ProduktinformationenEntwurfadhoc-AG
Dieses Dokument ist Teil der Anfrage „Interne Hinweise zu Anforderungen an die proaktive Information der Öffentlichkeit über Produkte zur Datenverarbeitung“
Entwurf Stand: 29.10.2021 Interne Hinweise Anforderungen an die proaktive Information der Öffentlichkeit über Produkte zur Datenverarbeitung 1. Einleitung Mit diesen Hinweisen soll der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) und ihren Arbeitskreisen eine Hilfestellung bei der wiederkehrenden Frage gegeben werden, welche Voraussetzungen und Anforderungen für die proaktiven Veröffentlichungen 1 über Produkte, Dienste und Anwendungen zur Datenverarbeitung gelten. Im Folgenden werden die Voraussetzungen und Anforderungen für die Information der Öffentlichkeit durch Datenschutzaufsichtsbehörden betrachtet. Die DSK ist selbst keine Datenschutzaufsichtsbehörde im Sinne der DS-GVO, sondern vielmehr der Zusammenschluss der Datenschutzaufsichtsbehörden des Bundes und der Länder. Daher stellt eine Äußerung der DSK immer eine gemeinsame Äußerung aller (beteiligten, d.h. derer, die ein zustimmendes Votum für die jeweilige Äußerung abgegeben haben) Aufsichtsbehörden dar. 2. Arten von Informationen Proaktive staatliche Informationen zu einem Produkt, einem Geschäftsbetrieb oder einem Unternehmen lassen sich zusammengefasst in drei Kategorien unterteilen: - Behördliche Warnung - Behördliche Empfehlung - Behördlicher Hinweis a) behördliche Produktwarnung Eine behördliche Produktwarnung kann dabei als eine behördliche Äußerung, welche die Aufforderung enthält, ein bestimmtes Verhalten zu unterlassen – bspw. vom Kauf oder der Verwendung eines Produkts abzusehen - um gewisse Gefahren oder Risiken zu vermeiden, definiert werden (OLG Stuttgart, NJW-RR 2002, 1597). Die Warnung ist also überwiegend negativ formuliert und lässt dem Adressaten faktisch keine vernünftige Handlungsalternative, als sich so zu verhalten, wie die Behörde es nach dem Zweck ihrer Willensbeeinflussung beabsichtigt (Tremml, NJW 1997, 2265). Beispiel: „Das Produkt XY ist nicht datenschutzkonform einsetzbar.“ b) behördliche Empfehlung Mit einer behördlichen Empfehlung zugunsten eines Produkts, Unternehmens oder einer Verhaltensweise äußert die Behörde, welches Produkt bzw. welches Verhalten gegenüber anderen 1 Im Folgenden wird vereinfachend nur der Begriff „Produkt“ verwendet; „Dienste“ und „Anwendungen“ (wie in Erwägungsgrund 78 der DS-GVO genannt) sollen davon umfasst sein.
