Festschrift für Jürgen Taeger

Schließlich dürfen in diesem Kontext die Regelungen zur grob fahrlässigen Unkenntnis des Käufers von einem Sachmangel durch nicht-datenschutzkonforme Technikgestaltung eines datenverarbeitenden Produkts (Hard- oder Software) oder IT-Systems gem. § 442 Abs. 1 Satz 2 BGB nicht außer Betracht bleiben. Ob und in welchem Umfang in Person des konkreten Käufers eines bestimmten datenverarbeitenden Produkts (Hard- oder Software) oder IT-Systems Art. 25 DS-GVO im Rahmen seiner datenschutzrechtlichen Evaluierungspflicht im Beschaffungsprozess55 eine zivilrechtlich erhebliche Erkundigungspflicht begründet, die alsdann grob fahrlässig und damit haftungsausschließend verletzt werden kann, ist eine Frage des Einzelfalls. Im Bereich des Werkvertrages sind die Hürden im Rahmen des § 640 Abs. 3 BGB, der Kenntnis verlangt, noch ungleich höher.

Hardware-Wartungs- und Software-Pflegeverträge können – zumindest hinsichtlich einzelner Leistungskomponenten – dem Dienstvertragsrecht zuzuordnen sein.56

Auch insoweit können datenschutzrechtliche Fragestellungen virulent werden. Es stellt sich die Frage, ob Dienstleister im Rahmen der Erbringung der jeweils konkret vereinbarten Vertragsleistung datenschutzrechtliche Vorgaben zur Technikgestaltung berücksichtigen müssen und was die Rechtsfolgen einer Nichterfüllung sind. Im Dienstvertragsrecht existieren keine Mängelgewährleistungsrechte, der Service-Provider schuldet im Rahmen eines Dienstvertrages eine Tätigkeit, die er gemäß § 243 BGB nach mittlerer Art und Güte zu erbringen hat. Dieser Leistungsmaßstab ist in einem technikgeprägten Umfeld flexibel, da die Softwareentwicklung selbst dynamisch ist. Insofern hat sich der Dienstleister auch an dem Stand der Technik zu orientieren.

Wird Software auf Zeit überlassen und zahlt der Kunde hierfür ein Entgelt, liegt nach Auffassung des Bundesgerichtshofs ein Mietvertrag nach §§ 535ff. BGB vor.57 Je nach Vertragsgestaltung kommt allerdings auch das Leasing von Software in Betracht.58 Für die Beurteilung des Vorliegens von Mängeln, die Gewährleistungsrechte des Vertragspartners auslösen, spielt die Unterscheidung insoweit keine Rolle, als das die Regelungen der §§ 536ff. BGB auch auf das Leasing Anwendung finden.59 Auch die Mietsache muss sich für den vertragsgemäßen Gebrauch eignen. Hier stellt sich erneut die Frage, ob die fehlende DS-GVO-Compliance diese Eignung aufhebt. Grundsätzlich bleibt die Software an sich in diesen Fällen noch nutzbar, praktisch wird ihre Nutzbarkeit aus denselben Erwägungen wie zum Sachmangelbegriff im kauf- bzw. werkvertraglichen Kontext aufgehoben. Problematisch ist ferner, ob eine veraltete Version einer Software dem mietvertraglichen Mangelbegriff unterfällt.

Die nachfolgenden Überlegungen beschränken sich auf ausgewählte, in der Praxis des Technik- und Datenschutzrechts besonders wichtige Problemfelder.

Datenschutz durch Technikgestaltung wird im Rahmen des IT-Outsourcing auf Infrastrukturebene ebenso wie auf Applikationsebene umfassend relevant, sei es in der Bereitstellungsphase bis zur Übernahme des eigentlichen Betriebs, sei es in der folgenden Betriebsphase. Wird IT ausgelagert, umfasst dies immer auch personenbezogene Daten, seien es die von Mitarbeitern oder von Kunden. Um die konkreten Pflichten des Outsourcing-Dienstleisters zu bestimmen, ist wiederum seine datenschutzrechtliche Verantwortlichkeit festzustellen. Häufig, wenn auch keinesfalls zwangsläufig, wird eine Auftragsverarbeitung gegeben sein. Wie bereits ausgeführt, sind Auftragsverarbeiter grundsätzlich nicht Adressaten von Art. 25 DS-GVO, sondern nur im untypischen Fall des Art. 28 Abs. 10 DS-GVO. Allerdings werden sie in aller Regel über ihren Auftraggeber mittelbar den Vorgaben des Art. 25 DS-GVO unterworfen.

