BerichtAKGrundsatzRahmenbedingungenProduktwarnungen002

Dieses Dokument ist Teil der Anfrage „Zwischenbericht des AK Grundsatz der DSK zu den Rahmenbedingungen für aufsichtsbehördliche Produktwarnungen

AK Grundsatz                                                                    09.11.2020 Der AK Grundsatz stellt in Hinblick auf den von der DSK am 22.09.2020 erhaltenen Auftrag „die Rahmenbedingungen aufsichtsbehördlicher Produktwarnungen, insbesondere Rechtsgrundlagen, Anforderungen an Beweiserhebung und Verfahren sowie Haftungsfragen zu analysieren“ folgendes fest: 1. Hält man eine Übertragbarkeit der zum Informationshandeln der Bundes- und Landesregierungen ergangenen Rechtsprechung des BVerfG auch auf das Informationshandeln der Datenschutzaufsichtsbehörden für möglich, so gelangt man zu dem Ergebnis, dass Datenschutzaufsichtsbehörden über die in Art. 57 Abs. 1 Buchstabe b) DS-GVO normierte Sensibilisierungsaufgabe hinaus mangels Vorliegen eines Eingriffs in die Grundrechte des Produktherstellers keiner besonderen gesetzlichen Ermächtigung für Produktwarnungen bedürfen, wenn sie unter Einhaltung der Zuständigkeitsordnung inhaltlich richtig und sachlich im erforderlichen Umfang und mit angemessener Zurückhaltung informieren. Nimmt man dagegen mit der Rechtsprechung des BVerwG das Vorliegen eines Grundrechtseingriffs und damit die Erforderlichkeit einer Rechtsgrundlage für aufsichtliche Produktwarnungen an, so kann sich eine solche aus Art. 57 Abs. 1 Buchstabe b) i.V.m. Art. 58 Abs. 3 Buchstabe b) DS-GVO ergeben. Diese Vorschrift gibt den Aufsichtsbehörden unter anderem die Befugnis, Stellungnahmen zu allen Fragen im Zusammenhang mit dem Schutz personenbezogener Daten an die Öffentlichkeit zu richten. Hierunter fallen auch Stellungnahmen zu Möglichkeiten und Problemen des datenschutzkonformen Einsatzes von bestimmten Produkten. Darüber hinaus finden sich in manchen Landesdatenschutzgesetzen einschlägige Rechtsgrundlagen, wie z.B. in § 24 Abs. 2 HmbDSG. 2. Eine Produktwarnung muss jedenfalls - unabhängig von der Frage nach dem Erfordernis einer spezifischen Rechtsgrundlage - die folgenden inhaltlichen Anforderungen erfüllen, die sich insbesondere aus den Verfassungsgrundsätzen ergeben: a) Der einer Produktwarnung zugrundeliegende Sachverhalt muss sorgsam aufgeklärt worden sein und inhaltlich richtig wiedergegebenen werden (Richtigkeit der Information), woraus sich insbesondere hohe Anforderungen an die Aktualität des zugrunde liegenden Sachverhalts ergeben. Bei Software-Produkten führt dies dazu, dass stets sichergestellt werden muss, dass die aktuellste Version der Software, sowie eventuell anstehende Updates berücksichtigt wurden bzw. alternativ klargestellt wird, auf welche Version der Software sich die Produktwarnung bezieht. b) Die veröffentlichten Informationen müssen dem Gebot der Sachlichkeit entsprechen, d.h. sie dürfen den sachlich gebotenen Rahmen nicht überschreiten und wiedergegebene Wertungen dürfen nicht auf sachfremden Erwägungen beruhen. Darüber hinaus dürfen die veröffentlichten Informationen weder unsachlich noch 1
herabsetzend formuliert sein. Im Übrigen ist die Verbreitung von Informationen unter Berücksichtigung möglicher nachteiliger Wirkungen für betroffene Unternehmen auf das zur Informationsgewährung Erforderliche zu beschränken (Sachlichkeit der Information). c) Eine Produktwarnung muss dem Verhältnismäßigkeitsgrundsatz genügen. Das bedeutet im Einzelnen: Vor Veröffentlichung einer Produktwarnung muss geprüft werden, ob nicht ein milderes, gleich effektives Mittel zur Verfolgung des Zwecks - Verantwortliche auf gewisse      Missstände      hinzuweisen      und      so    präventiv      vielfache Datenschutzverletzungen, die durch den Einsatz des Produkts entstehen würden, in größerem Umfang zu verhindern - in Betracht kommt (Erforderlichkeit). Dabei ist vor allem zu prüfen, ob es nicht ausreichend wäre, anstatt der Veröffentlichung einer Produktwarnung an den Produkthersteller heranzutreten, um eine einvernehmliche und zeitnahe Lösung zu finden (Bsp. Nachbesserungen am Produkt, Abstellen bestimmter Funktionen, Hinweis auf mögliche datenschutzrechtliche Probleme an die Verantwortlichen durch den Produkthersteller selbst). Sollte dies bereits –ggf. auch mehrfach- ohne durchgreifenden Erfolg versucht worden sein, kann von einem ebenso effektiven