vorzuziehen ist. Dem Adressaten steht im Gegensatz zur Warnung also eine realistische und vernünftige Handlungsalternative zur Verfügung. Beispiel: „Das Produkt XY ist bei Vornahme folgender Konfigurationen datenschutzgerecht einsetzbar.“ Dennoch ist die Abgrenzung einer Empfehlung von einer Warnung im Einzelfall schwierig. Die Empfehlung einer von mehreren Optionen kann auch eine positiv formulierte Warnung darstellen, wenn alle Verhaltensweisen bzw. Produkte bis auf eine Alternative als risikoreich bzw. eine einzige Alternative als rechtskonform bezeichnet werden oder die Gefahrenquelle, das zu vermeidende Produkt bzw. die zu vermeidende Verhaltensweise für den Verbraucher konkret individualisierbar wird. Dann fehlt die für die Empfehlung typische, realistische Handlungsalternative für den Adressaten (Tremml, NJW 1997, 2265; VGH Kassel NVwZ 1995, 611). c) behördlicher Hinweis Der behördliche Hinweis individualisiert keine Produkte, Produktgruppen, Hersteller oder Verhaltensweisen als Gefahrenquelle, sondern gibt lediglich eine bestimmte Information weiter. Der Adressat soll dabei nicht auf eine bestimmte Verhaltensweise festgelegt werden. Vielmehr sollen ihm durch Aufklärung über Problemzusammenhänge mögliche Verhaltensalternativen aufgezeigt werden; den eigenen Entscheidungsspielraum soll er aber in vollen Umfang behalten. Eine Entscheidung gegen den Kauf, den Einsatz oder die Nutzung ist von der Behörde dabei weder beabsichtigt noch vorhersehbar (vgl. Tremml, NJW 1997, 2265). Beispiel: „Bei Einsatz von Software-Produkten sollten zur Beachtung der datenschutzrechtlichen Vorgaben die folgenden Konfigurationen vorgenommen werden.“ 3. Zulässigkeit von Öffentlichkeitsinformationen über Produkte a) Rechtsnatur behördlicher Informationen Behördliches Informationshandeln stellt keinen Verwaltungsakt dar, sondern einen Realakt. Die an die Öffentlichkeit gerichteten Informationen entfalten nicht, wie ein Verwaltungsakt, unmittelbar Regelungswirkung. Ihre Wirkung erhält die Information vielmehr erst durch das Verhalten der Bürgerinnen und Bürger (dazu näher unten unter Buchst. b). Im Gegensatz zu einem Verwaltungsakt tritt die Wirkung der behördlichen Information jedoch unmittelbar nach ihrer Veröffentlichung ein. Die weitere Entwicklung ist für die Hersteller und auch für die veröffentlichende Behörde nur noch schwer steuerbar. Verwaltungsakte werden dagegen regelmäßig nicht sofort wirksam, und Rechtsbehelfe gegen Verwaltungsakte haben grundsätzlich aufschiebende Wirkung. Ordnet die Behörde den Sofortvollzug an, ist auch hiergegen ein Rechtsmittel möglich, das die aufschiebende Wirkung wiederherstellt. Für die Behörde sind daher mit der Veröffentlichung von Produktinformationen besondere Risiken verbunden. Bei Verwaltungsakten können Fehler im Bescheid oder im Verfahren oftmals auch später noch korrigiert werden. Da öffentliche Informationen sofort Wirkung entfalten, sind nachträgliche Änderungen nur bedingt möglich.
b) Grundrechtseingriff Staatliches Informationshandeln stellt – gleich in welcher Form – zunächst jedenfalls keinen Grundrechtseingriff im klassischen Sinne dar. Ein solcher klassischer Eingriff ist gegeben, wenn die Beeinträchtigung in einer generellen oder individuellen Regelung besteht, die unmittelbar und gezielt (final) durch ein vom Staat verfügtes, erforderlichenfalls zwangsweise durchzusetzendes Gebot oder Verbot zu einer Verkürzung grundrechtlicher Freiheit führt (Jarass/Pieroth, GG vor Art. 1 Rn. 27 m.w.N.). Diese Voraussetzungen