Updating Art. 25 DS-GVO – Aktuelle Entwicklungen und Bußgeldpraxis zum Datenschutz durch Technikgestaltung
Die in Art. 25 DS-GVO angelegten Grundsätze „Privacy by Design“ und „Privacy by Default“ gehören zu den innovativen Neuregelungen der DSGVO. Aus Sicht der Normanwender bereitete der hohe Abstraktionsgrad der Vorschrift aber schon immer große Probleme. Untersuchenswert ist daher, wie weit die Vorschrift zwischenzeitlich durch konkretisierende Leitlinien, sowie durch behördliche und gerichtliche Entscheidungspraxis handhabbarer geworden ist. Dazu sollen nach einer Darstellung der bisher vorliegenden Konkretisierungsansätze drei praktische Anwendungsfelder (Use Cases bei Gesundheits-, Automobil- und der Internetwirtschaft) genauer beleuchtet werden, in denen das Konzept eine besonders zentrale Rolle spielt.
I. Problemaufriss
Nach Art. 25 Abs. 1 DS-GVO haben Verantwortliche geeignete technisch organisatorische Maßnahmen zum Schutz der Rechte der Betroffenen zu treffen, wobei ein weiter Entscheidungs- und Gestaltungsspielraum besteht. Das folgt aus dem im Einzelfall gegebenenfalls komplexen Zusammenspiel der in der Vorschrift genannten Abwägungsfaktoren, namentlich dem Stand der Technik, den Implementierungskosten sowie dem Datenverarbeitungsmodus, den Verarbeitungszwecken und der anzustellenden Risikoanalyse. Die Pflicht, die normadressierten Vorgänge einer Verhältnismäßigkeitsprüfung zu unterziehen, trifft, wie Erwägungsgrund 78 klarstellt, ausdrücklich nicht die Hersteller marktdominanter Softwareprodukte, soweit sie nicht zugleich Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO sind.
Angesichts der Konzeption der Vorschrift verwundert die Auswertung von Experteninterviews im Rahmen einer wissenschaftlichen Qualifikationsarbeit nicht: 10 Expert/innen unterschiedlicher Provenienz (Anwendungsexperten, Aufsichtsbehörden, Unternehmen, Verbände und Vereine, Wissenschaftler/innen) wurden zu ihren Erfahrungen mit Art. 25 DS-GVO befragt. Einig waren sich die Befragten dahingehend, dass die Vorschrift wegen ihres hohen Abstraktionsgrads den Normanwender vor große Herausforderungen stellt. Aus Unternehmenssicht wurde vor allem kritisiert, dass einheitliche Orientierungshilfen fehlten und dadurch die Operationalisierung der Bestimmung schwierig sei. Letztlich generiere die Vorschrift auch in Zusammenschau weiterer Regelungen, namentlich Artt. 5, 24, 32 und 35 DSGVO, gar keinen eigenständigen Mehrwert für den Datenschutz. Diese Ansicht wird auch von aufsichtsbehördlicher Seite zum Teil vertreten, bleibt dort aber nicht unwidersprochen.
Sind die Vorgaben der DS-GVO zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen tatsächlich noch immer derart unterkonkretisiert, dass sie in der Praxis schwer umsetzbar oder gar redundant sind? Hierzu bedarf es zunächst eines genaueren Blicks auf konkretisierende Best Practice Papiere, Leitfäden, Orientierungshilfen sowie die behördliche und gerichtliche Entscheidungspraxis.
II. Normkonkretisierung durch Entscheidungspraxis, Orientierungspapiere und Literatur
1. Internationale Entscheidungspraxis
Das Portal GDPR-Hub führt für Art. 25 DS-GVO derzeit (Stand: 1.2.2022) insgesamt 37 Einträge (behördliche oder gerichtliche Entscheidungen) mit Bezug zu Abs. 1 und 13 Einträge mit Bezug zu Art. 25 Abs. 2 DS-GVO, wobei nicht in allen der gelisteten Entscheidungen mit Blick auf die tangierten Absätze immer differenziert wird. Überwiegend handelt es sich um aufsichtsbehördliche Entscheidungen, zunehmend finden sich aber auch gerichtliche Entscheidungen.
