Gastbeitrag von Meike Kamp

DSGVO-Reform: Hersteller in die Pflicht nehmen - Anwender entlasten

Einfachere Vorschriften und weniger Bürokratie versprach die EU-Kommission kürzlich bei der Vorstellung der Omnibus-Verordnung für den Digitalbereich. Sie schlägt darin teils weitreichende Anpassungen an DSGVO, KI-Verordnung und weiteren Digitalgesetzen vor.   

An vielen Stellen sind die Vorschläge jedoch nicht bis zu Ende gedacht und werden zu neuen Rechtsunsicherheiten führen, so die erste Einschätzung der Datenschutzkonferenz, dem Zusammenschluss der deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. Die geplante Änderung der Definition von personenbezogenen Daten berührt ein Grundprinzip der DSGVO. Wirkliche Vereinfachungen für kleine und mittlere Unternehmen oder Behörden bringen diese Änderungen allerdings nicht.

Vielmehr sollte die EU-Kommission, sofern ihr die Entlastung ernst ist, bei einer Herstellerhaftung ansetzen: Hersteller und Anbieter von IT-Diensten sollten gesetzlich verpflichtet werden, ihre Produkte von Anfang an datenschutzkonform auszugestalten. Damit würde die datenschutzrechtliche Verantwortung auch dorthin verlagert werden, wo die Entscheidung über die Gestaltung von IT-Produkten getroffen werden. Auch Auftragsverarbeiter sollten verpflichtet sein, ihre Dienste nur so anzubieten, dass die Datenschutzgrundsätze eingehalten werden können.  

Derzeit lastet die rechtliche Verantwortung allein bei den Anwendern von IT-Produkten, weil die Anforderungen der DSGVO im Wesentlichen erst ab dem Zeitpunkt gelten, ab dem personenbezogene Daten verarbeitet werden und nicht bereits für die Phase des Designs von Produkten. In der Praxis sind gerade kleine und mittlere Unternehmen sowie Behörden häufig nicht in der Lage, gegenüber den Herstellern datenschutzkonforme Anpassungen durchzusetzen. Aufgrund ihrer Marktmacht bestimmen faktisch in vielen Fällen die Hersteller, wie ihr Produkt Daten verarbeitet und nicht die Anwender, obwohl das Gesetz nur letztere in die Pflicht nimmt.

Zwei Beispiele aus der Praxis:  

1. Office-Anwendungen in Behörden: Eine Behörde nutzt eines der marktbeherrschenden Office-Pakete und ist datenschutzrechtlich verantwortlich für dessen Verarbeitung personenbezogener Daten. Sie muss datenschutzrechtlich relevante Einstellungen vornehmen, Datenflüsse prüfen oder etwaige Schwachstellen finden und abstellen. Die DSGVO geht davon aus, dass die Behörde die zur Datenverarbeitung eingesetzten Mittel beherrschen kann. Den Hersteller des Produkts trifft allerdings bisher keine Pflicht, das Produkt etwa nur so anzubieten, dass die Behörde technisch ausschließen könnte, dass bei der Verarbeitung mit dem Produkt keine personenbezogenen Daten an den Hersteller zurückfließen.
2. Terminbuchung in Arztpraxen: Eine Arztpraxis möchte die Buchung von Terminen mit Hilfe eine Terminverwaltungsanwendung anbieten. Die Praxis greift dazu auf eine der bestehenden Produkte zurück und verlässt sich auf die Aussagen des Herstellers, weil sie selbst wenig technische Expertise hat. Setzt eine Praxis derartige Systeme ein, ist sie selbst Verantwortliche und muss – auch gegenüber der Aufsichtsbehörde – Datenverarbeitungen verantworten, die sie nicht durchschauen kann oder die sie mangels Verhandlungsmacht nicht ändern kann.

Die Datenschutzkonferenz hat sich daher im Dezember in einer Entschließung dafür ausgesprochen, die geplante DSGVO-Reform zur Einführung einer Herstellerhaftung zu nutzen und den Auftragsverarbeiter als Adressat der Vorgaben in Artikel 25 DSGVO zu ergänzen. Dieselbe Position äußern die Regierungschefs von Bund und Ländern in der föderalen Modernisierungsagenda: Sie wollen Hersteller und Anbieter von Standardlösungen künftig in die Verantwortung nehmen, damit Anwender unkompliziert und rechtssicher Standardlösungen nutzen können. Möchte die EU-Kommission echte Entlastung und Vereinfachung schaffen, sollte sie diesen Vorschlag aufgreifen.  

Erstmals erschienen in D.digital, dem digitalpolitischen Newsletter der c't, am 13. Januar 2026