erfüllt staatliches Informationshandeln nicht, da es sich hierbei nicht um einen unmittelbar wirkenden Rechtsakt handelt. Vielmehr schafft staatliches Informationshandeln lediglich die Ursache für freiwilliges privates Handeln (Bsp. die freiwillige Entscheidung des Verantwortlichen, das Produkt XY aufgrund der durch Datenschutzaufsichtsbehörden zu diesem Produkt veröffentlichen Informationen nicht mehr zu nutzen). Die aus dem staatlichen Informationshandeln resultierenden Folgen, etwa der Umsatzrückgang stellen sich nicht als unmittelbare Folge, sondern vielmehr als mittelbare Folge dar. Allgemein anerkannt ist jedoch, dass auch sog. mittelbar-faktische Grundrechtsbeeinträchtigungen einen Grundrechtseingriff darstellen können (Bsp. BVerwG, NJW 1985, 2774 mwN.). Nach der Rechtsprechung des BVerfG zum staatlichen Informationshandeln liegt aber im Falle solcher mittelbar-faktischer Grundrechtsbeeinträchtigungen erst dann ein Grundrechtseingriff vor, der einer Befugnisnorm bedarf, wenn das staatliche Informationshandeln im konkreten Fall einen Ersatz für eine staatliche Maßnahme darstellt, die als klassischer Eingriff zu qualifizieren wäre, sich also als „funktionales Äquivalent“ zu einem solchen darstellt. Ob ein solches funktionales Äquivalent anzunehmen ist, ergibt sich aus den Zielsetzungen und Wirkungen der staatlichen Informationstätigkeit im konkreten Fall. Bei der bei staatlichem Informationshandeln in Betracht kommenden Beeinträchtigung der Berufsfreiheit nach Art. 12 GG bzw. des Rechts am eingerichteten und ausgeübten Gewerbebetriebs nach Art. 14 GG bzw. der unternehmerischen Freiheit nach Art. 16 der EU-Grundrechtecharta der Produkthersteller nimmt das BVerfG ein funktionales Äquivalent an, wenn die staatliche Information direkt auf die Marktbedingungen konkret individualisierter Unternehmen zielt, indem sie die Grundlagen der Entscheidungen am Markt zweckgerichtet beeinflusst und so die Markt- und Wettbewerbssituation zum wirtschaftlichen Nachteil der betroffenen Unternehmen verändert (BVerfG, NJW 2002, 2621; NJW 2018, 2109). Umgekehrt fehlt es an einem Grundrechtseingriff, wenn der nachteilige Effekt auf die betroffenen Produkthersteller sich lediglich als eine unvorhergesehene und ungewollte Begleiterscheinung darstellt. Wegen der Relevanz der Wirkungen kommt es weiterhin auf die Intensität der Grundrechtsbeeinträchtigung und daher darauf an, ob das geschützte Verhalten zumindest nachhaltig beeinträchtigt wird (Jarass/Pieroth, GG vor Art. 1 Rn. 29). Unter Zugrundelegung dieser Grundsätze stellt der behördliche Hinweis (vgl. o.) jedenfalls keinen Grundrechtseingriff dar. Bei behördlichen Produktwarnungen nach der o.g. Definition ist ein Grundrechtseingriff dagegen anzunehmen (vgl. BVerwG, NVwZ-RR 2015, 425). Bei behördlichen Empfehlungen liegt ein Grundrechtseingriff dann vor, wenn diese eine „positiv formulierte Warnung“ (Voraussetzungen hierfür vgl. o.) darstellen. Beispiel: „Ein datenschutzkonformer Einsatz des Produktes XY des Herstellers Z ist nicht möglich.“ Hier erfolgt die Information der potentiellen Verantwortlichen über die Unmöglichkeit des datenschutzkonformen Einsatzes des Produkt XY des Herstellers Z zu dem Zweck, den Verantwortlichen in die Lage zu versetzen, die Entscheidung über den Kauf bzw. den Einsatz des Produkts in Kenntnis der Unmöglichkeit des datenschutzkonformen Einsatzes zu treffen und daher gegebenenfalls vom Einsatz des Produktes abzusehen, um ggf. auch für ihn nachteilige Konsequenzen zu vermeiden.