Auffällig ist die Häufung von Entscheidungen der Aufsichtsbehörde Italiens (11 Einträge), die unter anderem vor dem Hintergrund von Maßnahmen zur Bekämpfung der Covid-19-Pandemie, dem Einsatz von algorithmenbasierter Systeme bei Essenslieferdiensten und unzulässigen Praktiken bei der Überwachung von Online-Prüfungen an Hochschulen standen. Bemerkenswert ist weiter, dass Art. 25 tatsächlich in keiner der aufsichtsrechtlichen oder gerichtlichen Voten allein für entscheidungserheblich gehalten wurde. Neben den meist parallel adressierten Art. 5, 24, 32 und 35 DSGVO finden sich je nach Kontext häufig auch Verweise auf Artt. 6, 7, 9, 12 und 13 DS-GVO.
Soweit ersichtlich gibt es bis dato nur eine einzige aufsichtsbehördliche Entscheidung, in der ein Bußgeld im Wesentlichen (nur) mit einem Verstoß gegen Art. 25 DS-GVO begründet wurde. Es handelt sich um ein Verfahren der Romanian Authority for the Supervision of Personal Data Processing gegen die Unicredit Bank S.A., die mit einer Geldbuße in Höhe von umgerechnet 130.000 € belegt wurde. Hintergrund waren vom 25.5.2018 bis zum 10.12.2018 im Zahlungsverfahren einsehbare Daten (persönliche Identifikationsnummer und Adresse) des Zahlers, die den Zahlungskunden online zur Verfügung gestellt wurden.
2. Art. 25 DS-GVO in der nationalen Bußgeldpraxis
Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung erlassen. Zur Begründung hieß es, das Unternehmen habe für die Speicherung personenbezogener Daten von Mieterinnen und Mietern entgegen Art. 25 Abs. 1 DS-GVO sowie Art. 5 (Abs. 1 lit. a), c), e)) und Art. 6 Abs. 1 DS-GVO ein Archivsystem eingesetzt, das keine Möglichkeit vorgesehen habe, nicht mehr erforderliche Daten zu entfernen. Dadurch sei es teilweise möglich gewesen, Jahre alte private Angaben betroffener Mieterinnen und Mieter einzusehen, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten (Vorhalten eines „Datenfriedhofs“).
Auf Einspruch des Unternehmens hat das LG Berlin den Bußgeldbescheid mit Beschluss vom 18.02.2021 aufgehoben und das Verfahren nach § 206a StPO in Verbindung mit §§ 46, 71 OWiG eingestellt. Zentral für die Begründung des Gerichts war die in der Rechtsprechung durchaus umstrittene Annahme, ein Unternehmen könne kein unmittelbar Betroffener im Bußgeldverfahren wegen eines Verstoßes gegen Art. 83 DS-GVO sein und die dann erforderlichen Feststellungen zu dem der juristischen Person zurechenbaren Handeln ihrer Organmitglieder oder Repräsentanten habe es nicht gegeben. Auf die gegen den Beschluss des LG Berlin gerichtete sofortige Beschwerde der Staatsanwaltschaft hat das Kammergericht Berlin mit Entscheidung vom 06.12.2021 das Verfahren ausgesetzt und dem EuGH Fragen zur Auslegung von Art. 83 DS-GVO zur Vorabentscheidung vorgelegt. Inhaltliche Aussagen zu Art. 25 DS-GVO sind in diesem Verfahren wegen der auf die Interpretation der Art. 83 Abs. 4 bis 6 DS-GVO beschränkten Vorlagefragen aber nicht zu erwarten.
