Zum Inhalt springen

Die BGB-Reform 2022 zu digitalen Produkten: Haftung bei fehlender IT-Sicherheit und Datenschutzkonformität

Seit dem 01.01.2022 steht das neue BGB mit dem erweiterten Mängelbegriff und – hieran anknüpfend – korrespondierenden Gewährleistungs- und Haftungsansprüchen in Kraft. Zeit für einen ersten Befund zur Praxisbewährung:

Security, Compliance und digitale Produkte

Das altehrwürdige BGB „goes digital“ – jedenfalls was eine zeitgemäße Definition von berechtigten Produkterwartungen und Produktmängeln anbelangt: Die vorgeschriebenen Mindeststandards, oder auch die von staatlichen oder unabhängigen Prüf- und Normungsinstitutionen aufgestellten Best Practices und Normen, bilden hier den Referenzpunkt, gerade auch durch Vorgaben für die Produktsicherheit als solche (IT-Security) oder für die Sicherheit des Produkts bei der Verarbeitung von Personendaten (DSGVO-Compliance).

Stand der Technik

Ein Verstoß bzw. eine Unterschreitung führt dazu, dass die objektiven Anforderungen nicht erfüllt werden und mithin ein Mangel vorliegt. Bisher wurde in diesem Zusammenhang der sogenannte „Stand der Technik“ herangezogen, zu dessen Bestimmung sodann in der Regel auf Industrienormen zurückgegriffen. Durch die neue Rechtslage wird die de facto unmittelbar rechtssetzende Wirkung dieser technischen Normen noch verstärkt, sie sind von den Gerichten demnach anzuwenden.

Kompatibilitätshaftung

Hinsichtlich der qualitätsbezogenen Merkmale wird inzwischen auch auf die Kompatibilität abgestellt, zu verstehen als die Fähigkeit eines digitalen Produkts, mit Hardware und Software zu funktionieren, mit der digitale Produkte derselben Art in der Regel benutzt werden, ohne dass sie konvertiert werden müssen.

Interoperabilität individuell zu vereinbaren

Die Kompatibilität ist begrifflich von der Interoperabilität zu unterscheiden, bei der ein solches gemeinsames Funktionieren gerade nicht erwartet werden kann. Denn mit der Interoperabilität ist die Fähigkeit eines Produkts gemeint, mit anderer Hardware oder Software als derjenigen, mit der digitale Produkte derselben Art in der Regel genutzt werden, zu funktionieren. Sie ist daher eigens zwischen Käufer und Verkäufer zu vereinbaren und wird nicht automatisch zu einer erwartbaren Eigenschaft des Produkts.

Sicherheitshaftung

Auch die Sicherheit ist inzwischen ein unbestreitbares qualitätsbezogenes Merkmal. Sie zielt zuvorderst auf die Gesundheit und den Schutz vor Folgeschäden. Allerdings geht sie darüber noch hinaus, indem auch immaterielle Güter, z.B. das allgemeine Persönlichkeitsrecht, das Recht auf informationelle Selbstbestimmung sowie die Vertraulichkeit und Integrität informationstechnischer Systeme, erfasst und miteinbezogen werden.

Datenschutzhaftung

Was den Datenschutz anbelangt, ist die Frage, ob ein digitales Produkt vertragsgemäß ist oder Mängel aufweist, abhängig von der konkreten Leistung des Unternehmers und seines Produkts, und daher, inwieweit das in diese Leistung eingebundene Produkt selbst Datenschutzanforderungen entsprechen muss, um vertragsmäßig zu sein.

Für digitale Produkte, zu deren Kernaufgaben die Verarbeitung von Personendaten gehört, ergibt sich eine besondere Relevanz daraus, dass Anforderungen aus dem EU-Recht übernommen werden, einschließlich der DSGVO-Grundsätze der Datenminimierung, des Datenschutzes durch Technik und der datenschutzfreundlichen Voreinstellungen. Für das digitale Produkt sind also diese Anforderungen an seine Eigenschaften – kurz: Datenschutzkonformität – bereits einzubauen, z.B. durch der Einstellung/ Nivellierung des Datenschutzniveaus dienende Steuerungsfunktionen.

Die objektiven Anforderungen sind stets verletzt, wenn das digitale Produkt nicht für die gewöhnliche Verwendung geeignet ist, weil es die Verpflichtungen der DSGVO in Bezug auf die konkrete Datenverarbeitung sowie auf das Produkt als solches nicht einhält. Die Gesetzesbegründung nennt hier beispielhaft eine Verschlüsselungssoftware, die nicht den Anforderungen an eine zeitgemäße Verschlüsselung nach dem Stand der Technik entspricht und deswegen nicht für eine sichere Übertragung geeignet ist. Auch wenn Datenschutzrisiken geschaffen werden, bspw. durch Sicherheitslücken in Systemen, wird in der Regel ein solcher „DSGVO-Produktmangel“ vorliegen.

Updatehaftung

Eine besondere Form der Anforderungen an die Vertragsgemäßheit wird für digitale Produkte mit den Aktualisierungspflichten eingeführt. Der Unternehmer hat für digitalen Produkte sicherzustellen, dass dem Verbraucher während des maßgeblichen Zeitraums Aktualisierungen, die für den Erhalt der Vertragsgemäßheit des digitalen Produkts erforderlich sind, bereitgestellt werden und der Verbraucher über diese Aktualisierungen informiert wird. Diese sogenannte Update-Verpflichtung besteht damit oft sogar über den Gewährleistungszeitraum hinaus. Zu den erforderlichen Aktualisierungen gehören auch Sicherheitsaktualisierungen, selbst wenn auftretende Sicherheitsmängel oder sicherheitsrelevante Softwarefehler keine Auswirkungen auf die Funktionsfähigkeit haben.

Unterlassungshaftung (Produktverhalten)

Hinzu kommt eine Produktbeobachtungspflicht, deren Vernachlässigung zur Unterlassungshaftung (inkl. Produkt- und Folgeschäden) führen kann Denn mit der Fortentwicklung des Stands der Technik entwickeln sich weitere Anforderungen, z.B. an fortschrittliche technische und organisatorische Maßnahmen im Sinne des Art. 25 DSGVO.

Über neue technische Arten der Datenerfassung und Verarbeitung und Verbreitung, sowie weitere Kategorien personenbezogener Daten sind die Betroffenen zu informieren. Dann müssen Konfigurationsmöglichkeiten erweitert, Darstellungs- und Steuerungsmöglichkeiten angepasst und auf Hinweise von Verbrauchern und der Öffentlichkeit im Rahmen der Produktbeobachtungspflicht reagiert werden, um den subjektiven und objektiven Anforderungen an die Vertragsgemäßheit weiter zu entsprechen.

Digitale Produkte sowie Produkte mit digitalen Elementen sind daher auch in datenschutzrechtlicher Hinsicht bei Bedarf zu aktualisieren, also einem Datenschutz-Updates zu unterziehen. Für die Hersteller bedeutet dies ein speziell auf den Datenschutz bezogenes Product Lifecycle-Management.

Top