In den Abschnitten „Allgemeine Pflichten“ und „Sicherheit personenbezogener Daten“ regelt die DSGVO in den Art. 25 und 32 DSGVO, dass zum Schutz personenbezogener Daten geeignete technische und organisatorische Maßnahmen zu treffen sind. Der Stand der Technik wird dabei als eines von mehreren Kriterien genannt, anhand derer sich die Geeignetheit dieser Maßnahmen misst. Show Die genannten Kriterien neben dem Stand der Technik sind:
Der Stand der Technik fokussiert demnach als einziges Kriterium auf die technologische Komponente bei der Einschätzung der Geeignetheit von Maßnahmen zum Schutz von personenbezogenen Daten. Was der Stand der Technik aber konkret sein soll, dazu schweigt die DSGVO. Es handelt sich um einen sogenannten unbestimmten Rechtsbegriff. Das ist durchaus auch sinnvoll. Das Gesetz wird durch die Verwendung von Standards für technische Erkenntnisse geöffnet. Es muss nicht laufend an die wissenschaftliche und technische Entwicklung angepasst werden. Das Bundesverfassungsgericht (BVerfG) sieht darin auch eine Förderung des Grundrechtschutzes. Laut ihm würde eine gesetzliche Fixierung eines bestimmten Standards durch die Aufstellung starrer Regeln die technische Weiterentwicklung wie die ihr jeweils angemessene Sicherung der Grundrechte eher hemmen als fördern. Da es sich beim Schutz personenbezogener Daten um ein Grundrecht handelt (Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union) ist diese Aussage hier durchaus heranziehbar, auch wenn sie keinem Urteil zum Datenschutz entstammt. Definition und Einordung des TechnikstandardsIm deutschen Recht werden neben dem Stand der Technik häufig noch die Standards „allgemein anerkannte Regeln der Technik“ und „Stand von Wissenschaft und Technik“ angeführt. Eine entsprechende dreiteilige Abstufung hat das Bundesverfassungsgericht bereits 1978 in einem Urteil etabliert (BVerfG – 2 BvL 8/77). Diese Einteilung ordnet den Stand der Technik zwischen die allgemein anerkannten Regeln der Technik als niedrigstem Standard und dem Stand von Wissenschaft und Technik als höchstem Standard ein. Beim Standard der allgemein anerkannten Regeln der Technik kann sich darauf beschränkt werden, die weit überwiegende Auffassung unter den technischen Praktikern zu ermitteln. Plakativ könnte man hierbei vom Altbewährten sprechen. Durch die Verwendung des Standards Stand der Technik macht die DSGVO aber klar, dass für den Schutz personenbezogener Daten allgemeine Anerkennung und die praktische Bewährung nicht ausreichen. Vielmehr muss in die Meinungsstreitigkeiten der Techniker eingetreten werden, um zu ermitteln, was technisch notwendig, geeignet und angemessen ist. Dabei sind die gestellten Anforderungen jedoch nicht so streng, dass die neuesten technischen und wissenschaftlichen Erkenntnisse umgesetzt werden müssen, die den Stand von Wissenschaft und Technik widerspiegeln. Im Stand der Technik soll immer noch eine gewisse Anerkennung und Bewährung in der Praxis realisierter Maßgaben wiedergefunden werden können. Konkretes Beispiel: E-Mail-VerschlüsselungUm diese vielleicht immer noch abstrakt gebliebene Einordung vom Stand der Technik zu verdeutlichen, veranschaulichen wir das am Thema E-Mail-Verschlüsselung: Grundsätzlich lässt sich bei der Verschlüsselung von E-Mails zwischen Transport- und Inhalts- bzw. Ende-zu-Ende-Verschlüsselung unterscheiden.