3. Informationsmaterialien der Aufsicht Konkretisierungsdefizit auf nationaler Ebene
Geht man die auf der Webseite der Datenschutzkonferenz abrufbare gesammelte Publikationsliste (Stand wohl April 2021) von Informationsmaterialien der Aufsichtsbehörden durch, ist das Ergebnis ernüchternd. Von den insgesamt 477 dort verzeichneten Dokumenten unterschiedlichen Formats (u.a. Orientierungshilfen, Faltblätter, FAQ-Listen, Praxisratgeber, Muster) adressieren lediglich 3 Dokumente explizit Art. 25 DS-GVO. Auch dort steht die Vorschrift aber im Kontext weiterer Normen, wird also nicht individuell adressiert.
4. EDPB Guidelines 4/2019 on Article 25
Fokussierter sind insoweit die Guidelines 4/2019 on Article 25 Data Protection by Design and by Default des Europäischen Datenschutzausschusses (EDSA, bzw. EDPB), die seit 20.10.2020 in Version 2.0 vorliegen. Signifikante Änderungen gegenüber Version 1.0 vom 13.11.2019 betreffen vor allem eine weitere Ausdifferenzierung des Kapitels „Implementing data protection principles in the processing of personal data using data protection by design and by default“ und damit die Ebene der Operationalisierung. Das Kapitel gliedert sich an den Grundsätzen des Art. 5 DS-GVO entlang, und in der aktualisierten Fassung wurden weitere Fallbeispiele mit möglichen Maßnahmen nach Art. 25 DS-GVO aufgenommen. Gleichwohl bleibt der Abstraktionsgrad der Guidelines hoch und leistet daher wenig Assistenz für branchenspezifische Fragestellungen. Deutlicher als in der Vorversion findet sich bei den abschließenden Empfehlungen allerdings der Hinweis: „Controllers, on the other hand, should not choose producers or processors who do not offer systems enabling or supporting the controller to comply with Article 25, because controllers will be held accountable for the lack of implementation thereof.“ Hierin klingt ein Lösungsansatz für die eingangs angesprochene Schutzlücke (Hersteller werden nicht originär verpflichtet) an, indem Art. 25 DS-GVO über den Verantwortlichen auf den Produzenten wirken soll. In der Literatur wird aber zu Recht darauf hingewiesen, dass dies einen Markt voraussetzt, in dem der Verantwortliche der Stärkere ist und unter mehreren Produzenten wählen kann, bzw. diesen gegenüber mit entsprechender Verhandlungsmacht Privacy by Design und Privacy by Default vertragsmäßig hineinverhandeln kann.
5. Flankierende (Compliance) Standards
Ohne in diesem Rahmen das Verhältnis einzelner Vorgaben der DS-GVO einerseits und Standards der ISO-Familie sowie weiteren Modellen andererseits näher ausleuchten zu können, entfalten einzelne Dokumente jedenfalls bereichsspezifisch Orientierungsfunktion. Selbst wenn Bezugspunkt der 2021 herausgegebenen VDE-Prüfbestimmung „VDE geprüfte Datensparsamkeit: Privacy-by-Design, Privacy-by-Default“ nicht Art. 25 DS-GVO, sondern Ann Cavoukians Konzept „Privacy by Design: 7 Foundational Principles“ von 2009 ist, enthält das Dokument innerbetrieblich gut operationalisierbare Vorgaben, etwa auch zur Dokumentation zum Datenschutz während der Außerbetriebnahme von datenverarbeitenden Produkten und Systemen. Erwähnenswert ist in diesem Zusammenhang schließlich der neuerlich veröffentlichte Standard Model Process for Addressing Ethical Concerns during System Design der IEEE, der leider explizit „specific guidance on the design of algorithms to apply ethical values such as fairness and privacy“ aus seinem Anwendungsbereich ausschließt.
III. Case Studies
In drei Anwendungsfeldern hat das Konzept „Privacy by Design“ jüngst besondere praktische Bedeutung erlangt. Das betrifft die Automobilbranche vor dem Hintergrund zunehmender Automatisierung und Vernetzung der Fahrzeuge, den Gesundheitsbereich mit der elektronischen Patientenakte und die dem Grundsatz der Datenminimierung grundsätzlich wenig zugetanen Internetwirtschaft.
