Im Folgenden geht es darum, inwieweit dem Hersteller einer Maschine die Verpflichtung auferlegt werden kann, die Software für den Betrieb der Maschine datenschutzkonform zu gestalten und wem die Datenberechtigung für die gewonnenen Daten zusteht.
Klassifikation der Daten und Berechtigung
Maßgeblich für die Datenberechtigung ist, ob es sich um personenbezogene Produkt- bzw. Prozessdaten oder reine Maschinendaten handelt. Personenbezogene Daten liegen immer dann vor, wenn in den Produkt- oder Prozessdaten Daten verarbeitet werden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, d.h. Betreiberdaten, aus denen sich u.U. Leistungsdaten ablesen lassen. Aufgrund des dem Datenschutzrecht zugrundeliegenden „Verbotes mit Erlaubnisvorbehalt“ wäre eine Verarbeitung personenbezogener Daten nach Art. 4 Nr. 1 DSGVO nur aufgrund eines vorliegenden Erlaubnistatbestandes möglich, wie er u.a. in den Rechtsgründen des Art. 6 DSGVO gegeben ist. Im Übrigen liegt die Datenberechtigung einzig und allein bei der betroffenen Person.
Soweit Daten aus dem Betrieb der Maschine gewonnen werden, die keinen Personenbezug aufweisen, handelt es sich um Maschinendaten, für deren Verarbeitung die DSGVO nicht einschlägig ist. Als Datenberechtigte kämen grundsätzlich folgende Personen in Betracht:
- der Cloudbetreiber, der für den Maschinenbetreiber die Daten in der Cloud speichert
Auch wenn die Maschine auf in der Cloud gespeicherte Daten zugreift und gewonnene Daten dort ablegt, ist der Cloudbetreiber nicht nutzungsberechtig. Vielmehr ist dieser i.d.R. als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO i.V.m. Art 28 DSGVO für den Betreiber der Maschine entsprechend dessen Vorgaben tätig. - der Hersteller einer Maschinenkomponente oder der Gesamtmaschine, die z.B. den Wartungs- oder Verschleißzustand ermittelt
Der Hersteller hat zwar grundsätzlich ein veritables Interesse daran, die Datenhoheit und Nutzungsberechtigung über die gewonnenen Maschinendaten zu erlangen, um z.B. aus der Datenauswertung einen übermäßigen Verschleiß des Produktes zu ermitteln, um darauf basierend Produktverbesserungsmaßnahmen zu treffen. Allerdings besteht diese Nutzungsberechtigung für die Daten nur, wenn zwischen Hersteller und Betreiber ein Vertrag hierüber besteht. Das ist erforderlich, weil ein rechtlicher Rahmen zur Nutzung von Maschinendaten derzeit nicht besteht. - der Betreiber der Maschine
Ihm obliegt die Herrschaftsmacht über die Sache als Eigentümer und/oder Besitzer und er betreibt alle mit der Maschine betriebenen Prozesse, daher ist er berechtigt, die hieraus gewonnenen Maschinendaten zu nutzen.
Verpflichtung zur datenschutzkonformen Ausgestaltung von Maschinen
Häufig werden aber mit dem Betrieb der Maschine nicht nur reine Maschinendaten generiert, sondern auch Daten mit Personenbezug, so dass der Betreiber der Maschine, diese nur entsprechend der Voraussetzungen des Art. 6 DSGVO verarbeiten kann. Bleibt zu klären, ob sich aus der DSGVO für den Hersteller eine direkte Verpflichtung ergibt, die Maschinensoftware datenschutzkonform zu konstruieren, wenn diese auch personenbezogene Daten verarbeitet.
Direkte Verpflichtung aus Art. 25 DSGVO
Eine direkte Verpflichtung zur datenschutzkonformen Ausgestaltung der Maschinensoftware ergibt sich aus Art. 25 DSGVO, nur für den Hersteller, der zugleich Verantwortlicher ist, d.h. wenn er personenbezogene Daten verarbeitet, in dem er selbst die Maschine betreibt.
Tut er dies als Hersteller nicht, ist er bei der Maschinenkonstruktion nicht nach dem Grundsatz „Data Protection by Design and by Default“ gebunden. Nach diesem Grundsatz wäre der Verantwortliche bei der Gestaltung der Datenverarbeitung gehalten, die Standards der DSGVO einzuhalten, wobei sich die konkret zu treffenden Maßnahmen an den Implementierungskosten, der Art, dem Umfang und dem Zweck der Datenverarbeitung sowie dem tatsächlichen Stand der Technik orientieren.
Der Hersteller, der zugleich Verantwortlicher ist, ist daher gehalten, durch Voreinstellung nach Art. 25 Abs. 2 DSGVO an den Maschinen nur diese Daten verarbeiten zu lassen, die für den konkreten Verarbeitungszweck in Bezug auf Datenmenge, -umfang und Zweck unbedingt erforderlich sind.
Für den Hersteller, der nicht zugleich Verantwortlicher ist, ergibt sich aus ErwG 78, dass er als Hersteller ermutigt werden soll, bei der Gestaltung der Maschinen sowie deren Software inkl. deren Voreinstellungen, die datenschutzrechtlichen Grundsätze (u.a. Datenminimierung) zu berücksichtigen, eine Verpflichtung hingegen besteht nicht.
