Datenschutzaufsichtsbehörden spielen bei der Anwendung und Auslegung des Datenschutzrechts eine entscheidende Rolle. Äußern sich diese kritisch ggü. der Datenschutzkonformität von (digitalen) Produkten, kann dies das Ende des Produkterfolgs bedeuten: Der Absatz wird gehemmt, die Risiken steigen auch für (potentielle) Investoren enorm. Der Fall Microsoft illustriert dies derzeit deutlich: Die Datenschutzaufsichtsbehörden veröffentlichten vernichtende Einschätzungen, nach denen ein Datenschutzkonformer Einsatz von MS365 unmöglich sei – und dies zunächst sogar ohne vorherige Anhörung von Microsoft. Gäbe es Alternativprodukte am Markt, so wäre MS365 wohl kaum noch genutzt. Aber: War dies zulässig? Was dürfen Datenschutzaufsichtsbehörden in welcher Form öffentlich äußern?
Für Behörden gilt in Deutschland der Grundsatz der Gesetzmäßigkeit der Verwaltung (Art. 20 Abs. 3 GG). Danach haben sie die geltenden Gesetze einzuhalten und dürfen jedenfalls bei Grundrechtseingriffen nicht ohne Ermächtigungsgrundlage tätig werden.
Warnungen als Grundrechtseingriff
Spricht eine Behörde eine Warnung über ein Produkt aus oder gibt eine Einschätzung ab, dass sie ein Produkt für nicht gesetzeskonform hält, kann dies das betroffene Unternehmen fundamental treffen. Solche Äußerungen können das Marktverhalten erheblich beeinflussen, indem es (potentielle) Kunden und Investoren abschreckt. Dies kann zu schwerwiegenden finanziellen Auswirkungen durch die damit verbundene „Prangerwirkung“ führen mit Eingriffen in Art. 12, 14 GG (Letzteres zumindest bei existenziellen Auswirkungen). In einem aktuell in München entschiedenen Fall etwa hatte ein (zu weitgehender) Rückruf von Produkten durch das Verbraucherschutzministerium die Insolvenz einer Großmetzgerei zur Folge, der daher nun Amtshaftungsansprüche zustehen (OLG München, Urt. v. 31.01.2023 – 1 U 1316/21).
Warnungen oder Hinweise zur (fehlenden) Datenschutzkonformität von digitalen Produkten werden auch von Datenschutzaufsichtsbehörden immer wieder veröffentlicht. Prominentes Beispiel sind etwa die Positionierungen der Behörden zur Datenschutzkonformität von MS365, worüber wir zuletzt im Dezember 2022 berichteten. Weitere Beispiele sind etwas Aussagen der Berliner Behörde zu Videokonferenzsystemen oder des HmbBfDI zu E-Scootern. Dabei sind die Datenschutzaufsichtsbehörden zunächst einmal lediglich zur Überwachung und Durchsetzung der DSGVO zuständig (Art. 51 ff. DSGVO). Zwar dürfen sie auch aufklärend oder beratend tätig werden, eine ausdrückliche Erlaubnis zur Warnung der Öffentlichkeit vor Produkten ist jedoch weder der DSGVO noch dem BDSG zu entnehmen.
Wird durch staatliches Informationshandeln die Markt- und Wettbewerbssituation eines konkreten Unternehmens negativ beeinflusst, liegt darin zugleich ein Eingriff in die durch Art. 12 GG geschützte Berufsfreiheit. Bei existenziellen Auswirkungen kann sogar der Schutzbereich der Eigentumsfreiheit nach Art. 14 GG berührt sein. Produktwarnungen haben bei Interessenten und Investoren oftmals eine abschreckende Wirkung und damit einen Einfluss auf das Auftreten eines Unternehmens am Markt. Wird etwas ein Produkt als nicht datenschutzkonform eingeordnet, werden es Kunden schon aufgrund eigener Bußgeldrisiken nicht einsetzen wollen und können, man denke etwa an ein CRM-System oder eben MS365, gäbe es Alternativprodukte und wären die Warnungen unangreifbar.
