Datenschutztauglichkeit von Software: Haftung, Haftung, Haftung

PrintMailRate-it

veröffentlicht am 13. September 2018 / Lesedauer: ca. 4 Minuten; Autoren: Alexander Theusner, Johannes Marco Holz, Maximilian S. Dachlauer
 
Unternehmen, die Softwarelösungen anbieten, müssen fortan darauf achten, ihre Software in Einklang mit der seit dem 25. Mai 2018 geltenden DSGVO zu bringen. Anderenfalls wäre ihr Produkt nicht mehr „current state of the art” und damit mangelhaft, woraus sich hohe Gewähr­leistungs­ansprüche und Schadensersatzforderungen ergeben können. Insbesondere das Löschen spielt eine wichtige Rolle. Unternehmen, die Software erworben haben, sollten dringend prüfen, ob nicht Ansprüche gegen ihren Softwarelieferanten bestehen und sich durchsetzen lassen. Ggf. kann es sinnvoll sein, an den Hersteller heranzutreten. Spätestens wenn sich eine Software als zur Umsetzung der DSGVO ungeeignet erweist, sollten Erwerber darüber nachdenken, ihren Implementierer oder den Hersteller in die Haftung zu nehmen.
 

  

  

Hintergrund

Mit der DSGVO ergeben sich eine Vielzahl neuer gesetzlicher Anforderungen, die Softwarelösungen erfüllen müssen. Aufgrund der Vorgabe, dass die Erhebung personenbezogener Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein muss (Grundsatz der Datenminimierung), darf eine Software bei jeder Funktion nur die für den Zweck der Verarbeitung notwendigen Eingabeinformationen verlangen. Um DSGVO-compliant zu sein, muss eine Software fortan ferner Funktionen zur Berichtigung, Löschung, Sperrung und zur Einschränkung der weitergehenden Verarbeitung personenbezogener Daten bereithalten. Weiter ist es unter der DSGVO angezeigt, dass jede Software über ein Tool zur automatischen Löschung von Daten verfügt, das für bestimmte Datensätze Aufbewahrungszeiträume festlegt, nach deren Ablauf diese automatisch gelöscht werden. Auch spielen die Grundsätze "privacy-by-default” und "privacy-by-design” eine besondere Rolle. Voreinstellungen ("by-default”) müssen so gestaltet sein, dass stets nur das Minimum an personenbezogenen Daten verarbeitet wird, wobei sich die technische Gestaltung bereits im Entwicklungsstadium an den Grundprinzipien der DSGVO orientieren muss ("by-design”).
 
Zudem muss das „Marktortprinzip” berücksichtigt werden, wonach die DSGVO auch von außereuropäischen Unternehmen beachtet werden muss, die auf dem europäischen Markt tätig sind und sich mit ihren Lösungen an EU-Bürger richten.
 
Die vorstehenden Anforderungen sollten laufend überwacht und die Produktentwicklung an die notwendigen rechtlichen Anforderungen angepasst werden – denn in naher Zukunft ist mit einer schnellen Entwicklung und weiteren Ausprägung des Rechtsgebietes durch die behördliche und gerichtliche Praxis zu rechnen.
 
Für die Frage, welche Konsequenzen sich aus den neuen Anforderungen der DSGVO für das Pflichtenprogramm der Softwarehersteller ergeben, ist wie folgt zu unterscheiden:
 

  • Softwareüberlassung, die nach dem 25. Mai 2018 erfolgt,
  • Softwareüberlassung in Verbindung mit einem Softwarepflegevertrag und
  • Softwaremietverträge.

 
Je nachdem, welcher Fall gegeben ist, ergeben sich verschiedene Konsequenzen für den Softwareanbieter und -erwerber. Alle aufgeworfenen Folgen sind Fragen der Haftung.
 

Softwareüberlassung, die nach dem 25. Mai 2018 erfolgt

Hauptleistungspflicht des Überlassungsvertrages, der üblicherweise teilweise kauf- und werkvertraglich ausgestaltet sein kann, ist die dauerhafte oder zeitlich beschränkte Überlassung von Softwarelösungen. Bei solchen Verträgen gilt bspw. eine Unternehmenssoftware, die die datenschutzrechtlichen Vorgaben von Gesetzen und Verordnungen für den jeweiligen im Unternehmen vorgesehenen Einsatzbereich nicht erfüllt, als mangelbehaftet: Denn grundsätzlich ist es für eine ordnungsgemäße Funktionalität der Software erforderlich, dass sie den jeweils aktuell geltenden gesetzlichen Anforderungen entspricht. 
 
Die Nichterfüllung der Vorgaben der DSGVO ist folglich als Mangel zu sehen. In dem Fall dürfte sich die Softwarelösung nicht für die gewöhnliche Verwendung eignen, so dass ggf. ein Fall von Sachmangel-Haftung vorliegt.
 
