Internet of Things (IoT), Smart Home, Cloud oder KI – die Digitalisierung macht auch vor bisher analogen Produkten und Dienstleistungen nicht halt. Mit der fortschreitenden Entwicklung von vernetzten Produkten und digitalen Dienstleistungen stellen sich für Unternehmen neue rechtliche Herausforderungen. Insbesondere die vielfältigen Anforderungen bei Cybersecurity und Datenschutz verlangen eine ganzheitliche und verlässliche Lösung in Form eines Compliancemanagementsystems (CMS).
Datenschutzrechtliche Anforderungen an Hersteller
Die Datenschutz-Grundverordnung (DSGVO) verlangt vom Verantwortlichen für die Datenverarbeitung Datenschutz durch Technikgestaltung und durch datenschutzrechtliche Voreinstellungen, Art. 25 DSGVO. Soweit Hersteller vernetzter Produkte nicht im IoT-Ökosystem verantwortlich für Datenverarbeitungen sind, sind sie jedoch nicht verpflichtet, die obengenannten Grundsätze einzuhalten. Gleichwohl sollen auch Hersteller laut den Erwägungsgründen „ermutigt werden“, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen. Dies kann etwa dadurch erfolgen, dass diejenigen, die im IoT-Ökosystem für die Datenverarbeitung verantwortlich sind, andere Geräte auswählen, die besser geeignet sind, diese Anforderungen zu erfüllen. Und wenn das IoT-Ökosystem direkt von einem Hersteller kommen soll, werden die Hersteller ebenso wie die die Komponenten einsetzenden Unternehmen vor handfeste Herausforderungen gestellt. Diese können sich beispielsweise nicht nur aus dem Betrieb von datenintensiven Backend-Servern für IoT-Geräte, sondern auch aus vermeintlich profanen Dingen, wie der Mängelgewährleistung, ergeben. Nicht zu vergessen ist außerdem, dass Fehler bei Cybersecurity oder Datenschutz auch eine Produzentenhaftung auslösen können.
Gewährleistungsrecht und Datenschutz
Da immer mehr Produkte mit Speicherchips ausgestattet sind, drohen bereits bei einfachsten Vorgängen im Rahmen der Mängelgewährleistung datenschutzrechtliche Risiken. Sind etwa auf einem defekten Produkt personenbezogene Daten gespeichert, stellt die Zerstörung einer rückgesandten Ware eine Verarbeitung im Sinne von Art. 4 DSGVO dar, für die grundsätzlich eine Rechtsgrundlage erforderlich ist.
Jüngst sah sich ein Verkäufer, der eine defekte Festplatte zurücknahm, diese zerstörte und durch eine neue ersetzte, deswegen sogar mit einem Schadensersatzanspruch aus Art. 82 DSGVO konfrontiert. Zwar lehnte das OLG Dresden in diesem Fall den Schadensersatzanspruch ab (siehe hier),
indem es eine konkludente Einwilligung des Käufers in die Verarbeitung durch die Rücksendung annahm. Diese wackelig anmutende Konstruktion macht jedoch deutlich, dass Unternehmen selbst in einfach gelagerten Fällen Vorkehrungen treffen sollten, um auf die DSGVO gestützte Schadensersatzansprüche auszuschließen.
Produzentenhaftung
Aus den allgemeinen Grundsätzen der Produzentenhaftung ergeben sich für Hersteller auch Haftungsrisiken, wenn Benutzern ihrer Produkte, etwa aufgrund von nicht dem Stand der Technik entsprechenden Sicherheitsvorkehrungen, Datenverlust und somit eine Verletzung des Rechts auf informationelle Selbstbestimmung droht. Auch zur Vermeidung deliktischer Ansprüche ist es daher unabdingbar, die rechtlichen Anforderungen an Cybersecurity und Datenschutz zu beachten. Idealerweise erfolgt auch dies bereits im Rahmen der Produktentwicklung.
Produktwarnungen der Datenschutzaufsichtsbehörden
Die deutschen Datenschutzaufsichtsbehörden traten in der letzten Zeit durch Produktwarnungen in Erscheinung, wie etwa im Hinblick auf Videokonferenzdienste. Zwar lässt sich mit guten Gründen daran zweifeln, ob dies von der allgemeinen Befugnis der Behörden zur Öffentlichkeitsarbeit gedeckt ist. Gerichtlich geklärt ist dies bisher jedoch nicht. In Anbetracht der einschneidenden Konsequenzen, die sich aus der Prangerwirkung einer solchen Produktwarnung ergeben können, erscheint es als äußerst ratsam, solche Risiken durch eine sorgfältige Prüfung datenschutzrechtlicher Vorgaben gar nicht erst entstehen zu lassen. Darüber hinaus haben die Aufsichtsbehörden unstreitig Prüfkompetenzen gegenüber Dritten. Sie können sich auch gegen den Hersteller richten, selbst wenn dieser gar nicht Verantwortlicher im Sinne der DSGVO ist.
Aktualisierungspflicht für digitale Produkte
Zum Jahreswechsel treten umfangreiche Änderungen des BGB in Kraft. Teil der Novelle ist eine Aktualisierungspflicht für digitale Produkte, die für den Erhalt der Vertragsmäßigkeit des digitalen Produkts erforderlich ist. Konzeptionell neu dabei ist, dass der Unternehmer selbst bei Verträgen, die auf einen einmaligen Leistungsaustausch ausgerichtet sind, wie etwa bei einem Kaufvertrag, nicht mehr nur für die Mangelfreiheit bei Gefahrübergang einzustehen hat. Vielmehr kann der Zeitraum, über den Aktualisierungen bereitgestellt werden müssen, sogar den Gewährleistungszeitraum übersteigen. Zwar gilt dies unmittelbar nur bei Verträgen zwischen Verbraucher und Unternehmer. Allerdings wird sich in der Praxis häufig der Unternehmer des Herstellers als Erfüllungsgehilfe bei Erfüllung der vertraglichen Aktualisierungspflicht gegenüber dem Verkäufer bedienen und entsprechende vertragliche Regelungen treffen.