Die Information zielt also direkt auf eine Veränderung der Marktbedingungen eines konkret angesprochenen Produkts eines konkreten Unternehmens. Diese Veränderungen sind für das betroffene Unternehmen nicht bloße Begleiterscheinung. Die Grundlagen von Entscheidungen potentieller Produktanwender zu verändern, ist vielmehr der originäre Zweck der Regelung (so auch BVerfG, NJW 2018, 2109). c) Rechtsgrundlage Die proaktive Information der Öffentlichkeit gehört zu den Aufgaben der Datenschutzaufsichtsbehörde. Das öffentliche Informationshandeln (Hinweise, Empfehlungen, Warnungen) lässt sich unter die Aufgabenzuweisung des Art. 57 Abs. 1 Buchstabe b DS-GVO subsumieren. Danach haben die Datenschutzaufsichtsbehörden die Aufgabe, die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und sie darüber aufzuklären. Die für Grundrechtseingriffe (s.o. Buchstabe a) erforderliche Befugnis kann sich aus Art. 58 Abs. 3 Buchstabe b DS-GVO ergeben. Diese Vorschrift gibt den Aufsichtsbehörden unter anderem die Befugnis, Stellungnahmen zu allen Fragen im Zusammenhang mit dem Schutz personenbezogener Daten an die Öffentlichkeit zu richten. Hierunter fallen auch Stellungnahmen zu Möglichkeiten und Problemen des datenschutzkonformen Einsatzes von bestimmten Produkten. Darüber hinaus finden sich in manchen Landesdatenschutzgesetzen einschlägige Rechtsgrundlagen, wie z.B. in § 24 Abs. 2 2 HmbDSG. Die Befugnis zur Veröffentlichung von Produktwarnungen steht jeder Aufsichtsbehörde zu, solange das IT-Produkt durch Verantwortliche oder Auftragsverarbeiter unter ihrer Kontrollverantwortung eingesetzt wird oder möglicherweise eingesetzt werden könnte. d) Inhaltliche Anforderungen an Öffentlichkeitsinformationen, die einen Grundrechtseingriff darstellen Eine Öffentlichkeitsinformation über ein Produkt, die einen Grundrechtseingriff darstellt –zur Vereinfachung wird im Folgenden der Begriff „Produktwarnung“ verwendet, es gilt jedoch das oben unter Ziffer 3. b) am Ende Erörterte– muss die folgenden inhaltlichen Anforderungen erfüllen, die sich insbesondere aus den Verfassungsgrundsätzen ergeben: aa) Richtigkeit Der einer Produktwarnung zugrundeliegende Sachverhalt muss sorgsam aufgeklärt worden sein und inhaltlich richtig wiedergegeben werden (Richtigkeit der Information), woraus sich insbesondere hohe Anforderungen an die Aktualität des zugrunde liegenden Sachverhalts ergeben. Bei Software- 2 In der Literatur wird z.T. – teilweise unter Berufung auf den Beschluss des OVG NRW vom 17.5.2021 – 13 B 331/21 – vertreten, dass für die Öffentlichkeitsarbeit der Datenschutzaufsichtsbehörden, die zu einem Grundrechtseingriff führt, keine Rechtsgrundlage vorhanden sei. Diese Ansicht greift jedoch nicht durch. Zum einen befasst sich die Entscheidung des OVG NRW mit einer Pressemitteilung über ein verhängtes Bußgeld und nicht mit einer Produktwarnung; es liegt also ein anderer Sachverhalt als der hier betrachtete zugrunde. Zum anderen greift Art. 58 Abs. 3 Buchstabe b sehr wohl als Rechtsgrundlage, da der Begriff „Stellungnahme“ in Art. 58 Abs. 3 Buchstabe b sämtliche Formen einer Meinungsäußerung umfassen kann. Da die Befugnis zur öffentlichen Stellungnahme auf „alle Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen“ gerichtet ist, ist sie auch nicht auf Äußerungen zu konkreten Verarbeitungsvorgängen oder Verantwortlichen beschränkt, sondern kann auch auf Äußerungen zu Produkten und deren datenschutzkonformen Einsatz durch potentielle Verantwortliche erstreckt werden.
