Entschließung vom 12. Dezember 2025: DSGVO-Reform: IT-Hersteller in die Verantwortung nehmen!

Die Datenschutzkonferenz (DSK) unterstützt das gemeinsame Ziel des Bundeskanzlers und der Regierungschefinnen und Regierungschefs der Länder¹, die Hersteller und Anbieter von Standardlösungen künftig in die Verantwortung zu nehmen, damit die Anwender unkompliziert und rechtssicher Standardlösungen nutzen können. Sie hält es für erforderlich, die Reform der DSGVO dafür zu nutzen, das System der datenschutzrechtlichen Verantwortlichkeiten durch das Prinzip der Herstellerverantwortung fortzuentwickeln und diesbezüglich an das anderer Digitalrechtsakte wie den Cyber Resilience Act oder die KI-Verordnung anzugleichen. Dies würde zu einer erheblichen Entlastung der Anwender, insbesondere kleinere und mittlere Unternehmen (KMU), und einer substanziellen Vereinfachung für sie führen, wenn sie personenbezogene Daten verarbeiten.

Die DSGVO stellt bereits heute mit Data Protection by Design and by Default (Art. 25 DSGVO) Grundsätze auf, die sich in der Sache an Hersteller, Importeure und Anbieter richten, nimmt aber nicht diese, sondern ausschließlich die Anwender von Hard- und Software datenschutzrechtlich in die Pflicht. Die Einbeziehung der Anbieter bzw. Hersteller von Standard-Hard- und Software in das etablierte System datenschutzrechtlicher Pflichten würde daher die Verantwortung dorthin verlagern, wo die Entscheidungen über grundsätzliche Weichenstellungen in Systemen getroffen werden. Gleichzeitig würden die Anwender von IT-Produkten, die keinen Einfluss auf das Produktdesign haben, die Haftungsrisiken nicht alleine tragen.

Die DSK hat bereits in ihrer ersten Evaluation der DSGVO im Jahr 2019² Vorschläge für eine solche Erstreckung des Grundsatzes von Data Protection by Design auf Hersteller und Anbieter von IT-Produkten unterbreitet, die im Wesentlichen unverändert vorgeschlagen werden.

Die Ergänzungen entsprechen der grundsätzlichen Ausrichtung der Kommissionsvorschläge, die Anwendung der DSGVO insbesondere für KMU zu vereinfachen und mit den nach ihr erlassenen Digitalrechtsakten zu harmonisieren. Sie erhöhen die Rechtssicherheit für Anwender, denen durch die künftig von Herstellern und Anbietern bereitzustellenden Konformitätserklärungen die Erfüllung ihrer Rechenschaftspflicht erleichtert wird. Demgegenüber entstehen für Hersteller und Anbieter keine erheblichen Zusatzpflichten, da sich diese bereits weitgehend aus dem Cyber Resilience Act ergeben.

In einer weiteren Stufe kann zudem ein an datenschutzrechtliche Zertifizierungen angelehntes Modell auch für Produktzertifizierungen entwickelt werden.

Ergänzend sollten die bisher alleine an den Verantwortlichen gerichteten Verpflichtungen zu den datenschutzfreundlichen Voreinstellungen (Art. 25 DSGVO) auch auf Auftragsverarbeiter erstreckt werden, um neben Herstellern auch deren Rolle bei der Gewährleistung des Datenschutzes durch Technikgestaltung hervorzuheben und Verantwortliche möglichst umfassend von Aufgaben zu entlasten, die an anderer Stelle effektiver geklärt werden können.

¹ Beschluss des Bundeskanzlers und der Regierungschefinnen und Regierungschefs der Länder vom 4. Dezember 2025: Die Förderale Modernisierungsagenda, https://www.bundesregierung.de/resource/blob/975228/2397654/c57248be7fa2d61ab6d8b12c0f29f05b/2025-12-04-mpk-staatsmodernisierung-data.pdf

² DSK: Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO, November 2019, https://www.datenschutzkonferenz-online.de/media/dskb/20191213_erfahrungsbericht_zur_anwendung_der_ds-gvo.pdf