Cybersecurity und regulatorische Anforderungen
Aktuelle Entwicklungen weben ein immer engeres regulatorisches Netz für vernetzte Produkte, das Hersteller beachten müssen. Unterwegs ist zurzeit eine neue von der EU-Kommission initiierte delegierte Verordnung, die die Hersteller von Funkanlagen künftig zwingt, Maßnahmen zur Cybersicherheit, zum Datenschutz und zur Betrugsprävention zu ergreifen, um ihre Geräte rechtskonform auf dem europäischen Markt bereitzustellen. Die Geräte dürfen weder schädliche Auswirkungen auf das Netz oder seinen Betrieb haben noch eine missbräuchliche Nutzung von Netzressourcen, die eine unannehmbare Beeinträchtigung des Dienstes verursachen, erlauben. Entsprechende Maßnahmen wären damit für alle IoT-Geräte verpflichtend. Zudem ist das BSI ermächtigt, an die Öffentlichkeit Warnungen über sicherheitsrelevante IT-Eigenschaften von Produkten auszusprechen.
Anforderungen an den Datenschutz sollen künftig unter anderem alle Funkanlagen (darunter können auch IoT-Geräte fallen) erfüllen, mit denen personenbezogene Datennach Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO) oder Verkehrs- sowie Standortdaten nach Art. 2 lit. b) und c) der ePrivacy-Richtlinie verarbeitet werden und die mit dem Internet verbunden sind. Gefordert ist dabei, dass die Geräte einen ausreichenden Schutz der personenbezogenen Daten und der Privatsphäre von Nutzer und Teilnehmer bieten.
Hersteller müssen sich darauf einstellen, dass sie die neuen Vorgaben spätestens Mitte 2024 umgesetzt haben müssen, wenn sie ihre Produkte weiterhin auf dem europäischen Markt bereitstellen wollen.
Das neue IT-Sicherheitsgesetz
Auch das dieses Jahr in Kraft getretene IT-Sicherheitsgesetz 2.0 sieht zumindest für die Hersteller kritischer Komponenten neue Vorschriften vor. Bei kritischen Komponenten handelt es sich um IT-Produkte, die in kritischen Infrastrukturen eingesetzt werden und bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können. Zu den regulatorischen Anforderungen gehört etwa nach § 9b Abs. 3 BSIG eine verpflichtende Garantieerklärung des Herstellers der kritischen Komponente gegenüber dem KRITIS-Betreiber. Darin muss der Hersteller darlegen, wie die kritische Komponente vor Missbrauch, Sabotage, Spionage oder Terrorismus geschützt wird.
Darüber hinaus schafft das Gesetz die neue Kategorie des „Unternehmens im besonderen öffentlichen Interesse“. Dazu gehören Unternehmen, die entweder unter § 60 Außenwirtschaftsverordnung (AWV) fallen, zu den größten Unternehmen in Deutschland gehören oder in bestimmte Bereiche der Störfall-VO fallen. Erfasst sind zudem auch Zulieferer, die wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind. Diese müssen ähnliche, wenn auch etwas weniger umfangreiche, Anforderungen unter anderem an Cybersecurity erfüllen.
Cybersecurity in der Lieferkette
Zuletzt gibt es Maßnahmen, die zwar nicht gesetzlich gefordert werden, aber deren Einhaltung im Interesse der Hersteller selbst liegt und daher Teil eines Gesamtkonzepts sein sollten. Selbst wenn Hersteller alle möglichen Maßnahmen ergreifen, um ihr eigenes Unternehmen gegen Cyberangriffe zu sichern, bleiben sie doch verwundbar, wenn sie nicht dafür sorgen, dass ihre Zulieferer ebenfalls tätig werden. Dafür sind intelligente vertragliche Lösungen erforderlich, die über bloße Absichtserklärungen hinausgehen und hinreichend sicherstellen, dass die Zulieferer tatsächlich die erforderlichen Schritte ergreifen. Aktuelle Vorkommnisse wie das Lahmlegen des Autozulieferers Eberspächer durch einen Cyberangriff (siehe hier) unterstreichen die Dringlichkeit, solche Überlegungen in einen ganzheitlichen Ansatz für digitale Compliance einzubeziehen.
Fazit
Durch die fortschreitende Digitalisierung stellen sich immer neue Anforderungen an Hersteller. Bereits die bisherigen Regulierungen wie die Aktualisierungspflicht, die Vorgaben des neuen IT-Sicherheitsgesetzes, die Vorschriften für mit dem Internet verbundene Funkanlagen und die Auswirkungen der DSGVO auf Hersteller haben eine Komplexität erreicht, die es erforderlich macht, ein Compliancemanagementsystem zu etablieren, das auch größtmögliche Synergieeffekte durch die Umsetzung der einzelnen regulatorischen Vorgaben erzielt. Das CMS sollte die Anforderungen bereits im Vorfeld der Produktentwicklung identifizieren und die Umsetzung über alle Stadien hinweg begleiten.
„Die vielfältigen Anforderungen bei Cybersecurity und Datenschutz verlangen eine ganzheitliche und verlässliche Lösung in Form eines Compliancemanagementsystems (CMS).“
Die Etablierung erscheint insbesondere ratsam, weil davon auszugehen ist, dass weitere regulatorische Vorgaben folgen werden, die auch mögliche zukünftige Geschäftsfelder, wie z.B. die innovative Nutzung von Daten als Wirtschaftsgut, betreffen werden.