Produkten führt dies dazu, dass stets sichergestellt werden muss, dass die aktuellste Version der Software, sowie eventuell anstehende Updates berücksichtigt wurden bzw. alternativ klargestellt wird, auf welche Version der Software sich die Produktwarnung bezieht. bb) Sachlichkeit Die veröffentlichten Informationen müssen dem Gebot der Sachlichkeit entsprechen, d.h. sie dürfen den sachlich gebotenen Rahmen nicht überschreiten und wiedergegebene Wertungen dürfen nicht auf sachfremden Erwägungen beruhen (Sachlichkeit der Information). Darüber hinaus dürfen die veröffentlichten Informationen nicht herabsetzend formuliert sein. Im Übrigen ist die Verbreitung von Informationen unter Berücksichtigung möglicher nachteiliger Wirkungen für betroffene Unternehmen auf das zur Informationsgewährung Erforderliche zu beschränken. cc) Verhältnismäßigkeit Eine Produktwarnung muss dem Verhältnismäßigkeitsgrundsatz genügen. Das bedeutet im Einzelnen: Vor Veröffentlichung einer Produktwarnung muss geprüft werden, ob nicht ein milderes, gleich effektives Mittel zur Verfolgung des Zwecks – Verantwortliche auf gewisse Missstände hinzuweisen und so präventiv vielfache Datenschutzverletzungen, die durch den Einsatz des Produkts entstehen würden, in größerem Umfang zu verhindern – in Betracht kommt (Erforderlichkeit). Dabei ist vor allem zu prüfen, ob es nicht ausreichend wäre, anstatt der Veröffentlichung einer Produktwarnung an den Produkthersteller heranzutreten, um eine einvernehmliche und zeitnahe Lösung zu finden (Bsp. Nachbesserungen am Produkt, Abstellen bestimmter Funktionen, Hinweis auf mögliche datenschutzrechtliche Probleme an die Verantwortlichen durch den Produkthersteller selbst). Sollte dies bereits –ggf. auch mehrfach- ohne durchgreifenden Erfolg versucht worden sein, kann von einem ebenso effektiven milderen Mittel in der Regel nicht ausgegangen werden. Außerdem muss geprüft werden, ob es nicht mit verhältnismäßigen Aufwand ebenso möglich wäre, alle Verantwortlichen, die das betroffene Produkt für ihre Datenverarbeitungen potentiell einsetzen, etwa auf Grundlage des Verzeichnisses eines Auftragsverarbeiters nach Art. 30 Abs. 2 DSGVO, zu ermitteln. Dies kommt bspw. bei IT-Produkten, die ausschließlich von einem bestimmten, abgrenzbaren Kreis Verantwortlicher aus der Gesundheitsbranche eingesetzt werden, in Betracht. Milderes, gleich geeignetes Mittel kann je nach den Umständen des Falls eine gezielte Bekanntgabe der Warnung nur an diesen Kreis sein. Zur Wahrung der Angemessenheit der Produktwarnung hat eine Abwägung zwischen dem Interesse der Öffentlichkeit an der Veröffentlichung und den für das betroffene Unternehmen (Hersteller) damit verbundenen negativen Folgen zu erfolgen. Bei dieser Abwägung kann auch das Interesse der Verantwortlichen, vor dem Einsatz nicht datenschutzgerechter Produkte öffentlich gewarnt zu werden, statt von einer Aufsichtsbehörde mit der Ausübung von Abhilfebefugnissen bis hin zu Bußgeldern bedacht zu werden, berücksichtigt werden. Außerdem muss eine zeitliche Begrenzung der Produktwarnung geprüft werden. Insbesondere aus der zu § 40 LFGB ergangenen Rechtsprechung des BVerfG ergibt sich, dass eine zeitlich unbegrenzte Veröffentlichung von Produktwarnungen als unverhältnismäßig einzustufen ist. Eine Löschung der veröffentlichten Produktwarnung muss daher erfolgen, wenn sie sich inhaltlich erledigt hat, d.h. wenn z.B. durch Nachbesserungen des Herstellers das Produkt nunmehr datenschutzkonform eingesetzt werden kann oder das Produkt von dem Hersteller nicht mehr auf dem Markt angeboten wird.
