2018 – Rs. C-210/16, BB 2018, 1480ff. – Wirtschaftsakademie. 11 Vgl. EuGH, 5.6.2018 – Rs. C-210/16, BB 2018, 1480ff. – Wirtschaftsakademie. 12 Vgl. EuGH, 10.7.2018 – Rs. C-25/17, ZD 2018, 469ff. – Zeugen Jehovas; EuGH, 5.6.2018 – Rs. C-210/16, BB 2018, 1480ff. – Wirtschaftsakademie; EuGH, 29.7.2019 – Rs. C-40/17, K&R 2019, 562ff. – Fashion ID; BVerwG, 11.9.2019 – 6 C 15/18, K&R 2020, 209ff. 13 Vgl. Voigt, in: Bussche v. d./Voigt, Konzerndatenschutz, 2. Aufl. 2019, Kapitel 5 Rn. 13; Conrad/Treeger, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, § 34 Rn. 328; Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Ratgeber Beschäftigtendatenschutz, 3. Aufl. 2019, S. 38. 14 Lezzi/Oberlin, ZD 2018, 398, 399. 15 Lang, in: Taeger/Gabel (Fn. 7), Art. 25 DS-GVO Rn. 28. 16 Hartung, in: Kühling/Buchner (Fn. 7), Art. 25 DS-GVO Rn. 12; Martini, in: Paal/Pauly (Fn. 2), Art. 25 DS-GVO Rn. 26; Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 25 DS-GVO Rn. 22; Schaffland/Holthaus, in: Schaffland/Wiltfang, DSGVO/BDSG, Stand: Lfg. 6/19 – VI/19, Art. 25 DS-GVO Rn. 3. 17 EuGH, 29.7.2019 – Rs. C-40/17, K&R 2019, 562ff. – Fashion ID. 18 Lang, in: Taeger/Gabel (Fn. 7), Art. 25 DS-GVO Rn. 25. 19 Lang, in: Taeger/Gabel (Fn. 7), Art. 25 DS-GVO Rn. 25. 20 Nolte/Werkmeister, in: Gola (Fn. 7), Art. 25 DS-GVO Rn. 11. 21 Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO, November 2019, S. 15. 22 Baumgartner/Gausling, ZD 2017, 308, 311. 23 Baumgartner/Gausling, ZD 2017, 308, 309. 24 Baumgartner/Gausling, ZD 2017, 308, 309. 25 European Data Protection Board, Guidelines 4/2019 on Article 25, 13 Nov 2019, S. 8 Rn. 19f. 26 Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann (Fn. 16), Art. 25 DS-GVO Rn. 38 mit Verweis auf Art. 32 DS-GVO Rn. 22f., 78. 27 Schaffland/Holthaus in: Schaffland/Wiltfang (Fn. 16), Art. 25 DS-GVO Rn. 8. 28 Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann (Fn. 16), Art. 25 DS-GVO Rn. 38 mit Verweis auf Art. 32 DS-GVO Rn. 22. 29 Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann (Fn. 16), Art. 25 DS-GVO Rn. 38 mit Verweis auf Art. 32 DS-GVO Rn. 23. 30 European Data Protection Board, Guidelines 4/2019 on Article 25, 13 Nov 2019, Rn. 9, 15. 31 European Data Protection Board, Guidelines 4/2019 on Article 25, 13 Nov 2019, Rn. 37. 32 European Data Protection Board, Guidelines 4/2019 on Article 25, 13 Nov 2019, Rn. 53. 33 Zu dieser Problematik instruktiv Buss, CR 2020, 1. 34 Cavoukian, IDIS 2010, 247, 249f. 35 Buss, CR 2020, 1, 2. 36 Eine Zusammenfassung dieser Prinzipien auch bei Buss, CR 2020, 1, 2ff. 37 Schuster/Hunzinger, CR 2017, 141, 141f. 38 Bachmann in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB Rn. 135; Schuster/Hunzinger, CR 2017, 141, 142. 39 Schuster/Hunzinger, CR 2017, 141, 142. 40 Schuster/Hunzinger, CR 2017, 141, 142. 41 Redeker, IT-Recht, 6. Aufl. 2017, Rn. 523 unter Verweis auf BGH, 4.11.1987 – VIII ZR 314/86, BB 1988, 20ff. 42 BGH, 30.1.1986 – I ZR 242/83, BB 1986, 1319ff. – Programmerstellung. 43 Schuster/Hunzinger, CR 2017, 141, 143. 44 Dümeland, in: Taeger, Tagungsband DSRI-Herbstakademie 2018, S. 641, 643. 45 Dümeland, in: Taeger, Tagungsband DSRI-Herbstakademie 2018, S. 641, 644; Schuster/Hunzinger, CR 2017, 141, 143. 46 Busche, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 633 BGB Rn. 21. 47 Dümeland, in: Taeger, Tagungsband DSRI-Herbstakademie 2018, S. 641, 644. 48 Dümeland, in: Taeger, Tagungsband DSRI-Herbstakademie 2018, S. 641, 644. 49 Faust, in: Bamberger et al., BeckOK BGB, 53. Edition, 1.2.2020, § 434 BGB Rn. 51; Schuster/Hunzinger, CR 2017, 141, 143. 50 Dümeland in: Taeger, Tagungsband DSRI-Herbstakademie 2018, S. 641, 645; Voit, in: Bamberger et al., BeckOK BGB (Fn. 49), § 633 BGB Rn. 8. 51 Schuster/Hunzinger, CR 2017, 141, 143. 52 Schuster/Hunzinger, CR 2017, 141, 144. 53 So auch Schuster/Hunzinger, CR 2017, 141, 144. 54 Zu diesem Komplex Schuster/Hunzinger, CR 2017, 141, 145ff. 55 Vgl. oben Ziffer II. 3 a) 56 v. d. Bussche/Schelinski, in: Leupold/Gossner, Münchener Anwaltshandbuch IT-Recht, 3. Aufl. 2013, Rn. 123. 57 BGH, 15.11.2006 – VII ZR 120/04, CR 2007, 75ff. – ASP. Zustimmend auch die Literatur, vgl. nur Redeker, IT-Recht, 6. Aufl. 2017, Rn. 596. 58 Roth-Neuschild, in: Auer-Reinsdorff/Conrad (Fn. 13), § 13 Rn. 31ff. 59 Der Unterschied zwischen Miete und Leasing besteht in diesem Kontext darin, dass der Leasinggeber berechtigt ist, mietrechtliche Gewährleistungsansprüche auszuschließen, sofern er seine Ansprüche aus dem Beschaffungsvertrag dem Leasingnehmer abtritt, Roth-Neuschild, in: Auer-Reinsdorff/Conrad (Fn. 13), § 13 Rn. 34. 60 Als Beispiel: Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Stand 9.10.2014, https://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/orientierungshilfen-node.html, zuletzt abgerufen am 12.6.2020. 61 Hierzu Strittmatter, in: Auer-Reinsdorff/Conrad (Fn. 13), § 22 Rn. 29ff. 62 Vgl. oben Ziffer III. 3 a). 63 Vgl. oben III. 2 a). 64 Vgl. oben III. 2 a). 65 Zum Folgenden Busche, in: MüKo-BGB (Fn. 46), Vor § 145 BGB Rn. 12ff. 66 Buss, CR 2020, 1.