Liegt ein solcher Mangel vor, kann der Kunde gegen den Softwareanbieter Gewährleistungsrechte geltend machen – bspw. einen Anspruch auf Nachbesserung oder Nachlieferung. Unter Umständen besteht auch ein Rücktrittsrecht des Kunden, oder der Kunde kann Schadensersatzansprüche geltend machen, sofern er aufgrund des Softwaremangels einen Schaden erlitten hat. Die Schadenskategorien sind ausgesprochen vielfältig und reichen von behördlichen Bußgeldern bis hin zu Ansprüchen auf Schadensersatz wegen immaterieller Schäden („Schmerzensgeld”) der individuell Betroffenen.
 

Softwareüberlassung in Verbindung mit einem Softwarepflegevertrag

Vielfach drängt der Softwarehersteller bei einem Erwerb auf den Abschluss eines Pflegevertrages und macht davon auch den Erwerb der Lizenzen abhängig. Leistungsgegenstand der Softwarepflege ist u.a. i.d.R. ein Anspruch auf Überlassung neuer Programmversionen.
 
Neben die Verpflichtungen aus dem Überlassungsvertrag treten nun die Pflichten aus dem Pflegevertrag. Zur Hauptpflicht des Pflegevertrages gehört üblicherweise eine zügige rechtskonforme Softwareanpassung.
 
Insofern ist die Nichtberücksichtigung allgemeiner gesetzlicher Änderungen, wie vorliegend im Falle der DSGVO, sowohl für Hersteller wie auch für Betreiber von Softwarelösungen mit erheblichen rechtlichen Risiken verbunden. Es gilt in solchen Fällen zu prüfen, ob eine Haftung gegeben ist.
 

Softwaremietverträge

Nichts anderes gilt für Mietverträge im Softwarebereich. Dabei wird dem Kunden vom Vermieter entgeltlich – üblicherweise für eine bestimmte Zeit – die Nutzung einer Softwarelösung gestattet. Bei solchen Vertrags­ausgestaltungen stellt die Softwareanpassung an die Gesetzesänderungen eine Hauptleistungspflicht des Anbieters dar, da die Mietsache durch den Vermieter in einem zum vertragsgemäßen Gebrauch geeigneten Zustand zu erhalten ist.
 

Der Kunde hat gegen den Softwareanbieter demnach einen Anspruch darauf, dass dieser die Software rechtskonform, im Falle der DSGVO deren Anforderungen entsprechend, aktualisiert. Sofern der Softwareanbieter der Verpflichtung nicht nachkommt, hat der Kunde weitreichende Minderungs-, Schadensersatz- und Aufwendungsersatzansprüche.
 

Vertragsausgestaltung

Bei der Vertragsgestaltung sind insbesondere die Aktualisierungspflichten in Art und Umfang präzise zu konkretisieren. Interessensgerechte Gestaltungen können die Pflichten des Herstellers so einschränken, dass eine laufende Anpassung an gesetzliche Vorgaben nur in bestimmtem Umfang geschuldet wird. Aus Sicht des Erwerbers sollte genau darauf geachtet werden, dass bei der Einführung neuer Software durch die notwendige Anpassung an gesetzliche Vorgaben nicht zusätzlicher Customizing-Aufwand entsteht.
 
Softwarehersteller, deren Standardverträge vor dem 25. Mai 2018 datieren, sollten diese einer eingehenden Prüfung unterziehen. Das gilt jedenfalls dann, wenn nicht sichergestellt ist, dass sich die Produkte technisch zur Einhaltung der DSGVO eignen. Wenn Anwender mit erheblichem Umsetzungsaufwand aufgrund der DSGVO zu kämpfen haben, sollten sie umgekehrt prüfen, ob der jeweilige Softwarehersteller nicht zur Lieferung einer DSGVO-konformen Lösung verpflichtet (gewesen) wäre und ggf. in Erwägung ziehen, entsprechenden Anpassungsaufwand diesem gegenüber geltend zu machen.    
 

Fazit

Aus Sicht von Softwareherstellern ist eine datenschutzrechtliche Evaluierung der angebotenen Produkte unumgänglich. Über kurz oder lang werden sich entsprechende Investitionen als Wettbewerbsvorteil amortisieren.
 
IT-getriebenen Unternehmen ist zu raten, Verträge mit Softwareherstellern und Vertriebshäusern eingehend auf unwirksame Leistungsausschlüsse oder versteckte Ansprüche prüfen zu lassen. So lassen sich Implementierungs­­kosten nachhaltig senken oder sogar nachträglich zurückfordern. Die Wahrscheinlichkeit, dass ein Tatbestand der Haftung gegeben ist, darf keinesfalls vernachlässigt werden.
 




 

Kontakt

Contact Person Picture

Johannes Marco Holz, LL.M.

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU), Master of Laws Rechtsinformatik (Universität Passau)

Partner

+49 911 9193 1511

Anfrage senden

Profil

Contact Person Picture

Carina Richters

Rechtsanwältin, Compliance Officer (TÜV)

Manager

+49 221 949 909 206

Anfrage senden

Wir beraten Sie gern!

Mehr lesen?

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu