„DSGVO-konform“ – nur ein Werbegag?
In der Praxis kann immer wieder beobachtet werden, dass bei Produkten wie Cloud-Diensten, CRM- oder ERP-Systemen, Personalverwaltungssoftware oder auch Hardware, bei deren Verwendung personenbezogene Daten verarbeitet werden, die Unternehmen ihre Angebote mit dem Hinweis oder auch einem Siegel wie beispielswiese „DSGVO-konform“, „DSGVO-compliant“, „100 % DSGVO-Compliance“, „garantierte DSGVO-Konformität“ versehen.
Durch solche Botschaften werden insbesondere Verantwortliche angesprochen, die auf der Suche nach einem Produkt sind, welches alle Kriterien der DSGVO hinsichtlich der Rechtmäßigkeit der Datenverarbeitung erfüllen soll und das daher bedenkenlos zum Einsatz kommen kann.
Doch hier stellt sich die Frage, was hinter solchen Aussagen der Produktanbieter steckt. Können Verantwortliche darauf vertrauen, dass tatsächlich die DSGVO-Konformität vorliegt? Können sie sich gegebenenfalls sogar exkulpieren, wenn trotz der behaupteten „DSGVO-Konformität“ des Produkts Datenschutzmängel vorliegen und im Extremfall sogar eine Behörde ein Bußgeld verhängt oder betroffene Personen Schadenersatzansprüche geltend machen? Oder müssen Verantwortliche trotz der Behauptungen der Anbieter die Produkte im Einzelnen selbst prüfen?
Was sagt die Verordnung zu den Datenschutzkonformitätszertifikaten?
Bezüglich der Datenschutzkonformität der IT-Produkte und IT-Dienstleistungen und entsprechender Zertifizierungen, Siegel und Prüfzeichen existieren in den Artt. 42 und 43 DSGVO Regelungen, die dazu dienen, nachzuweisen, dass die Datenschutz-Grundverordnung (DSGVO) bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Dabei soll nach Gesetzeswortlaut den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen Rechnung getragen werden.
Und in der Tat wäre es insbesondere für viele klein- und mittelständische Unternehmen sehr hilfreich, wenn durch entsprechende Siegel und Prüfzeichen ein Nachweis der Einhaltung der DSGVO nach festgelegten Prüfkriterien möglich wäre.
Entsprechend den gesetzlichen Vorgaben müssten die Zertifizierungsstellen zunächst akkreditiert werden und eine Befugnis zur Erteilung der Zertifizierungen, Siegel und Prüfzeichen erhalten. Die Befugnis wird dabei durch die Datenschutzaufsichtsbehörden erteilt, denen gegenüber die Zertifizierungsstellen nachweisen müssen, dass sie über das nötige Fachwissen verfügen, unabhängig sind und ihre Aufgaben- und Pflichtenerfüllung ohne Interessenkonflikte durchführen können.
Dabei müssten auch die Kriterien, nach denen die Zertifizierungsstellen ihre Zertifizierungen durchführen, von der jeweils zuständigen Aufsichtsbehörde oder vom Europäischen Datenschutz-Ausschuss (EDSA) genehmigt werden. Auch weitere Gesetzesvorgaben wie beispielsweise die Verpflichtung der Zertifizierungsstellen auf die Einhaltung der Prüfkriterien, die Einführung von Mechanismen zur regelmäßigen Überprüfung und gegebenenfalls zum Widerruf der bereits erteilten Zertifizierungen oder aber auch der Umgang mit Beschwerden müssen umbesetzt werden.
Man merkt, die gesetzlichen Hürden auf dem Weg zu den DSGVO-Siegeln und -Prüfzeichen, die per Gesetz einen Nachweis der Datenschutz-Konformität ermöglichen, sind hoch. So kommt es, dass aktuell, nach mehr als vier Jahren Geltung der Datenschutz-Grundverordnung, noch keine Zertifizierungsstellen existieren, die für Verantwortliche und Auftragsverarbeiter eine Möglichkeit bieten würden, sich nach den Grundsätzen der Artt. 42 und 43 DSGVO zertifizieren zu lassen.
Daher stellen die eingangs angesprochenen Hinweise und Siegel der Produktanbieter lediglich mehr oder weniger unverbindlichen Qualitätsbehauptungen seitens der Anbieter dar, denen im datenschutzrechtlichen Sinn keinerlei Nachweiswirkung zukommt. Die möglicherweise durchgeführte und nicht nur behauptete Prüfung der DSGVO-Konformität erfolgt in vielen Fällen – wenn überhaupt – dann nur nach nicht nachvollziehbaren und kaum überprüfbaren Kriterien. Auch Bußgelder oder Schadenersatzansprüche betroffener Personen wird man als Verantwortlicher durch den Verweis auf die Auskunft des jeweiligen Dienstanbieters nicht abwenden können. Vielmehr verbleibt die datenschutzrechtliche Verantwortlichkeit immer bei dem für die Datenverarbeitung Verantwortlichen selbst.
Was sagt die Aufsicht?
Darauf weist übrigens auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit in seinem aktuellen Tätigkeitsbericht für das Jahr 2021 hin, indem er auf S. 133 bzgl. einer unzulässigen Verarbeitung von Mitarbeiterdaten durch den Arbeitgeber sagt:
[…], wobei Arbeitgeber sich im Rahmen eines Bußgeldverfahrens nicht durch den Einwand exkulpieren können, dass das eingesetzte Produkt mit dem Zusatz „DS-GVO-konform“ beworben wird. Als Verantwortliche im Sinn des Art. 4 Nr. 7 DS-GVO sind Arbeitgeber nach Art. 5 Abs. 2 DS-GVO für die Einhaltung der Grundsätze der Verarbeitung verantwortlich und rechenschaftspflichtig.
Mögliche vertragliche Haftung des Produktanbieters
Von der datenschutzrechtlichen Fragestellung, inwiefern durch die Hinweise des Produktanbieters Datenschutz-Konformität nachgewiesen werden kann (oder eher nicht kann), ist die Frage zu unterscheiden, ob die Behauptung der Datenschutz-Compliance durch den Produktverkäufer im kaufrechtlichen Sinn als eine zugesicherte Eigenschaft gilt. Gegebenenfalls könnte der Kunde dann im Schadensfall vertragsrechtliche Ansprüche gegen den Produktanbieter aus diesem Grund geltend machen. Soweit ersichtlich wurde diese Frage im Rahmen eines Gerichtsverfahrens bislang noch nicht geklärt.
Fazit
Verantwortliche, die IT-Produkte, -Dienstleistungen oder aber auch Hardwarelösungen erwerben und nutzen wollen und mittels dieser Produkte personenbezogene Daten verarbeiten, müssten, um insbesondere ihren Rechenschaftspflichten gemäß Art. 5 Abs. 2 DSGVO nachkommen zu können, selbst prüfen, inwiefern die Produkte den datenschutzrechtlichen Vorgaben entsprechen. Dabei ist die Prüfung der Datenschutzdokumentation des Produktanbieters unumgänglich. Und so sollte beispielsweise ein Auftragsverarbeitungsvertrag nicht blind unterschrieben, sondern darauf geprüft werden, inwiefern er den Anforderungen des Art. 28 DSGVO auch tatsächlich genügt. Auch das Vorhandensein von sogenannten Garantien zur Datenübermittlung an einen Unterauftragnehmer des Auftragsverarbeiters in einem Drittland (beispielsweise aufgrund von Standarddatenschutzklauseln) müsste überprüft und gegebenenfalls auch ein Data-Transfer Impact Assessment (DTIA) durch den Verantwortlichen durchgeführt werden, da dies unter dem Aspekt der Erfüllung der Nachweispflicht zu den Pflichten des Verantwortlichen und nicht des Auftragsverarbeiters gehört.