Folgender Vergleich gibt zwar die technische Komplexität von E-Mail-Verschlüsselung keinesfalls wieder, verdeutlicht aber die Unterschiede:
Da immer noch viele E-Mails komplett unverschlüsselt versendet werden, wird argumentiert, dass die Verwendung von Transportverschlüsselung – i. d. R. mittels Transport Layer Security Protokoll (TLS) – noch nicht dem Stand einer allgemein anerkannten Regel der Technik entspricht. Es handelt sich deshalb um den Stand der Technik. Dies wird sich aber ändern. So gut wie jeder Praktiker hält eine Transportverschlüsselung für erforderlich und das TLS-Protokoll ist im beruflichen Umfeld inzwischen mehr oder weniger flächendeckend implementiert. Die Verwendung einer Transportverschlüsselung im geschäftlichen E-Mail-Verkehr wird daher in absehbarer Zeit zu den allgemein anerkannten Regeln der Technik zu zählen sein. Darüber hinaus für die sichere Übertragung auch auf eine Inhaltsverschlüsselung mittels S/MIME oder PGP zu setzen, ist definitiv noch nicht überall etablierter Standard. Es ist aber schon so praxisnah, dass man schon nicht mehr vom Stand der Forschung sprechen kann. Die Verschlüsselung auch des Inhalts von E-Mails ist demnach ebenfalls Stand der Technik. Eine Verschlüsselung dem Stand von Wissenschaft und Technik entsprechend, wäre zum Beispiel der Einsatz von Quantenkryptographie. Muss deshalb die Inhaltsverschlüsselung als technische Schutzmaßnahme implementiert werden, wenn personenbezogene Daten per E-Mail versendet werden? Nicht zwingend. Wie zu Beginn dieses Artikels ausgeführt, ist der Stand der Technik eines von mehreren Kriterien anhand derer sich die Geeignetheit einer technischen und organisatorischen Maßnahme zum Schutz von personenbezogenen Daten bemisst. Die anderen von der DSGVO angeführten Kriterien sind die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos. Beim Beispiel der E-Mail hängen die Anforderungen an die Verschlüsselung vor allem davon ab, welche Risiken für eine natürliche Person daraus erwachsen, wenn ein Dritter die versandten Daten mitlesen könnte. Mit anderen Worten: Je brisanter der Inhalt (datenschutzrechtlich) ist, desto höher sind auch die technischen Anforderungen an die Verschlüsselung der E-Mail (Stand der Technik). Soll also z.B. der Befund im Rahmen einer ärztlichen Untersuchung (besonders sensible personenbezogene Daten) per E-Mail verschickt werden, müssen stärkere technische Anstrengungen unternommen werden, als wenn nur normale Rechnungen (d.h. einfache personenbezogene Daten) verschickt werden sollen. Das Kriterium des Stands der Technik muss dann mehr Berücksichtigung erfahren und es gelten erhöhte Anforderungen daran. Der Arzt muss deshalb auch auf Inhaltsverschlüsselung setzten. Für den Versender einer normalen Rechnung reicht erst einmal eine Transportverschlüsselung. Das spiegelt auch die aktuelle Meinung der Aufsichtsbehörden wider, welche für die Übermittlung personenbezogener Daten zwingend eine Transportverschlüsselung fordern und diese Anforderung, sobald es um besondere personenbezogene Daten wie etwa Gesundheitsdaten geht, auf die Verwendung von Inhaltsverschlüsselung erweitern. Handlungshinweise zum Stand der Technik
Wenn Sie mehr zur E-Mail-Verschlüsselung erfahren möchten, finden Sie dazu einen umfangreichen Ratgeber auf unserer Website. Auch zu anderen Aspekten des technischen Datenschutz finden Sie zahlreiche Praxisratgeber, die den Stand er Technik diskutieren und anwendungsbezogen erläutern. Zu guter Letzt erfahren Sie in unserem Newsletter garantiert davon, wenn sich die aktuellen Anforderungen an den „Stand der Technik“ ändern.
Bestimmung des Leistungsgegenstandes anhand der »allgemein anerkannten Regeln der Technik« oder dem »Stand der Technik« – ein großer Unterschied! Sowohl für den Schuldner wie auch den Gläubiger der Leistung ist von wesentlicher Bedeutung, den Leistungsgegenstand konkret zu definieren. Bei dem Kauf z.B. einer Standard-Maschine geht es meistens um die Bezeichnung der Maschine sowie die Dauer der Gewährleistung sowie eventueller vertraglicher Garantien. Anders verhält es sich jedoch häufig bei Planungsleistungen, Überwachungsleistungen, der Auftragsentwicklung und Herstellung von Maschinen als Einzelanfertigungen. In diesem Falle gibt es häufig ein Kompetenzgefälle zwischen Auftraggeber und -nehmer. Aufgrund der im Regelfall höheren Spezialisierung des Anbieters der Leistung möchte der Auftraggeber vertraglich sicherstellen, dass er die bestmögliche Leistung erhält. Häufig nehmen daher Lastenhefte, Rahmenverträge etc. Bezug auf anerkannte Regeln der Technik, allgemein anerkannte Regeln der Technik, den Stand der Technik, den Stand von Wissenschaft und Technik oder DIN- bzw. EN-Normen. Diese Begriffe werden in der Vertragspraxis jedoch häufig als Synonym verstanden und verwendet, insbesondere, wenn Lastenhefte oder Rahmenverträge ohne anwaltliche Hilfe erstellt werden. Erschwerend kommt häufig hinzu, dass bei internationalen