9 Minuten Lesezeit 22 Juni 2023
Zugang zum Smartphone per Fingerabdruck, Datensicherheit

Produktdatenschutz: Welche Herausforderungen gilt es zu bewältigen?

Die regulatorischen Anforderungen an digitale Produkte nehmen zu. Wie Firmen diesen bei der Herstellung und Nutzung gerecht werden können.

Überblick

  • Mit zunehmender Vernetzung von Produkten über das Internet werden IoT-Devices zunehmend zum Bestandteil kritischer Infrastrukturen.
  • Unternehmen können die Cybersicherheit ihrer gesamten Lieferkette nur gewährleisten, wenn alle Komponenten cybersicher sind.
  • Auch die Anforderungen an den Produktdatenschutz müssen Unternehmen erfüllen.

Produkte müssen heute vielfältige Anforderungen an die Sicherheit erfüllen. Soweit dies die Bereitstellung auf dem Markt betrifft, müssen diese entweder den Anforderungen EU-weit harmonisierter Normen genügen. Zudem muss es ausgeschlossen werden können, dass diese Produkte bei bestimmungsgemäßer oder vorhersehbarer Verwendung die Sicherheit und Gesundheit von Personen gefährden. Dies regelt das sogenannte Produktsicherheitsgesetz zur Umsetzung europarechtlicher Vorgaben (ProdSG).

Mit zunehmender Vernetzung von Produkten über das Web oder kritische Infrastrukturen werden viele dieser „IoT-devices“ zum Bestandteil kritischer Infrastrukturen, haben also eine sicherheitsrelevante und -kritische Funktion und verarbeiten selbst oft auch personenbezogene Daten. Die Cybersicherheit der gesamten Lieferkette und vernetzter Systeme ist nur gewährleistet, wenn alle ihre Komponenten gleichfalls cybersicher sind. Hinzu kommt, dass diese Produkte, soweit der Anwendungsbereich des Datenschutzrechts eröffnet sind (weil diese personenbezogene oder -beziehbare Daten verarbeiten) selbst datenschutzkonform sein müssen.

Um dieser funktionellen Bedeutung digitaler Produkte Rechnung zu tragen, hat der europäische Gesetzgeber entsprechende Regelungen vorgesehen oder bereits erlassen.

Vorschlag der EU-Kommission für eine EU-Cyber-Resilienz-Verordnung

Die Europäische Kommission hat am 15. September 2022 einen Vorschlag für einen neuen Rechtsakt zur Cyber-Resilienz vorgelegt. Es handelt sich um eine erste EU-weite Rechtsvorschrift, mit der gemeinsame Cybersicherheitsvorschriften für Hersteller und Entwickler von Produkten mit digitalen Elementen eingeführt werden, die sowohl Hardware als auch Software abdecken. Der Vorschlag versucht, die weit verbreiteten Schwachstellen im boomenden Sektor des Internets der Dinge (IoT) zu beheben, in dem selbst das Hacken eines einzelnen Geräts, des sogenannten „schwächsten Glieds“, zu erheblichen Spillover-Effekten auf die gesamte Organisation oder Lieferkette führen könnte. Der Cyber-Resilience-Act soll sicherstellen, dass die vernetzten Objekte und die Software, die Kunden kaufen, starken Cybersicherheitsvorkehrungen entsprechen. 

Hoher Anteil

90%

der IoT-Produkte sind nach dem geplanten Cyber-Resilience-Act von der Pflicht zum „Self-Assessment“ betroffen.

Nach dem geplanten Cyber-Resilience-Act wird ein Volumen von circa 90 Prozent dieser Produkte eine Pflicht zum „Self-Assessment“ treffen. Dazu gehören unter anderem Produkte wie Smart-Speakers, Computer- und Videospiele sowie Festplatten. Produkte, die zu der Kritikalitätsklasse 1 zählen, müssen sich einem Standard-Self oder einem Drittanbieter-Assessment unterziehen. Kriterien sind hier die Funktionalität, also zum Beispiel Software mit einer Funktion innerhalb kritischer Infrastrukturen, der geplante Verwendungszeck, also etwa Software zur Steuerung von Industrieanlagen, oder Kriterien wie beispielsweise das Ausmaß möglicher Auswirkungen auf Infrastrukturen und die Gesellschaft. Als Beispiele für relevante Produktkategorien nennt die EU-Kommission Passwortmanager, Netzwerk-Interfaces, Microcontroller etc. Fallen die Produkte sogar in die Kritikalitätsklasse 2, wie etwa Betriebssysteme, Industrielle Firewalls, CPUs oder andere sicherheitsrelevante Bestandteile kritischer Infrastrukturen, ist in jedem Fall ein Assessment durch einen hierfür qualifizierten Dritten erforderlich und vom Hersteller durchzuführen.

