Dürfen die das?

Vor gut einem Jahr starteten mehrere deutsche Datenschutzaufsichtsbehörden Kampagnen zum Einsatz von Videokonferenztools in der Coronapandemie. Die gut gemeinte Idee dahinter: Unternehmen in der Krise bei der Auswahl datenschutzkonformer Software zu unterstützen. Die tatsächliche Auswirkung: chaotische und einander widersprechende Warnungen und Empfehlungen zur Datenschutzkonformität einzelner Produkte, die teils in großer Hast und ohne ausreichende Prüfung veröffentlicht wurden.

Im Ergebnis war es für Unternehmen deswegen kaum möglich, den strengen behördlichen Vorgaben zu entsprechen, und für Hersteller schwer, die Kritik der Behörden zu überprüfen und bei Bedarf Verbesserungen vorzunehmen. Das Gefühl, dass das Datenschutzrecht in der Krise eher ein Klotz am Bein ist, kann ich angesichts der Umstände gut nachvollziehen. Doch ursächlich für diese Misere ist nicht das Datenschutzrecht oder die DSGVO, sondern vielmehr mangelnde Koordination und Absprache zwischen den Datenschutzaufsichtsbehörden, gepaart mit fehlenden rechtlichen Bewertungen und einer teils fragwürdigen Gesetzesinterpretation.

So haben sich die Aufsichtsbehörden offenbar – trotz der erheblichen Auswirkungen auf die Softwarehersteller – erst nach ihren Produktwarnungen Gedanken um die rechtlichen Rahmenbedingungen ihres Handelns gemacht. Diesen Schluss legt jedenfalls ein von der Datenschutzkonferenz beauftragtes und jetzt veröffentlichtes internes Gutachten nahe, das die Frage untersucht, ob und unter welchen Bedingungen die Aufsichtsbehörden berechtigt sind, vom Einsatz bestimmter Produkte abzuraten (siehe Artikel „Vorsicht, Software“ auf Seite 31).

In diesem noch nicht abschließenden Gutachten kommen die Behörden zwar – unter erheblicher Dehnung ihrer Befugnisse – zum Ergebnis, dass sie vor Produkten warnen dürfen, hierfür jedoch hohe Hürden gelten. So müssen die Produktwarnungen nicht nur dem Gebot der Sachlichkeit entsprechen und inhaltlich richtig sein, sondern auch verhältnismäßig. In der Regel ist außerdem dem Hersteller der Software vor Veröffentlichung der Warnung Gelegenheit zur Stellungnahme zu geben. Diesen Anforderungen wird kaum eine der bisher veröffentlichten Produktwarnungen der Behörden gerecht, was mit Blick auf die Bindung der Exekutive an Recht und Gesetz rechtsstaatlich problematisch ist.

Es bleibt daher zu hoffen, dass die Datenschützer ihr aktuelles Gutachten zum Anlass nehmen, ihre eigene Praxis kritisch zu hinterfragen und in Zukunft umsichtiger mit Produktwarnungen umzugehen. Gelingt ihnen das nicht, drohen – völlig zu Recht – Schadensersatzklagen der Hersteller. Unternehmen, die über den Einsatz einer Software nachdenken, ist bis auf Weiteres zu raten, das zu tun, was den Behörden derzeit offenbar schwerfällt: einen kühlen Kopf zu bewahren und sich an das geltende Datenschutzrecht zu halten.