Gefahren für die Informationssicherheit
Führt eine Aussage einer Datenschutzaufsichtsbehörde zu einem derartigen Grundrechtseingriff, ist sie nur mit einer Ermächtigungsgrundlage rechtmäßig. Ausdrückliche Befugnisse, öffentliche Warnungen auszusprechen, finden sich z.B. im Marktüberwachungs-, im Arzneimittelgesetz oder u.a. in § 7 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Bei Gefahren für die Sicherheit in der Informationstechnik darf hiernach sogar der Name des konkreten Produkts sowie des Herstellers genannt werden. Diskutiert wurde in diesem Zusammenhang vor allem die BSI-Warnung vor der russischen Virenschutz-Software Kaspersky im Zuge des Ukraine-Krieges. Das Oberverwaltungsgericht NRW entschied, dass die Warnung durch das BSI rechtmäßig war.
Gilt das auch für Datenschutzbehörden?
Allerdings ist diese Ermächtigungsgrundlage im BSIG für Datenschutzaufsichtsbehörden nicht anwendbar. Ein von der Datenschutzkonferenz (DSK) beauftragter Arbeitskreis setzte sich mit der Frage einer speziellen Rechtsgrundlage für Produktwarnungen durch Datenschutzaufsichtsbehörden auseinander. Dieser sieht in Art. 58 Abs. 3 lit. b DSGVO eine mögliche Ermächtigungsgrundlage. Die Norm befugt die Behörden, sich zu Fragen im Zusammenhang mit dem Schutz personenbezogener Daten im Einklang mit dem Recht der Mitgliedstaaten an die Öffentlichkeit zu wenden. Ob aber eine solche Erlaubnis zur Öffentlichkeitsarbeit auf Grundrechtseingriffe trägt, ist überaus zweifelhaft. Es ist denn auch nach wie vor umstritten, ob Art. 58 DSGVO als Ermächtigungsgrundlage herangezogen werden kann. Gewichtige Gründe sprechen dagegen.
Und selbst wenn die Norm als Ermächtigungsgrundlage tragen kann, so liegt dem ein Verwaltungsverfahren zu Grunde, das nach rechtsstaatlichen Grundsätzen zu führen ist. Dies bedeutet insbesondere, dass der Sachverhalt ausreichend ermittelt und aufgeklärt werden muss – dafür wir in aller Regel eine Anhörung der betroffenen Unternehmen erforderlich sein.
Wird all dem Rechnung getragen, ist zu berücksichtigen, dass für die Öffentlichkeit ein legitimes Interesse an Informationen über die Einhaltung der DSGVO besteht. Allerdings muss dieses mit den Interessen der Unternehmen, insbesondere deren Berufsfreiheit, in Ausgleich gebracht werden. Eine öffentliche Anprangerung darf kein Ersatz für andere – gesetzlich geregelte – Aufsichtsmaßnahmen der Behörde sein. Aussagen dürfen nur im Einklang mit der Bindung der Behörde an Recht und Gesetz (Art. 20 Abs. 3 GG) erfolgen.
Handlungsoptionen für Unternehmen
Werden Anhaltspunkte bekannt, dass eine Datenschutzaufsichtsbehörde ein digitales Produkt prüft und sich womöglich dazu äußern wird, sollten Unternehmen daher unmittelbar mit der Behörde in Kontakt treten und ihre Position darlegen. In jeder behördlichen Kritik über ein Produkt steckt das Risiko negativer Auswirkungen auf dessen Vertrieb. Primäres Ziel sollte daher stets die Verhinderung der Aussage als solche sein.
Ist dies nicht möglich, so sind im Fall fehlerhafter Produktwarnungen Amtshaftungsansprüche denkbar, die geprüft werden sollten. Davor besteht indes nach der aktuellen Entscheidung des OLG München eine Mitwirkungspflicht des Unternehmens, sachliche Fehler im Behördenverfahren aufzudecken und bei der Richtigstellung des Sachverhaltes mitzuwirken. Möglich ist all dies indes nur bei einer Einbeziehung und Anhörung im Verfahren.