Beispielsweise zwingt die Anforderung aus Annex 1 Nr.1 Abs. 2 des Kommissionsentwurfs die Hersteller entsprechender Produkte, künftig Produkte mit digitalen Elementen vor deren Vermarktung auf bekannte Schwachstellen hin zu testen und dies zu Nachweiszwecken zu dokumentieren. Dies macht sogenannte „IoT-Pentests“ in entsprechenden Fällen verpflichtend. Als Grundlage und Prüfungskriterien für entsprechende Tests können hierzu zum Beispiel die OWASP Top 10 IoT 2018 dienen.  In diesem Zusammenhang werden von diesen OWASP Top Ten 2018 auch nicht ausreichende Datenschutz-Maßnahmen als Gründe für Cybersecurity-Incidents und Datenschutzverletzungen aufgeführt.

Datenschutz durch Technikgestaltung von Produkten

Was den Datenschutz von Produkten anbetrifft, hat der europäische Gesetzgeber bereits eine Vorschrift in der Datenschutzgrundverordnung erlassen, die zumindest an die Adresse des Verantwortlichen der Verarbeitung, aber auch an Dienstleister, die in einer Auftragsverarbeiterrolle sind, die Verpflichtung ausspricht, die Anforderungen des Art. 25 DSGVO zu „privacy by design“ und „by default“ zwingend zu berücksichtigen. Diese Bestimmung ist damit für den Verantwortlichen der Verarbeitung unmittelbar anwendbar und bindend. Bei der Verwendung von Produkten, mit denen personenbezogene oder-beziehbare Daten verarbeitet werden, ist danach sicherzustellen, dass diese datenschutzkonform gestaltet und konfiguriert werden. Nach der gesetzlichen Definition und der Rechtsprechung des EuGH zum Thema Personenbezug von Daten wird dies letztendlich für eine überwiegende Zahl von vernetzten Produkten und solchen mit digitalen Komponenten gelten.

Bei Software können Hersteller in diesem Zusammenhang sehr schnell zu gemeinsamen Verantwortlichen - zusammen mit dem datenschutzrechtlich verantwortlichen Unternehmen - mit entsprechenden haftungsrechtlichen Konsequenzen werden.

Bei Software können Hersteller in diesem Zusammenhang, zusammen mit dem datenschutzrechtlich verantwortlichen Unternehmen, zu gemeinsamen Verantwortlichen mit entsprechenden haftungsrechtlichen Konsequenzen werden, wenn sie ein eigenes Interesse an der Verarbeitung von personenbezogenen Daten haben, ohne den Nutzer ausreichend zu informieren, beziehungsweise ohne vorab dessen Einwilligung einzuholen. Beispiele hierfür sind Telemetrie- oder andere Gerätedaten, die die Kriterien der Personenbeziehbarkeit erfüllen und Verwendung auch für die Weiterentwicklung des Produkts im ausschließlichen Interesse des Herstellers für dessen Produktentwicklungs-Roadmap finden. 

Daher ist es für Software- und andere Hersteller entsprechend den Vorgaben des Art. 25 Abs. 1 und 2 DSGVO wesentlich, schon früh im Planungs- und Entwicklungsstadium des Produkts zusammen mit dem Datenschutzbeauftragten und anderen internen oder externen Spezialisten – neben den eigentlichen Anforderungen an die Produktgestaltung und Produktsicherheit – auch die datenschutzrechtliche Verantwortlichkeit zu klären, sowie die Anforderungen des Datenschutzes in den Blick zu nehmen und in die Spezifikation des zu entwickelnden Produkts einfließen zu lassen.

Weil der Datenschutz zumindest bis zum Inkrafttreten der DSGVO einen stark reaktiven Ansatz hatte, der oftmals erst bei Datenschutzverletzungen oder -pannen initiativ wurde, erklärt, warum viele Unternehmen organisatorisch die Implementierung des Datenschutzes bei der Produktentwicklung noch nicht oder nicht ausreichend in ihrer Aufbau- und Ablauforganisation der Datenschutz-Governance abgebildet haben.