Mängel können in der Bereitstellungsphase, häufig auch als Transitionsphase bezeichnet, insbesondere im sog. Design-and-Build der Betriebsumgebung, begründet werden. Der praktisch relevante Fall besteht darin, dass der Dienstleister eine Systemlösung wählt, deren Hard- und/oder Softwarekomponenten nicht mit den Vorgaben von Art. 25 DS-GVO übereinstimmen. In der Praxis enthalten die dem Outsourcing zugrunde liegenden vertraglichen Vereinbarungen regelmäßig sog. „Compliance with Law“-Klauseln, die umfassend die Rechtmäßigkeit und damit auch die datenschutzrechtliche Rechtmäßigkeit der Leistung bzw. der Leistungserbringung ausdrücklich determinieren. Dies betrifft bereits die Konzeption der Betriebsumgebung der ausgelagerten Dienste, die sog. Designphase, sodass hier die Anbieter schon zur Einhaltung datenschutzrechtlicher Vorgaben verpflichtet werden. Doch selbst wenn diese Klauseln fehlen, zeigen die obigen Erwägungen zur Mangelhaftigkeit von Werkleistungen, und als solche ist die Transitionsleistung des IT-Outsourcingdienstleisters regelmäßig zu qualifizieren, dass die Beachtung und Einhaltung von Art. 25 DS-GVO – wie im Übrigen auch ihrer weiteren Vorschriften – jedenfalls implizit Vertragsgegenstand und Leistungspflicht des Dienstleisters sind.

Die Problematik des Spannungsfelds zwischen Datenschutz- und Vertragsrecht erstreckt sich zudem auf die Betriebsphase eines IT-Outsourcingvertrages.

Eine zentrale Komponente des Privacy by Design und dessen Unterfalls, des Privacy by Default, besteht unter anderem darin, über die unmittelbare Verpflichtung des Verantwortlichen, den Datenschutz fortlaufend über den gesamten Zeitraum einer fortdauernd erbrachten, drittbezogenen Leistung sicherzustellen. So trifft den Outsourcing-Dienstleister mittelbar die Pflicht zum fortlaufenden Datenschutz durch Technikgestaltung nach Art. 25 DS-GVO, wenn die entsprechende fortlaufende Datenschutz-Compliance von den Parteien ausdrücklich oder konkludent vereinbart wird. Auch insoweit helfen die regelmäßig vereinbarten „Compliance with Law“-Klauseln auch für die Betriebsphase. Im Übrigen sind die zuvor angestellten Überlegungen zu mangelhaften bzw. nicht-vertragsgemäßen Leistungen im Rahmen von Werk- und/oder Dienstverträgen heranzuziehen, je nachdem wie man die Betriebsphase eines IT-Outsourcingvertrages oder seiner einzelnen Leistungsbestandteile im Sinne eins gemischt-typischen Vertrages rechtlich qualifizieren will. In diesem Rahmen kommt dem „Stand der Technik“ und der im Rahmen des Art. 25 Abs. 1 DSGVO durchzuführenden Abwägung zur Bestimmung des Leistungsinhalts und damit mittelbar der Frage der ordnungsgemäßen Leistungserfüllung besondere Bedeutung zu.

Ein Problem stellt sich im Bereich des sog. Application Management bzw. Application Maintenance als Unterfall des IT-Outsourcing. Hier stellt sich die Frage, ob der Dienstleister aus seiner vertraglichen Vereinbarung mit seinem Kunden, in aller Regel dem datenschutzrechtlich Verantwortlichen, verpflichtet ist, auf die Einhaltung der Vorgaben von Art. 25 DS-GVO bei den Software-Herstellern, deren Applikationen er vertragsgemäß wartet bzw. betreibt, hinzuwirken. Er selbst kann dies nicht leisten, weil er und sein Kunde regelmäßig nicht über die Resourcen verfügen. Im Verhältnis zum Endkunden dürfte eine solche Pflicht des Providers im Ergebnis nur dann zu bejahen sein, wenn er sich ihm gegenüber zur Gewährleistung von Datenschutz-Compliance als Bestandteil seiner Wartungs- bzw. Betriebsverpflichtung des IT-Outsourcingvertrages verpflichtet hat. Dies wird jedoch nur dann zu bejahen sein, wenn dies ausdrücklich vertraglich bestimmt ist, eine konkludente Verpflichtung kommt nicht in Betracht, da, wie ausgeführt, der Dienstleister selbst mangels Zugriff auf Resourcen diese Verpflichtung nicht aus sich heraus erfüllen kann und dementsprechend nicht davon ausgegangen werden kann, dass er dieses Risiko übernehmen will.