1. Connected Car
Datenschutz durch Technikgestaltung als zentrales Prinzip für vernetzte Fahrzeuge
Zu den datenschutzrechtlichen Implikationen des vernetzten Fahrens gab es bereits eine Fülle von Empfehlungen, Orientierungshilfen und Best-Practice-Papieren, als der Europäische Datenschutzausschuss im Januar 2020 die Leitlinien 01/2020 zur Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen verabschiedete. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen spielen in diesem Dokument eine zentrale Rolle. Der EDSA stellt darin fest, dass in Anbetracht des Umfangs und der Vielfalt der von vernetzten Fahrzeugen erzeugten personenbezogenen Daten sichergestellt werden muss, dass die eingesetzten Technologien so konfiguriert sind, dass die Privatsphäre des Einzelnen gewahrt bleibt und datenschutzfreundliche Voreinstellungen gemäß Art. 25 DS-GVO eingehalten werden.
Den Adressatenkreis zieht der EDSA grundsätzlich weit, denn nach den Guidelines können zu den Verantwortlichen „Dienstleister gehören, die Fahrzeugdaten verarbeiten, um dem Fahrer Verkehrsinformationen, Informationen über umweltbewusstes Fahren oder Warnmeldungen zu den Funktionen des Fahrzeugs zu senden, Versicherungsgesellschaften, die nutzungsabhängige Verträge („Pay As You Drive“) anbieten, oder Fahrzeughersteller, die Daten über den Verschleiß von Fahrzeugteilen erheben, um die Fahrzeugqualität zu verbessern.“ In den Leitlinien empfohlen wird die vornehmlich lokale (on board), ggfls. hybride und soweit möglich anonyme, bzw. pseudonyme Datenverarbeitung im Fahrzeug, was mit Anwendungsbeispielen unterfüttert wird. Im Rahmen der Fallstudien setzt sich der EDSA u.a. mit der datenschutzrechtlichen Zulässigkeit von nutzungsabhängigen Versicherungen im KFZ-Bereich auseinander. Der EDSA bewertet dies im Lichte des insoweit bereichsspezifisch anwendbaren Art. 5 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation. Dies, weil es um den Zugriff auf Informationen gehe, die im Fahrzeug und damit einem Endgerät im Sinne des Art. 5 Abs. 3 Datenschutzrichtlinie für elektronische Kommunikation gespeichert sind.
Damit hat das EDSA-Papier nicht nur mit Blick auf Art. 25 DS-GVO konkretisierende Funktion. Außer Frage steht vor diesem Hintergrund auch, dass viele Anwendungen des vernetzten und automatisierten Fahrens in Deutschland seit dem 1.12.2021 dem TTDSG unterfallen, denn Ziel dieses Gesetzes ist u.a., die Vorgaben der ePrivacy-Richtlinie (endlich) umzusetzen.
Vernetztes Fahren im Anwendungsbereich des TTDSG
Entsprechend regelt das TTDSG u.a. nach § 1 Ziffer 7 die Anforderungen an die Speicherung von Informationen in Endeinrichtungen der Endnutzer und den Zugriff auf Informationen, die in diesen Endeinrichtungen gespeichert sind. Dies adressiert die Vorgaben in Art. 5 Abs. 3 der ePrivacy-RiLi, der (in der deutschen Sprachfassung) indes nicht von „Endeinrichtung“ („terminal equipment“ in der engl. Sprachfassung), sondern missverständlich von „Endgerät“ spricht. Endeinrichtungen werden in § 2 Abs. 2 Nr. 6 TTDSG legaldefiniert als „jede direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten […]“ Diese Definition ist unionsrechtlich vorgegeben und basiert auf Art. 2 Ziffer 4 des Europäischen Kodex für elektronische Kommunikation, der den die ePrivavy RiLi umgebenden Rechtsrahmen für elektronische Kommunikationsnetze und -dienste abgelöst hat.
