Die Datenschutzbeauftragten des Bundes und der Länder halten die Vorgaben für Softwarehersteller in der Datenschutz-Grundverordnung (DSGVO) für unzureichend und fordern Nachbesserungen.
Das geht laut einem Bericht des Handelsblatts aus einem gemeinsamen „Erfahrungsbericht“ der Behörden zur Anwendung der DSGVO hervor. Die aktuellen Datenschutzvorschriften widersprächen dem Produkthaftungsrecht, nach dem Hersteller für Schäden, die durch ihre Produkte entstehen, haften. „Daher sollte Ziel sein, auch für datenschutzrechtlich relevante Produkte stärker auch die Hersteller in die Pflicht zu nehmen“, heißt es in dem Bericht.
Die Behörden bemängeln, dass etwa Softwarehersteller „in keiner Weise ermutigt“ würden, das von der DSGVO eingeforderte „Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksicht igen“. Damit bestünden nicht nur „erhebliche Lücken im Bereich des Schutzes personenbezogener Daten“. Es komme zudem zu einer „Potenzierung von technischem und bürokratischem Aufwand bei dem Versuch, dezentrale Mängel zu beseitigen, die zentral verursacht werden“. Dies führe zu einer „überproportionalen“ Belastung insbesondere kleiner und mittlerer Unternehmen.
Die Problematik führen die Datenschützer darauf zurück, dass die Vorgaben der DSGVO „nicht weitreichend genug“ seien. Dort wird zwar die Beachtung von Grundsätzen wie Datenschutz durch Technikgestaltung („Privacy by Design“) und datenschutzfreundlichen Voreinstellungen („Privacy by Default“) verlangt, jedoch allgemein von „Verantwortlichen“. Diese entwickelten in der Regel aber nicht selbst Hard- und Software, sondern seien vielmehr auf die angebotenen Systeme angewiesen, „sodass Produkte und Einsatzbedingungen von Anbieterseite diktiert werden können“. A ls Konsequenz schlagen die Aufsichtsbehörden vor, in der DSGVO auch die Hersteller von Software zur Einhaltung des „datenschutzfördernden Designprinzips“ zu verpflichten.