Ein Blick in Art. 83 Abs. 4 lit. a) DSGVO zeigt, dass die Nichtumsetzung der Pflichten aus Art. 25 DSGVO potenziell mit einem Bußgeld in Höhe von bis zu zwei Prozent des jährlichen weltweiten Unternehmensumsatzes sanktioniert werden kann.

Sanktion

2 %

des jährlichen weltweiten Unternehmensumsatzes kann das Bußgeld bei Nichtumsetzung der aus Art. 25 DSGVO betragen.

Cybersecurity

Cybersecurity

Vorsicht ist besser als Nachsicht – das gilt auch bei der Cybersecurity. Wir helfen Unternehmen aus allen Sektoren, sich strategisch aufzustellen, die eigene Resilienz zu erhöhen, aber auch im Fall der Fälle handlungsfähig zu bleiben.

Mehr erfahren

Auch aus diesem Grund empfiehlt es sich, dass das Unternehmen sich damit befasst, entsprechende Prozesse, Richtlinien und organisatorische Maßnahmen zu treffen, um dem Thema Produktdatenschutz den erforderlichen Stellenwert in den Unternehmensprozessen und in der Organisation entsprechender Datenschutz-Compliance-Anforderungen einzuräumen.

Aber auch das Vertrauen der Verbraucher und Geschäftspartner in eine sichere und datenschutzkonforme Produktgestaltung steht im Falle einer Nichtbeachtung dieser Anforderungen schnell auf dem Spiel. Dies gilt umso mehr, wenn mit dem Produkt sensible Daten verarbeitet werden.

Anforderungen des Produktdatenschutzes und deren Umsetzung

Welche Herausforderungen ergeben sich nun für Unternehmen, die Produkte einsetzen mit denen personenbezogene Daten verarbeitet werden, und für die Hersteller dieser Produkte die angesprochenen Anforderungen umzusetzen?

Anforderungen an Verantwortliche der Verarbeitung und deren Dienstleister

Mit der Beschaffung beginnen die Anforderungen bereits für den Einkauf und die dieser Beschaffung zugrundeliegenden Einkaufsbedingungen beziehungsweise Beschaffungsverträge.

Da sich die Verpflichtung aus Art. 25 DSGVO, bei der Verarbeitung datenschutzkonforme Mittel einzusetzen, an den Verantwortlichen der Datenverarbeitung und an seine Dienstleister, die ihn hierbei gegebenenfalls unterstützen, richtet, aber – anders als künftig nach dem Cyber-Resilience-Act – nicht unmittelbar die Hersteller des jeweiligen Produkts in den Blick nimmt, kommt es darauf an, in den Einkaufsprozessen darauf zu achten und diese Prozesse entsprechend abzusichern.

Für eine große Anzahl von Produkten wird man für deren Verwendung annehmen dürfen, dass mit diesen Produkten jedenfalls auch personenbezogene Daten verarbeitet werden und eine mangelnde Datenschutzkonformität dieser digitalen Produkte dann einen Produktmangel darstellt.

Dies betrifft die Auswahl geeigneter Produkte und vertragliche Regelungen in den Einkaufsbedingungen, die diese Anforderungen bei der Beschaffung sicherstellen. Dem hat der Gesetzgeber unlängst mit einer speziellen Änderung des Schuldrechts für digitale Produkte 2022 Rechnung getragen. Danach muss ein digitales Produkt sich für die nach dem Vertrag vorausgesetzte Verwendung eignen. Für eine große Anzahl von Produkten wird man für deren Verwendung annehmen dürfen, dass mit diesen Produkten jedenfalls auch personenbezogene Daten verarbeitet werden und eine mangelnde Datenschutzkonformität dieser digitalen Produkte dann einen Produktmangel darstellt.

Anforderungen an Hersteller von Produkten

Geht es gar um ein vom Unternehmen selbst hergestelltes oder in den Verkehr gebrachtes digitales Produkt, ist schon in der frühen Planungsphase auf Seiten der für die Entwicklung und das Design des Produkts Verantwortlichen die Anforderungen der Datenschutzproduktkonformität zu berücksichtigen. Daher sollte das produktverantwortliche Unternehmen diesem Umstand bei der Gestaltung der betreffenden Geschäfts- und Entwicklungsprozesse Rechnung tragen. Beteiligte Geschäftsbereiche, wie der Datenschutz und Recht von R&D und IT, sind daher frühzeitig zu involvieren.

Dies erfordert je nach Geschäftsmodell und Organisationsstruktur unter Umständen Änderungen auch an der Aufbau- und/oder Ablauforganisation des Unternehmens.