Mittelbare Mängelgewährleistung
Auch wenn sich für den Hersteller grundsätzlich keine unmittelbare Verpflichtung aus Art. 25, 32 DSGVO hinsichtlich der DSGVO-konformen Softwarekonstruktion ergibt, so kann die nicht datenschutzkonforme Maschinenkonstruktion dennoch ein Mangel i.S.v. § 434 Abs. 1 S.2 Nr. 2 BGB sein. Ein Mangel liegt dann vor, wenn bei objektiv-berechtigter Käufererwartung davon ausgegangen werden kann, dass eine datenschutzkonforme Software eingesetzt wird, weil
- eine datenschutzfreundliche Technik bereits am Markt hierzu vorhanden ist,
- diese Technik bereits bei anderen auf dem Markt verfügbaren und vergleichbaren Maschinen (z.B. Konkurrenzprodukte) eingesetzt wird,
- die Maschinen in sachlicher Hinsicht substituierbar sind.
Sollte Hersteller der Maschine nicht der Verkäufer sein, kann auf ihn bei einer vertraglichen Mängelgewährleistung in folgenden Fällen mittelbar durchgegriffen werden, z.B.
- bei Neuprodukten nach § 445a BGB für die Geltendmachung von Sekundärrechten des Verkäufers gegenüber dem Hersteller und
- bei dem Verkauf von Verbrauchsgütern nach § 478 BGB mit seinen erweiterten Durchgriffsmöglichkeiten.
Vorausgesetzt der Mangel wurde gem. § 377 HGB gerügt.
Produzentenhaftung für den Hersteller
Produzentenhaftung nach § 823 Abs. 2 BGB
Für eine Haftung aus § 823 Abs. 2 BGB besteht nur dann Raum, wenn der Hersteller durch die nicht datenschutzkonforme Ausgestaltung ein Gesetz verletzt, dass auch dem individuellen Schutz des Geschädigten, also der betroffenen Person dient, in deren Recht auf informationelle Selbstbestimmung eingegriffen wurde.
Art. 25 Abs. 2 DSGVO ist aber kein persönliches Schutzgesetz in diesem Sinne und zudem ist der Hersteller nur dann Adressat, wenn er als Verantwortlicher agiert, d.h. selbst als Betreiber der Maschine personenbezogene Daten verarbeitet.
Das Produkthaftungsgesetz scheidet als ein persönliches Schutzgesetz i.S.v. § 823 Abs. 2 BGB aus, weil die Ausgestaltung der Software nicht unter den Regelungsbereich des Produkthaftungsgesetzes fällt.
Produzentenhaftung nach § 823 Abs. 1 BGB
Der Hersteller könnte jedoch über die Produzentenhaftung nach § 823 Abs. 1 BGB in Anspruch genommen werden. Die Haftung des Herstellers ergibt sich hier aus dem Inverkehrbringen einer Gefahrenquelle, d.h. er muss im Rahmen des Standes der Technik dafür Sorge tragen, dass bei der Benutzung der Maschine und deren Software nicht mehr als unvermeidbar in die Rechtsgüter Dritter, wie sich diese aus § 823 Abs. 1 BGB ergeben, eingegriffen wird. Eingegriffen werden könnte durch die beim Betrieb der Maschine verwendete Software in das Recht auf informationelle Selbstbestimmung, wie dieses in § 823 Abs. 1 BGB und über die Achtung des Privatlebens durch Art. 8 GRCh geschützt ist.
Für die Datenverarbeitung maßgeblich ist somit die Ausgestaltung der für den Betrieb der Maschinen erforderlichen Software, die nicht mehr als vermeidbar in das informationelle Recht auf Selbstbestimmung des an der Maschine Tätigen eingreift. Die Software müsste die Sicherheit bieten, mit der unter Berücksichtigung aller Umstände billigerweise gerechnet werden kann. Abzustellen ist hierbei auf die Fehlerkategorien Konstruktions-, Fabrikations-, Instruktions- und Produktbeobachtungsfehler, bei deren Vorliegen das Verschulden für die eingetretene Rechtsverletzung vermutet wird.
In datenschutzrechtlicher Hinsicht relevant wäre der Konstruktionsfehler, d.h. seitens des Herstellers dürften nicht alle technisch möglichen Sicherheitsmaßnahmen ergriffen worden sein, um den Sicherheitsgrad zu erzielen, der nach der herrschenden Verkehrsauffassung für diese Anwendung als erforderlich gilt. Daraus ergibt sich jedoch nicht automatisch eine Verpflichtung, die Software bereits in der Konstruktionsphase datenschutzkonform zu planen. Dies ist nur dann der Fall, wenn gebotene allgemeine Sicherheitsstandards eine datenschutzkonforme Lösung erforderlich machen und es zumindest anerkannte Regeln der Technik gibt, deren Verletzung gleichzeitig eine Verletzung einer dem Hersteller obliegenden Verkehrssicherungspflicht bedingt und somit für den Hersteller eine Verpflichtung besteht, diese Sicherheitsstandards einzuhalten.
Derzeitige Rechtslage
Art. 25 DSGVO ist somit lediglich eine Orientierungshilfe für die Produktgestaltung des Herstellers, bedingt aber nicht zwingend die Verpflichtung des Herstellers auf datenschutzkonforme Produktgestaltung.