4. Vorige Anhörung des Herstellers Ob bei staatlichem Informationshandeln, bei dem nach den oben dargestellten Erwägungen ein Grundrechtseingriff naheliegt, eine Pflicht zur vorigen Anhörung des Herstellers besteht, ist durch die Rechtsprechung nicht eindeutig geklärt (für eine Anhörungspflicht LG Stuttgart im Falle einer Produktwarnung, NJW 1989, 2257; anders aber VGH München, NVwZ 2003, 998; jedenfalls bisher höchstrichterlich nicht geklärt; vgl. BVerwG, NJW 1991, 1770). Zur Vermeidung von verfahrensrechtlichen sowie auch tatsächlichen Risiken ist eine vorige Anhörung grundsätzlich zu empfehlen. Hierfür sprechen folgende Erwägungen: In der Rechtsprechung wird teilweise die Pflicht zur Anhörung im Verwaltungsverfahren (§ 28 VwVfG) analog auch auf behördliche Warnungen angewendet. Für eine solche analoge Anwendung spricht danach vor allem die vergleichbare Interessenlage im Falle von staatlichem Informationshandeln, welches zwar keinen Verwaltungsakt darstellt, aber gleichwohl nach den oben unter Ziffer 3 niedergelegten Prämissen im Einzelfall zu einem Grundrechtseingriff führen kann. Es gelten dann jedoch auch die Ausnahmen nach § 28 Abs. 2 VwVfG analog, nach denen im Einzelfall von einer Anhörung abgesehen werden kann. Des Weiteren lässt sich die Empfehlung zur Anhörung unabhängig von einer analogen Anwendung des § 28 VwVfG aus dem Rechtstaatsprinzip (Recht auf ein rechtstaatliches Verfahren), Art. 20 Abs. 3 GG, ableiten. Auch die gesetzgeberische Entscheidung in Spezialgesetzen, die Produktwarnungen vorsehen, spricht für ein rechtsstaatliches Erfordernis einer Anhörung (Bsp. § 40 LFGB). Darüber hinaus ergibt sich nach ständiger Rechtsprechung des EuGH (Bsp. NVwZ-RR 2015, 233) das Recht eines Beteiligten auf Anhörung, bevor eine für seine Interessen nachteilige Maßnahme getroffen wird, aus dem ungeschriebenen Grundsatz der Wahrung der Verteidigungsrechte. Mit diesem Grundsatz sei der Anspruch darauf, gehört zu werden, untrennbar verbunden. Da auch für die Justizgrundrechte des Art. 46 und 47 der EU-Grundrechtecharta, die einen ähnlichen Schutzzweck haben, anerkannt ist, dass sich auch juristische Personen auf diese berufen können (Jarass GrCh EU- Grundrechte-Charta Art. 48 Rn. 12; EuGH EuZW 2011, 137), ist dies auch für den hier zugrunde gelegten Grundsatz der Wahrung der Verteidigungsrechte anzunehmen. Darüber hinaus dient die vorherige Gelegenheit zur Stellungnahme dazu, Fehler bei der Tatsachenermittlung zu vermeiden, indem der Produkthersteller den Sachverhalt aus seiner Sicht ergänzen oder korrigieren kann, insbesondere auch hinsichtlich solcher Umstände, die in seiner Sphäre liegen und der Behörde nicht bekannt sind (Bsp. geplantes Software-Update). Die Notwendigkeit einer vorherigen Anhörung des betroffenen Produktherstellers kann sich demnach auch aus dem aus Art. 20 Abs. 3 GG folgenden Gebot der Richtigkeit der wiedergegebenen Tatsachen ergeben. Werden durch den Hersteller im Rahmen der Anhörung keine Bedenken geltend gemacht oder abweichende Informationen mitgeteilt, verbessert dies die Position der Aufsichtsbehörde gegenüber später etwaig geltend gemachten Ansprüchen des Herstellers. Eine vorige Anhörung ist jedoch auch bei Anwendung dieser Grundsätze nicht in jedem Fall erforderlich: wie auch bei Verwaltungsakten kann von einer Anhörung abgesehen werden, wenn im Einzelfall die genannten Erwägungen nicht zutreffen. Wendet man beispielsweise § 28 VwVfG analog an, so gelten – wie bereits dargestellt - auch die in § 28 Abs. 2 VwVfG genannten Ausnahmen entsprechend. Danach kann von einer Anhörung u.a. aus Gründen der Eilbedürftigkeit der behördlichen Entscheidung abgesehen werden.