Was Anforderungen des Datenschutzes an die Gestaltung beziehungsweise das Produktdesign selbst betrifft, so sind fachlich die tragenden Grundsätze des Datenschutzrechts zu berücksichtigen. Dies betrifft eine Vielzahl von Anforderungen, wobei sich diese in zwei wesentliche Gruppen unterteilen lassen. Zum einen sind dies gesetzlich zwingende Implementierungsanforderungen an die Produktgestaltung, zum anderen ergeben sich aus den Datenschutzgrundsätzen, wie sie in den Art. 5, 32 und 25 der DSGVO enthalten sind, bestimmte Verbotstatbestände für das Design und funktionelle Vorgaben.

Als Beispiele können hier nachfolgende Maßgaben und Fragen aufgeführt werden:

Ist mit einer Softwareapplikation ein regulierungskonformes Datenlöschkonzept möglich, ist eine Funktionalität oder ein Mechanismus vorhanden, um es dem Tool-Nutzer zu ermöglichen, die DSGVO-Löschanforderungen zu erfüllen? Sich ergebende Teilfragen hierbei sind dabei zum Beispiel, ob das betreffende IT-System in der Lage ist, Datensätze aus der gegebenenfalls enthaltenen Datenbank selektiv zu löschen oder zu sperren. Eine andere zwingende Frage, insbesondere bei Produkten mit Verbraucherrelevanz ist es, ob mit dem Produkt die Umsetzung der Einwilligung der betroffenen Person möglich ist oder Einwilligungen dokumentierbar mit Hilfe der Software widerrufen werden können.

Ein entsprechendes Hard- oder Softwareprodukt sollte auch nicht ohne Wissen und Information des Nutzers dessen personenbezogene oder -beziehbare Daten sammeln. Dies gilt bereits ab dem Zeitpunkt der erstmaligen Verarbeitung/Erhebung dieser Daten mit dem IT-System. Ein nachträgliches Tätigwerden der verantwortlichen Stelle kann also eine Datenschutzverletzung bei der Ersterhebung der Daten nicht mehr heilen.

Ein entsprechendes Hard- oder Softwareprodukt sollte auch nicht ohne Information und Wissen des Nutzers dessen personenbezogene oder -beziehbare Daten sammeln. Dies gilt bereits ab dem Zeitpunkt der erstmaligen Verarbeitung/Erhebung dieser Daten mit dem IT-System.

Die Datenschutzgrundverordnung verbietet zum Beispiel auch eine automatisierte individuelle Entscheidungsfindung, einschließlich Profiling mittels einer Softwareapplikation.

Das bedeutet, dass eine Entscheidungsfindung nicht ausschließlich durch eine Software durchgeführt werden darf. Jedoch dürfte selbst in Fällen, in denen mit Hilfe von Big-Data-Analysen Entscheidungen mit einem wesentlichen Impact für Betroffene bereits vorbereitet werden, eine kritische Grenze dort erreicht sein, wenn wie etwa im Bereich medizinischer Diagnostik der behandelnde Arzt zu unkritisch auf das KI-gestütze Analyseergebnis des Outputs bildgebender medizinischer Systeme vertraut.

Ein weiterer datenschutzrelevanter Faktor ist die Frage, ob in der Tool- beziehungsweise Produktarchitektur ausreichend Transparenz für Betroffene geschaffen wird? Dabei muss das System in seiner Beschreibung, der Spezifikation und der Dokumentation den beabsichtigten Kommunikationsfluss mit Teilen eingebundener externer IT-Systemarchitektur dokumentieren und offenlegen. Dies spielt gerade in den Fällen eine Rolle, wo zum Beispiel Cloud-Plattformen undokumentiert Datenflüsse in unsichere Drittstaaten eröffnen.

Fazit

Schon diese wenigen Beispiele demonstrieren, welche Anforderungen berücksichtigt werden müssen und welche „Stolpersteine“ und Risiken sich aus einer mangelnden oder fehlenden Berücksichtigung der Anforderungen der Datenschutzkonformität für das Unternehmen im Design- beziehungsweise Entwicklungsprozess digitaler Produkte ergeben können.

Co-Autor: Dr. Christian Oliver Dressel

Über diesen Artikel

EY Deutschland
Von EY Deutschland

Building a better working world

Verwandte Themen Cybersecurity Analytics und Big Data Digitalisierung Internet of Things (IoT) Neue Technologien
Gefällt mir