Deutschland will Hersteller für Datenschutz-Pannen haftbar machen

Die Bundesregierung drängt auf eine grundlegende Reform der europäischen Datenschutz-Grundverordnung (DSGVO). Ihr Plan: Software-Hersteller sollen künftig direkt für mangelhaften Datenschutz in ihren Produkten haften. Bisher traf diese Verantwortung vor allem die nutzenden Unternehmen.

Diese Initiative markiert eine Zeitenwende in der EU-Digitalregulierung. Sie will die Haftung für Datenschutzverstöße an die bereits beschlossenen, strengen Regeln für Cybersicherheit und KI angleichen. Für die Tech-Branche könnte das massive Konsequenzen haben.

Artikel 25 der DSGVO im Fokus: Von der Pflicht zur Haftung

Kern der geplanten Reform ist eine Neuauslegung von Artikel 25 der DSGVO („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“). Die deutsche Argumentation: Das aktuelle Recht sei veraltet, weil es die Anwenderunternehmen in die Pflicht nimmt. Diese hätten aber oft keinen Einfluss auf den Code standardisierter Softwarelösungen.

Die EU‑KI‑Verordnung und die geplante DSGVO‑Neuausrichtung bringen neue Pflichten für Hersteller von KI‑Systemen und könnten die Haftungsfrage entscheidend verschärfen. Unser kostenloser Umsetzungsleitfaden erklärt kompakt Kennzeichnungspflichten, Risikoklassifizierung, Dokumentationsanforderungen und Übergangsfristen – praxisnah und ohne juristisches Kauderwelsch. Ideal für Unternehmen, Entwickler und Anbieter, die ihre Produkte rechtssicher einordnen und Haftungsrisiken minimieren wollen. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Die Datenschutzkonferenz (DSK), das Gremium der deutschen Aufsichtsbehörden, unterstützt den Vorstoß nachdrücklich. Nur die Hersteller könnten Datenschutz bereits in der Entwicklungsphase einbauen.

Die konkreten Änderungen wären weitreichend:
* Direkthaftung für Hersteller: Software müsste ab Werk DSGVO-konform sein.
* Konformitätserklärungen: Anbieter müssten verbindliche „DSGVO-Garantien“ für ihre Kunden ausstellen.
* Zertifizierungen: Offizielle Produktzertifikate könnten den Einkauf für EU-Firmen vereinfachen.

Rechtsexperten sehen darin die Schließung einer lange bestehenden Lücke. Bisher konnten Hersteller mit nicht konformer Software Geld verdienen, während ihre Kunden die Bußgelder riskierten.

Harmonisierung mit Cybersicherheit und Produkthaftung

Die Reformbemühungen stehen nicht isoliert da. Sie sollen die DSGVO mit dem Cyber Resilience Act (CRA) und der überarbeiteten Produkthaftungsrichtlinie (PLD) harmonisieren.

Die Logik der Bundesregierung: Wenn Hersteller schon für Sicherheitslücken nach dem CRA haften, dann sollten sie das konsequenterweise auch für Datenschutzmängel tun. Für Entwickler würde „Privacy by Design“ damit vom freiwilligen Standard zur verbindlichen Rechtsvorgabe – vergleichbar mit Sicherheitsnormen für physische Produkte.

Gemischte Reaktionen und die Open-Source-Frage

Die Reaktionen der Tech-Branche fallen gespalten aus. Unternehmenskunden begrüßen die mögliche Entlastung. Software-Entwickler warnen dagegen vor dem bürokratischen Aufwand und unklaren Grenzen.

Ein zentraler Streitpunkt ist die Open-Source-Community. Zwar hat die EU versucht, nicht-kommerzielle Projekte von der Haftung auszunehmen. Die Definition von „kommerzieller Tätigkeit“ bleibt jedoch vage. Marktbeobachter befürchten einen Trend zum „Foundation-Washing“: Kommerzielle Anbieter könnten Projekte auf Stiftungen übertragen, um der Haftung zu entgehen.

Die große Rechtslage: Die Uhr der Produkthaftung tickt

Im Hintergrund drängt die Zeit für die neue Produkthaftungsrichtlinie (PLD). Bis Dezember 2026 müssen die Mitgliedstaaten sie in nationales Recht umsetzen. Sie stuft Software bereits als „Produkt“ ein, für das bei Schäden – auch durch Datenverlust – strikt gehaftet wird.

Die deutsche DSGVO-Initiative schlägt die Brücke zwischen der PLD (die Schäden regelt) und der DSGVO (die Rechte und Compliance betrifft). Das Ziel: ein lückenloses Haftungsnetz, durch das kein „digitales Produkt“ mehr ohne garantierte Datenschutzstandards auf den EU-Markt gelangt. Die Ära, in der Hersteller ihre Haftung durch Nutzungsbedingungen ausschließen konnten, neigt sich dem Ende zu.

Ausblick: Ein langer Weg bis zur Umsetzung

Der deutsche Vorschlag wird ein zentrales Thema in den anstehenden EU-Ratssitzungen sein. Obwohl Deutschland in der EU-Politik großes Gewicht hat, benötigt die Reform den Konsens aller Mitgliedstaaten und des Europäischen Parlaments.

Bei einer Annahme würde die Umsetzung voraussichtlich dem Zeitplan des CRA folgen und bis 2028 voll wirksam werden. Die Botschaft an Software-Hersteller und Technologieverantwortliche ist jedoch bereits jetzt klar: Der regulatorische Druck steigt, und die gesamte Software-Lieferkette rückt in den Fokus der Aufsichtsbehörden.

PS: Wenn die DSGVO künftig Hersteller in die Haftung nimmt, ist IT‑Sicherheit kein Nice‑to‑have mehr. Unser gratis Cyber‑Security‑Leitfaden zeigt einfache, sofort umsetzbare Maßnahmen, wie Sie Ihre Softwarelieferkette stärken, häufige Angriffsvektoren schließen und Bußgelder vermeiden – auch ohne großes Budget. Ein Pflichtdownload für Technologieverantwortliche, die Compliance und Resilienz zugleich verbessern wollen. Jetzt kostenlosen Cyber‑Security‑Leitfaden sichern