Читать книгу Festschrift für Jürgen Taeger - Группа авторов - Страница 48

Zunächst sind die klassischen Austauschverträge in den Blick zu nehmen. Erwirbt der Kunde Hardware, Standardsoftware oder ein IT-System auf Dauer gegen Einmalzahlung, so liegt ein Kaufvertrag nach §§ 433ff. BGB vor.41 Für die Erstellung von Individualsoftware sind die Vorschriften des Werkvertragsrechts (§§ 631ff. BGB) maßgebend.42

Ein Mangel an Datenschutz durch Technikgestaltung kann in Austauschverträgen zu einem rechtlichen und wirtschaftlichen Risikofaktor durch die Bewertung als Sachmangel und damit mittelbar für die Begründung von Gewährleistungsverpflichtungen werden. Dies setzt die Qualifizierung von nicht DS-GVO-konformer Technikgestaltung von Hardware, Software oder IT-System als Sachmangel voraus. Eine vertragstypologische Unterscheidung zwischen Kauf- und Werkvertrag ist dabei entbehrlich, da die Mangelbegriffe der §§ 434 und 633 BGB kongruent sind.43 Software ist frei von Sachmängeln, wenn sie entweder (1.) die vereinbarte Beschaffenheit aufweist oder für den Fall, dass eine solche Beschaffenheit nicht vereinbart wurde, (2.) sich für die nach dem Vertrag vorausgesetzte Verwendung eignet oder (3.) für die gewöhnliche Verwendung eignet und eine Beschaffenheit aufweist, die bei Software der gleichen Art üblich ist und die der Käufer/Besteller nach der Art der Software erwarten kann.

Hat der datenschutzrechtlich Verantwortliche mit dem Hersteller eine ausdrückliche oder konkludente Vereinbarung in Bezug auf die Konformität der Software mit den Vorgaben der DS-GVO getroffen, gestaltet sich die Einordnung einer Abweichung hiervon als Sachmangel i.S.v. §§ 434 Abs. 1 Satz 1 bzw. 633 Abs. 2 Satz 1 BGB unproblematisch.44 Eine solche Vereinbarung wird in der Praxis jedoch die Ausnahme darstellen; insofern sind etwaige Leistungsbeschreibungen bzw. Lasten- und Pflichtenhefte zu prüfen und auszulegen.45 Dabei sind die in diesem Kontext regelmäßig verwendeten Begriffe des „Stands der Technik“ oder der „üblichen Standards“ zu beleuchten. Eine Vereinbarung zur Einhaltung dieser Standards wird, zumindest im Rahmen eines Werkvertrages, stillschweigend zu vermuten sein, sofern sich nicht ein entgegenstehender Parteiwille ergibt46; aber mangels abweichender Interessenlage gilt mit guten Gründen auch im Kaufrecht nichts anderes. Unterfällt aber eine DS-GVO-Compliance nach Art. 25 DS-GVO überhaupt dem „Stand der Technik“ bzw. den „üblichen Standards“ in diesem Begriffskontext? Unter anderem im Kontext des Art. 25 DS-GVO ist der Terminus des „Stands der Technik“ für sich relevant. Er bedingt, dass, wie ausgeführt, zwar nicht die neueste bekannte Technologie einzusetzen ist, wohl aber branchenübliche Standards eingehalten werden und Maßnahmen entsprechend der am Markt verfügbaren Technik implementiert werden müssen.47 Die Einhaltung des Stands der Technik im Zusammenhang mit dem Betrieb u.a. von Hardware, Software oder IT-Systemen wird entsprechend von einer Rechtsnorm unmittelbar vorgegeben. Entsprechend kann der Käufer Hardware, Standardsoftware oder IT-Systeme bzw. der Besteller eine Individualsoftware bei einer ausdrücklichen oder konkludenten Beschaffenheitsvereinbarung, die den Stand der Technik als Maßgabe für die vertragliche Leistung als Maßstab anführt, von dem Hersteller eine DS-GVO-konforme Programmierung erwarten.48

Haben die Parteien indes keine ausdrückliche oder konkludente Vereinbarung über die Beschaffenheit getroffen, stellt sich die Frage, ob sich die Hardware, Software oder das IT-System i.S.d. §§ 434, 633 BGB für die vertraglich vorausgesetzte Verwendung eignet. Hier ist Voraussetzung, dass der Verantwortliche dem Veräußerer bzw. dem Werkunternehmer im Rahmen der Vertragsanbahnung bzw. -verhandlung deutlich gemacht hat, er werde das jeweilige Produkt, das IT-System bzw. IT-Systembestandteile oder Werk für die Verarbeitung personenbezogener Daten nutzen.49 Denn einseitige Erwartungen bzgl. der aus dieser Verwendungsabsicht folgenden DS-GVO-Compliance des kundigen Verantwortlichen bleiben gegenüber dem unkundigen Hersteller außer Betracht.50 Unter diesen Umständen liegt ein Sachmangel nur dann vor, wenn der Veräußerer des datenverarbeitenden Produkts oder IT-Systems oder der Hersteller des Werks positive Kenntnis von der Tatsache hat, dass der Verantwortliche die Software für die Verarbeitung personenbezogener Daten in einer Weise verwenden will, die eine datenschutzrechtliche Verantwortlichkeit – sei es unmittelbar als Verantwortlicher oder mittelbar als Auftragsverarbeiter – begründet oder begründen könnte.51 Dies wird sich in der Praxis bei lebensnaher Betrachtung in aller Regel aus den jeweiligen Funktionen und Funktionalitäten jedenfalls von Standard- oder Individualsoftware bzw. in IT-Systemen verbundenen Softwarekomponenten begründen lassen. Schwieriger ist dies mit Blick auf Hardwarekomponenten und in diesen verbauten (Betriebs-)Softwarekomponenten, wo es einer detaillierteren Betrachtung und Bewertung des Einzelfalls bedarf.