Können Kraftfahrzeuge also (bspw. mittels eingebauter SIM-Karten) an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtungen im Sinne des § 2 Abs. 2 Nr. 6 TTDSG sein, ist das Auslesen der im Fahrzeug gespeicherten Daten (bspw. Standortdaten im Rahmen der Navigation) über diese Netze nur auf Grundlage einer informierten Einwilligung § 25 TTDSG Abs. 1, oder im Rahmen der Erlaubnistatbestände des § 25 Abs. 2 TTDSG zulässig. Letztgenanntes wird man auch dann annehmen können, wenn es um die Verarbeitung gesetzlich festgelegter, fahrsicherheitsrelevanter Daten geht.
Privacy by Design beim autonomen Fahren
In diesem Zusammenhang stehen auch Neuerungen im Straßenverkehrsrecht durch das Gesetz zum autonomen Fahren, mit dem ausweislich der Gesetzesbegründung explizit „Privacy by Design“ adressiert werden sollte. Nach § 1g Abs. 1 StVG muss der Halter (als Verantwortlicher i.S.d. Art. 4 Nr. 7 DS-GVO) eines Kraftfahrzeugs mit autonomer Fahrfunktion beim Betrieb des Fahrzeugs bestimmte Daten, darunter beispielsweise Positionsdaten und Geschwindigkeit speichern. Mit dieser halterbezogenen Vorgabe korrespondiert nach § 1 g Abs. 3 Satz 1 StVG eine Pflicht der Hersteller entsprechender Fahrzeuge, die Halter dazu auch tatsächlich in die Lage zu versetzen. Hersteller müssen den Halter präzise, klar und in leichter Sprache über die Einstellungsmöglichkeiten zur Privatsphäre und zur Verarbeitung der Daten informieren, die beim Betrieb des Kraftfahrzeugs in der autonomen Fahrfunktion verarbeitet werden, § 1g Abs. 3 Satz 2 StVG. Weiter muss die Software des Kraftfahrzeugs Wahlmöglichkeiten zur Art und Weise der Speicherung und der Übermittlung der in der autonomen Fahrfunktion verarbeiteten Daten vorsehen und dem Halter entsprechende Einstellungen ermöglichen, § 1g Abs. 3 Satz 3 StVG.
Die Gesetzesbegründung lässt offen, ob mit dem Hinweis auf „Privacy by Design“ das rechtsverbindliche Konzept in Art. 25 DS-GVO, oder das von Ann Cavoukian begründete Prinzip gemeint ist. Für Letztgenanntes spricht, dass sich die Gesetzesbegründung an dieser Stelle insgesamt einer eher politischen als rechtsbegrifflich präzisen Sprachlichkeit bedient.
2. Elektronische Patientenakte
Einführung in gestuftem Verfahren
Seit dem 01. Januar 2021 können gesetzlich Versicherte eine elektronische Patientenakte (ePA) ihrer Krankenkasse erhalten. Eingeführt wurde das neue Instrument der Digitalisierung im Gesundheitswesen mit dem Patientendaten-Schutz-Gesetz (PDSG), das am 20. Oktober 2020 in Kraft getreten ist und u.a. zahlreiche Ergänzungen im elften Kapitel des SGB V zum Gegenstand hat. Mit dem Beginn der Test- und Einführungsphase (01. Januar 2021) war nach § 341 Abs. 2 Nr. 1a) SGB V bereits das Speichern von Befunden, Diagnosen, durchgeführten und geplanten Therapiemaßnahmen, Früherkennungsuntersuchungen, Behandlungsberichten und sonstigen untersuchungs- und behandlungsbezogenen medizinischen Informationen möglich. Seit dem 01. Januar 2022 können weitere Funktionen genutzt werden. Ebenfalls (erst) seit Beginn dieses Jahres können Versicherte den Datenzugriff auf einzelne, für die Behandlung (eines bestimmten Arztes) notwendige Dokumente beschränken (feingranulares Management), wobei dies die Nutzung eines mobilen Endgerätes (z.B. Smartphone, Tablet) voraussetzt. Zuvor galt, dass die Versicherten die Daten gegenüber einem medizinischen Leistungserbringer nur nach dem „Alles oder Nichts“ Prinzip zur Verfügung stellen konnten.
