Datenschutzaufsichtsbehörden dürfen vor IT-Produkten warnen

In der Pandemie rieten Datenschützer häufig vom Einsatz bestimmter Videotools ab. Ein Gutachten soll die Rechtmäßigkeit solcher Warnungen klären.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 30 Beiträge

(Bild: Daniel AJ Sokolov)

Von
  • Ute Roos

Ein durch die Arbeitsgruppe Grundsatz der Datenschutzkonferenz erstelltes und nun publik gewordenes vorläufiges Gutachten kommt zu dem Schluss, dass es unter Einhaltung des Gebots der Sachlichkeit und der Richtigkeit rechtens ist, wenn Datenschutzaufsichtsbehörden vor dem Einsatz bestimmter IT-Produkte warnen. In der Vergangenheit waren die deutschen Datenschutzbehörden mit Aussagen zu Produkten äußerst zurückhaltend. Zuständig für Warnungen vor deren Einsatz waren ihrer Auffassung nach eher Verbraucherschutzverbände oder, wenn es um die IT-Sicherheit ging, das Bundesamt für Sicherheit in der Informationstechnik.

Mit der Pandemie hat sich das geändert. Der plötzliche Bedarf von Unternehmen und Verwaltungen nach Videokonferenzdiensten und Collaboration-Tools führte zu steigenden Beratungsanfragen. Zunehmend äußerten sich Datenschützer zu solchen Tools und sprachen Empfehlungen oder Warnungen aus, meist nach Kriterien der Datenschutzkonformität wie Verschlüsselung, Verarbeitung und Übertragung personenbezogener Daten, Privacy-Einstellungen der Tools et cetera. Prominente Beispiele sind die Warnung vor dem Einsatz von Zoom durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) Stefan Brink (die er nach Nachbesserungen durch Zoom wieder zurücknahm) oder die ständig aktualisierte Liste der gängigsten Videokonferenztools mit Ampelwertungen der Berliner Beauftragten für den Datenschutz und die Informationsfreiheit (BlnBDI) Maja Smoltczyk.

Da solche Warnungen erhebliche Auswirkungen auf Unternehmen haben, etwa Umsatzeinbußen oder eine schlechte Reputation, stellt sich die Frage, ob Aufsichtsbehörden dazu befugt sind. In ihrer 3. Zwischenkonferenz beschlossen die Datenschutzbehörden des Bundes und der Länder, die Rechtmäßigkeit solcher Warnungen zu überprüfen. Sie beauftragten den AK Grundsatz, eine Arbeitsgruppe der Datenschutzkonferenz, "die Rahmenbedingungen aufsichtsbehördlicher Produktwarnungen, insbesondere Rechtsgrundlagen, Anforderungen an Beweiserhebung und Verfahren sowie Haftungsfragen zu analysieren und der Datenschutzkonferenz möglichst bis zur 100. Sitzung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zu berichten".

Dieses noch nicht abschließende Gutachten liegt nun nach einer Anfrage gemäß Informationsfreiheitsgesetz durch den Rechtsanwalt Stefan Hessel vor. Eine Rechtsgrundlage für "aufsichtliche Produktwarnungen" ist nach Auffassung des AK Grundsatz durch die DSGVO sowie manche Landesdatenschutzgesetze grundsätzlich gegeben. Unabhängig davon müssen sie allerdings bestimmte inhaltliche Kriterien erfüllen: Der zugrundeliegende Sachverhalt muss "sorgsam aufgeklärt und richtig wiedergegeben sein". Die Richtigkeit bedeutet in diesem Zusammenhang auch, dass bei Software jedes Update erneut zu überprüfen ist beziehungsweise die Warnung nur für die entsprechenden Versionen ausgesprochen wird.

Des Weiteren muss die Warnung sich ausschließlich auf sachliche Gründe beziehen, sachfremde Erwägungen sind ebenso unzulässig wie eine unsachliche oder herabsetzende Darstellung. Und schließlich ist vor Aussprechen einer Warnung zu prüfen, ob dieses Vorgehen angemessen ist oder vielleicht "mildere Mittel" ebenfalls zur Vermeidung von Datenschutzverletzungen führen können - beispielsweise eine Abstimmung mit dem Hersteller, der den Mangel zeitnah abstellen könnte. Halten die Datenschutzbehörden diese Voraussetzungen für eine Produktwarnung nicht ein, kann das zu Unterlassungsansprüchen führen oder gar eine Haftung auslösen.

Rechtsanwalt Stefan Hessel sieht in diesen Bedingungen eine Herausforderung für die Aufsichtsbehörden, denn es dürfte schwierig sein, alle Produkte umfassend zu beurteilen und sich nicht nur einige Punkte herauszugreifen. Weitere Schwierigkeiten bestehen darin, dass die verschiedenen Datenschutzbehörden nicht zwingend dieselbe Rechtsauffassung haben, zum Beispiel was die Datenübermittlung in Drittländer anbelangt. Was also für den einen rechtswidrig ist, ist für die andere rechtskonform und nicht zu beanstanden. Alles in allem sieht Hessel die juristische Beschäftigung mit dem Thema positiv, denn "angesichts der möglichen Auswirkungen von Produktwarnungen auf Unternehmen sollten für diese klare Maßstäbe existieren".

Da sich aus diesem Zwischenstand weitere Fragen ergeben haben, ist das Gutachten noch nicht abschließend. Mit Verfeinerungen im Detail ist für die 101. Datenschutzkonferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (28. — 29. April 2021) zu rechnen.

(ur)