Schließlich kommt ein Sachmangel wegen einer fehlenden üblichen Beschaffenheit in Betracht. Dies ist der Fall, wenn eine in Rede stehende Software bzw. ein IT-System typischerweise zur Verarbeitung durch oder für datenschutzrechtlich Verantwortliche genutzt wird, oder auch dann, wenn der Software-Ersteller selbst datenschutzrechtlichen Vorschriften im Hinblick auf die Erstellung unterliegt.52 Letzteres ist – wie bereits gesehen – unter dem Geltungsregime von DS-GVO und BDSG in der Regel nicht der Fall.53

Anzumerken ist, dass auch rechtliche Beziehungen des Vertragsgegenstandes zur Umwelt einen Mangel begründen können. Hierzu zählt auch die fehlende Einhaltung von Gesetzen. Die Regelungen der DS-GVO binden jedoch nur den Verantwortlichen als Nutzer datenverarbeitender Produkte, Systeme oder Werke, nicht aber den Hersteller. Deswegen kann ein Mangel in diesem Zusammenhang nur begründet werden, wenn die Rechtsvorschrift, gegen die verstoßen wird, dem Verantwortlichen die Nutzung unmöglich macht und ihn bei fortwährender Nutzung Ansprüchen durch Private oder ordnungsbehördliche Verfügungen aussetzt. Letzteres ist bei Art. 25 DS-GVO der Fall, wie die Möglichkeit der Verhängung von Bußgeldern nach Art. 83 Abs. 4 lit. a DS-GVO zeigt.54

Maßgeblicher Zeitpunkt für das Vorliegen eines Mangels ist der Gefahrübergang i.S.d. § 434 Abs. 1 Satz 1 BGB bzw. die Abnahme des Werkes. Problematisch ist hier der Umstand, dass den Anforderungen des Art. 25 DS-GVO eine Dynamik immanent ist, weil sich die zugrunde liegenden technischen Realbedingungen permanent ändern. Insofern könnte davon auszugehen sein, dass dieser tatsächliche Umstand in Verbindung mit den Vorgaben der DS-GVO über den Lebenszyklus der betroffenen Software oder der Devices einen latenten Mangel im Rechtssinne begründet, der zwar nicht im Zeitpunkt des Gefahrübergangs besteht, aber quasi „angelegt“ ist. Hielte man einen solchen Mangel entgegen dem Wortlaut der kauf- und werkvertraglichen Regelungen zum Gefahrübergang für erheblich, wäre der Veräußerer bzw. Werkunternehmer gehalten, im Rahmen der jeweiligen Gewährleistungspflicht die technische Entwicklungen im Auge zu behalten und das Produkt bzw. Werk kostenfrei zu adaptieren, um den Vorgaben von Art. 25 DS-GVO gerecht zu werden. Wenn man dies nicht bejahen wollte, stellt sich die Frage, ob man zulasten des Veräußerers bzw. Werkunternehmers über die Lebenszeit des jeweiligen Produkts oder Werks eine Verpflichtung zur kostenpflichtigen Adaption aus entsprechender vertraglicher Nebenpflicht ableiten wollte.

Schließlich dürfen in diesem Kontext die Regelungen zur grob fahrlässigen Unkenntnis des Käufers von einem Sachmangel durch nicht-datenschutzkonforme Technikgestaltung eines datenverarbeitenden Produkts (Hard- oder Software) oder IT-Systems gem. § 442 Abs. 1 Satz 2 BGB nicht außer Betracht bleiben. Ob und in welchem Umfang in Person des konkreten Käufers eines bestimmten datenverarbeitenden Produkts (Hard- oder Software) oder IT-Systems Art. 25 DS-GVO im Rahmen seiner datenschutzrechtlichen Evaluierungspflicht im Beschaffungsprozess55 eine zivilrechtlich erhebliche Erkundigungspflicht begründet, die alsdann grob fahrlässig und damit haftungsausschließend verletzt werden kann, ist eine Frage des Einzelfalls. Im Bereich des Werkvertrages sind die Hürden im Rahmen des § 640 Abs. 3 BGB, der Kenntnis verlangt, noch ungleich höher.