Feingranulares Management und Art. 25 DS-GVO
Nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber verstößt die Konzeption der ePA gegen Art. 25 DS-GVO, weshalb dieser gegenüber den gesetzlichen Krankenkassen in seinem Zuständigkeitsbereich ein datenschutzaufsichtsbehördliches Verfahren eingeleitet und ihnen aufgegeben hat, das Zugriffsmanagement der elektronischen Patientenakte (ePA) feingranular und unabhängig von einem individuellen Endgerät auszugestalten.
Mit Blick auf Art. 25 DS-GVO heißt es in einem auf der Webseite des BfDI verfügbaren Musterbescheid, eine Umsetzung nach dem „Alles-oder-Nichts-Prinzip“ entspreche nicht dem Stand der Technik und verstoße gegen die Vorgaben in Art. 25 DS-GVO sowie gegen die Datenschutzgrundsätze des Art. 5 Abs. 1 lit. a), b), c) und f) DS-GVO. Auch könne nicht von einer (freiwilligen) Einwilligung der Versicherten ausgegangen werden, da die Freigabe von (bestimmten) Gesundheitsdaten gegenüber dem Orthopäden kein Einverständnis hinsichtlich des Zugriffs auf Daten des Versicherten aus Behandlungen beim Zahnarzt impliziere.
Der Verstoß gegen Art. 25 DS-GVO wird in dem Bescheid vor allem mit Blick auf die besondere Sensibilität der Daten (besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DS-GVO) begründet, nennenswerte Ausführungen zu weiteren Abwägungskriterien in Art. 25 Abs. 1 DS-GVO (Implementierungskosten und Risikoanalyse) enthält der Musterbescheid nicht. Das Bundesamt für soziale Sicherung ist der Ansicht des BfDI als Aufsichtsbehörde der Krankenkassen u.a. mit Hinweis darauf entgegengetreten, dass es den Versicherten freistehe, sich für die Verwendung der elektronischen Patientenakte unter den gegebenen Voraussetzungen zu entscheiden. In dem nunmehr (wohl) anhängigen sozialgerichtlichen Verfahren werden interessante Rechtsfragen um die Auslegung des Art. 25 DS-GVO aufgeworfen. Namentlich, wie weit die (gesetzlich vorgezeichnete) Abwägungsentscheidung im Rahmen des Art. 25 Abs. 1 DS-GVO gerichtlich (voll) überprüfbar und wie weit die Vorgaben der Vorschrift disponibel sind, ist weiterhin klärungsbedürftig.
3. Consent Banner und Dark Patterns
Dark Patterns
Unter dem Sammelbegriff der „Dark Patterns“ werden Designmuster bei digitalen Anwendungen der Internetwirtschaft verstanden, die Nutzer zu Handlungen verleiten sollen, welche ihren „eigentlichen“ Interessen zuwiderlaufen. Dies geschieht durch Ausnutzung verhaltensökonomischer bzw. -psychologischer Effekte. Nicht nur, aber auch bei Cookie-Bannern stellt sich die Frage, ob die Auswahlmöglichkeiten, namentlich ihre Ablehnung designtechnisch absichtlich weniger attraktiv gestaltet werden, um Nutzer/innen eine Zustimmung abzuringen. Rechtlich könnte dies als Verstoß gegen Art. 25 DS-GVO zu werten sein. Problematisiert werden Dark Patterns aber auch mit Blick auf das Fehlen einer wirksamen Einwilligung nach Art. 6 lit. a DS-GVO; bei Cookie-Bannern stellt sich die Frage nach § 25 TTDSG.