Verträgen die Vertragssprache eine andere ist als diejenige der Vertragsparteien. So werden in aller Regel Verträge z.B. zwischen deutschen und belgischen oder deutschen und französischen Unternehmen auf Englisch geschlossen, so dass man häufig froh ist, eine akzeptable Übersetzung dessen in den Vertrag eingebracht zu haben, was man glaubt, vertraglich vereinbaren zu wollen, frei nach dem Bonmot, dass schlechtes Englisch die auf der Welt am häufigsten gesprochene Sprache ist. Häufig erlebt dabei die eine oder andere Partei eine Überraschung, wenn es zum Schwur kommt, d.h., wenn die Leistung erbracht wird und hinter die Erwartungen einer Partei zurückfällt. Dann hilft ein Blick in den Vertrag. Dabei gilt aber, dass die (allgemein) anerkannten Regeln der Technik in der Realität etwas ganz anderes als der Stand der Technik bzw. der Stand von Wissenschaft und Technik. 1. (Allgemein) Anerkannte Regeln der TechnikHäufig wird die zu erbringende Leistung unter Hinweis auf „anerkannte Regeln der Technik“ oder „allgemein anerkannte Regeln der Technik“ definiert. Im Bereich der Werkverträge, sei dies gemäß VOB/B oder dem zivilrechtlichen Werkvertrag, handelt es sich dabei jedoch lediglich um einen Mindeststandard, der nicht legal definiert ist. Eine Regel ist nach der Rechtsprechung dann eine (allgemein) anerkannte Regel der Technik, wenn sie die ganz vorherrschende Ansicht der technischen Fachleute darstellt. Diese Regel muss allgemeine wissenschaftliche Anerkennung, darüber hinaus aber auch Eingang in die Praxis gefunden haben. Es kommt daher auf die praktische Bewährung an. Auf beiden Ebenen muss die Regel der ganz überwiegenden Ansicht der Fachleute entsprechen. In der Rechtsprechung ist anerkannt, dass „anerkannte Regeln der Technik“ und „allgemein anerkannte Regeln der Technik“ synonym sind. 2. Stand der TechnikDer Stand der Technik geht dagegen viel weiter. „Stand der Technik“ wie auch „Stand von Wissenschaft und Technik“ haben ein dynamisches Element, während den allgemein anerkannten Regeln der Technik ein eher traditionelles Moment inne wohnt. Neue technische Verfahren setzen sich langsam durch und werden erst spät allgemein anerkannt. Der Stand der Technik ist daher fortschrittlicher und dynamischer als die allgemein anerkannten Regeln der Technik. 3. Drei-Stufen-TheorieDeutlich wird der Unterschied unter Rückgriff auf die sogenannte 3-Stufen-Theorie, die der herrschenden Meinung in Literatur und Rechtsprechung entspricht. Dabei bilden die allgemein anerkannten Regeln der Technik die niedrigste Stufe. Wird dieser Standard verwendet, schuldet der Erbringer der Leistung lediglich eine Leistung, die im Wege einer empirisch getroffenen Feststellung der Mehrheitsauffassung unter den technischen Praktikern entspricht. Der Stand der Technik ist dagegen weit anspruchsvoller. Um das Bundesverfassungsgericht (BVerfGE 49, 89 (135 f.) = NJW 1979, 359 (362) in der wegweisenden Kalkar-Entscheidung zu zitieren, wird durch diese Klausel der Maßstab für das Geschuldete, das Erlaubte und Gebotene an die Front des technischen Fortschritts verlagert. Am dynamischsten in der der Drei-Stufen-Theorie ist dabei der Technikstandard „Stand von Wissenschaft und Technik“, weil dieser die neuesten technischen und wissenschaftlichen Erkenntnisse umfasst und er insbesondere nicht durch das gegenwärtig Realisierte und Machbare begrenzt wird. Die Drei-Stufen-Theorie illustriert, dass der Leistungsgegenstand durch die jeweilige Bezugnahme völlig anders definiert werden kann. Derjenige, der z.B. eine „State of the Art“- EDV-Lösung erwartet, erhält daher im Streitfall wohl eher weniger als er erwartet, wenn die Leistung ins Lastenheft durch die anerkannten Regeln der Technik konkretisiert wird. Für für den Unternehmer, der sich zu einer Leistung verpflichtet, kann die Abgrenzung gravierende Auswirkungen haben. Denn wenn er nach den anerkannten Regeln der Technik arbeitet, jedoch z.B. den Stand von Wissenstand und Technik schuldet, bleibt seine Leistung, die Ist-Beschaffenheit, hinter der geschuldeten, der Soll-Beschaffenheit, zurück. Derjenige, der eine Maschine erwerben möchte, bei der er sicher gehen will, dass diese praxiserprobt ist, sollte hingegen eher nach den anerkannten Regeln der Technik vorgehen, wobei ihm in aller Regel DIN- und EN-Normen zur Konkretisierung dessen dienen können, was als allgemein anerkannter Stand der Technik angesehen wird. Dabei gilt jedoch, dass diese DIN-Normen nur widerlegbare Vermutungen für diese Konkretisierung sind, jedoch keine Gesetzeskraft haben. Nach Maßgabe der 3-Stufen-Theorie wäre es daher grob fehlerhaft, die Begriffe „Anerkannte Regeln der Technik“ und „Stand der Technik“ synonym zu verwenden. Dies erfolgt jedoch leider viel zu häufig, gerade in Verträgen mit Auslandsbezug. Gerade Begriffe, die nicht genau gesetzlich definiert sind und Interpretationsspielraum bieten, sollten nur nach reiflicher Überlegung Eingang in Verträge finden.
|