milderen Mittel in der Regel nicht ausgegangen werden. Außerdem muss geprüft werden, ob es nicht mit verhältnismäßigen Aufwand ebenso möglich wäre, alle Verantwortlichen, die das betroffene Produkt für ihre Datenverarbeitungen potentiell einsetzen, etwa auf Grundlage des Verzeichnisses eines Auftragsverarbeiters nach Art. 30 Abs. 2 DSGVO, zu ermitteln. Dies kommt bspw. bei IT-Produkten, die ausschließlich von einem bestimmten, abgrenzbaren Kreis Verantwortlicher aus der Gesundheitsbranche eingesetzt werden, in Betracht. Milderes, gleich geeignetes Mittel kann je nach den Umständen des Falls eine gezielte Bekanntgabe der Warnung nur an diesen Kreis sein. Zur Wahrung der Angemessenheit der Produktwarnung hat eine Abwägung zwischen dem Interesse der Öffentlichkeit an der Veröffentlichung und den für das betroffene Unternehmen (Hersteller) damit verbundenen negativen Folgen zu erfolgen. Bei dieser Abwägung kann auch das Interesse der Verantwortlichen, vor dem Einsatz nicht datenschutzgerechter Produkte öffentlich gewarnt zu werden, statt von einer Aufsichtsbehörde mit der Ausübung von Abhilfebefugnissen bis hin zu Bußgeldern bedacht zu werden, berücksichtigt werden. Außerdem muss eine zeitliche Begrenzung der Produktwarnung geprüft werden. Insbesondere aus der zu § 40 LFGB ergangenen Rechtsprechung des BVerfG ergibt sich, dass eine zeitlich unbegrenzte Veröffentlichung von Produktwarnungen als unverhältnismäßig einzustufen ist. Eine Löschung der veröffentlichten Produktwarnung muss daher erfolgen, wenn sie sich inhaltlich erledigt hat, d.h. wenn z.B. durch Nachbesserungen des Herstellers das Produkt nunmehr datenschutzkonform eingesetzt werden kann oder das Produkt von dem Hersteller nicht mehr auf dem Markt angeboten wird. 2
3. Die Befugnis zur Veröffentlichung von Produktwarnungen steht jeder Aufsichtsbehörde zu, solange das IT-Produkt durch Verantwortliche oder Auftragsverarbeiter unter ihrer Kontrollverantwortung eingesetzt wird oder möglicherweise eingesetzt werden könnte. Die DSK selbst hat mangels eigener Rechtspersönlichkeit nicht die Befugnis, Produktwarnungen zu veröffentlichen. Die DSK kann nur über durch einzelne Aufsichtsbehörden erfolgte Produktwarnungen informieren. 4. Teilweise wird vertreten, dass dem betroffenen Hersteller vor Publikation der aufsichtlichen Produktwarnung stets, z.B. auf Basis des Entwurfs des zur Veröffentlichung vorbereiten Untersuchungsberichts, vorab Gelegenheit zur Stellungnahme zu geben ist. Dies wird zum Teil aus einer analogen Anwendung von § 28 VwVfG abgeleitet, teilweise auch damit begründet, dass es mit Hinblick auf den Verhältnismäßigkeitsgrundsatz stets erforderlich sei, vor der Veröffentlichung einer Produktwarnung die Interessen des betroffenen Produktherstellers herauszufinden, Gelegenheit zu Abhilfemaßnahmen auf Grundlage der ihm konkret dargelegten Untersuchungsbefunde einzuräumen und diese Positionen gegen die Interessen der Öffentlichkeit abzuwägen. Ebenso führe die Pflicht, die Richtigkeit des der Produktwarnung zugrundeliegenden Sachverhalts sicherzustellen, dazu, dem Hersteller vor Veröffentlichung stets Gelegenheit zur Stellungnahme einzuräumen. Teilweise wird jedoch auch eine generelle vorherige Pflicht zur Gewährung einer Gelegenheit zur Stellungnahme abgelehnt. Einigkeit besteht jedoch darüber, dass es sich jedenfalls in der Regel empfiehlt, den Hersteller vorher anzuhören, da so bislang unbekannte Tatsachen (zum Beispiel anstehende Updates) berücksichtigt werden können. Auch wegen ihrer Auswirkungen auf spätere Staatshaftungsprozesse ist eine vorherige Anhörung des Herstellers sinnvoll. Werden Informationen und Bedenken im Rahmen der Anhörung nicht geltend gemacht, so dürfte dies bei einem Prozess auf Sekundärebene gem. § 254 BGB zum Nachteil der Produkthersteller zu berücksichtigen sein. 5. Mögliche Folgen rechtswidriger - d.h. insbesondere ohne Einhaltung der genannten Voraussetzungen veröffentlichter - Produktwarnungen können zum einen ein öffentlich-rechtlicher Unterlassungs- oder Folgenbeseitigungsanspruch des Produktherstellers (Anspruch auf Widerruf der Produktwarnung), zum anderen ein Amtshaftungsanspruch aus Art. 34 GG i.V. m. § 839 BGB bzw. ein unionsrechtlicher Staatshaftungsanspruch (Schadensersatzanspruch aufgrund von Umsatzeinbußen, die kausal durch die Produktwarnung entstanden sind) sein. 3