Ob Art. 25 DS-GVO angesichts seines hohen Abstraktionsgrads gegen Dark Patterns tatsächlich Nennenswertes leisten kann, ist fraglich. Vor dem Hintergrund eines möglichen Bußgelds (Art. 83 Abs. 4 lit. a DS-GVO) und vor dem Hintergrund des Bestimmtheitsgebots (Art. 49 Abs. 1 S. 1 GRCh) kann nicht jedes Gestaltungsmuster mit Lenkungsfunktion von Art. 25 Abs. 1 DS-GVO erfasst sein. Denkbar wäre, nur auf besonders aggressive Formen abzustellen, bei denen beispielsweise mehrere Beeinflussungsstrukturen kumulativ wirken und so eine systematische Dimension ausgelöst wird. Auf den ersten Blick leichter fällt die Detektion datenschutzunfreundlicher Voreinstellungen nach Art. 25 Abs. 2 DS-GVO (Privacy by Default). Zielführender als die Subsumtion unter Art. 25 DS-GVO erscheint, Dark Patterns auf das Vorliegen einer hinreichend informierten Einwilligung hin genauer zu untersuchen. Genau das (Cookie-Consent) hat die französische Datenschutzaufsicht (CNIL) in Verfahren gegen Facebook und Google jüngst getan. Wie am 06.01.2022 bekannt wurde, hat die CNIL gegenüber Facebook (facebook.com) ein Bußgeld in Höhe von 60 Millionen und gegenüber Google (google.fr und youtube.com) ein Bußgeld in Höhe von 150 Millionen Euro ausgesprochen, weil auf ihren Webseiten das Ablehnen von Cookies nicht genauso einfach möglich war, wie sie zu akzeptieren.
Werden die vielschichtigen Fragen rund um Dark Patterns von der Situation de lege lata nur ausschnittsweise erfasst, wird die Debatte um ein explizites Verbot von Dark Patterns im Digital Services Act (DSA) weiter mit Spannung zu beobachten sein.
IV. Fazit
Im Gesetzgebungsverfahren wurde das Wirkpotential von Art. 25 DS-GVO durch die Einschränkung auf Adressatenebene (nicht unmittelbar verpflichtete Hersteller) ganz bewusst gedrosselt. Folglich wird man den in Empfehlungen des EDSA und der Literatur bisweilen anklingenden Versuchen, diesen legislativen Konstruktionsfehler in Eigenregie zu heilen, zurückhaltend begegnen müssen.
Bis auf wenige Ausnahmen ist die aufsichtsbehördliche Praxis bisher sehr zurückhaltend, Bußgelder (allein) auf einen Verstoß gegen Art. 25 DS-GVO zu stützen. Redundant ist die Vorschrift gleichwohl nicht. Unbestritten gibt es partiell Überschneidungen mit anderen Rechtsvorschriften. Das Hineinwirken des Datenschutzes in die Technikgestaltung und damit in ganz frühe Phasen des Lebenszyklusmanagements personenbezogener Daten hat aber eigenständige Substanz. Die Leitlinien des EDSA bieten erste Orientierungspunkte für eine Operationalisierung, der Datenschutz durch Technikgestaltung sollte aber auch durch weitere unterstützende Papiere der nationalen Aufsichtsbehörden weiter ergänzt werden, denn den EDSA-Guidelines zu Art. 25 DS-GVO fehlt es jedenfalls bereichsspezifisch an handhabbaren Vorgaben. Anderes gilt derzeit nur für das hochautomatisierte, bzw. autonome Fahren, wo zwischenzeitlich einigermaßen greifbare Vorgaben zu „Privacy by Design“ im vernetzten Fahrzeug existieren.
Für die Interpretation der Vorgaben des Art. 25 DSGVO spannend bleiben einzelne Aspekte der stufenweisen Umsetzung der elektronischen Gesundheitsakte sowie der Einsatz bestimmter Erscheinungsformen von „Dark Patterns“ durch die Internetwirtschaft. In beiden Bereichen wurden Defizite beim Datenschutz durch Technikgestaltung jüngst aufsichtsrechtlich beanstandet, gerichtliche Entscheidungen stehen hier aber noch aus.