Festschrift für Jürgen Taeger

Verkompliziert wird der Datenschutz durch Technikgestaltung, wenn, wie in der Praxis regelmäßig, die Leistungserbringung auf Seiten des IT-Outsourcing-Dienstleisters durch Einbindung von Unterauftragnehmern arbeitsteilig erfolgt. So tritt ein weiterer, als Unterauftragsverarbeiter mittelbarer Regelungsadressat des Art. 25 DS-GVO, in die Leistungskette ein. Sofern der Unterauftragnehmer seine Services nicht auf dem Stand der Technik hält, dies aber aus Verhältnismäßigkeitsgesichtspunkten geboten wäre, erbringt der Hauptdienstleister dem Endkunden gegenüber die vertraglichen Leistungen ebenfalls nicht dem Stand der Technik entsprechend. Hieran kann dieser regelmäßig weder faktisch noch rechtlich kurzfristig etwas ändern, insbesondere der Austausch des Unterauftragnehmers ist schon praktisch de facto unmöglich oder jedenfalls mit erheblichen Schwierigkeiten verbunden. Rechtliche und wirtschaftliche Risiken kumulieren so in der Person des Hauptauftragnehmers.

Aus dem unternehmerischen Alltag sind Cloud Services nicht mehr wegzudenken, sie sind zunehmend Bestandteile von hergebrachten IT-Outsourcing-Lösungen oder verdrängen diese gar vollständig. Ihre Verwendung ist datenschutzkonform gestaltbar.60 Dies gilt namentlich für die weitverbreiteten Segmente des Infrastructure as a Service und des Software as a Service. Jedoch können auch hier datenschutzrechtliche Mängel in der Designphase bis zur tatsächlichen Erbringung der Vertragsleistung im operativen Betrieb und im operativen Betrieb selbst relevant werden.

SaaS wird in seinem Leistungskern, der Nutzung von Software, mietvertraglichen Vorgaben unterworfen.61 Die Nutzung von Software im Rahmen eines SaaS-Vertrages und die damit verbundene Datenverarbeitung ist zudem jedenfalls in ihrem Kern im Verhältnis zum Kunden als Auftragsverarbeitung gemäß Art. 28 DS-GVO einzuordnen. Entsprechend gelten wiederum zumindest mittelbar die Anforderungen des Art. 25 DS-GVO. Unter den o.g. Aspekten stellt eine fehlende Datenschutz-Compliance einen Mangel im mietrechtlichen Sinne dar, der Gewährleistungsansprüche des Mieters begründet – sei es im Zeitpunkt der Bereitstellung der Software, sei es über die Laufzeit des Vertrages, wenn und soweit die Software den Vorgaben des Art. 25 DS-GVO nicht oder nicht mehr genügt. SaaS-Verträge enthalten in der Praxis regelmäßig eine große Bandbreite ausdrücklich aufgeführter Leistungen, die teilweise nicht-mietvertraglicher Natur sind, wie die Anpassung von Programmen oder auch Updates, und kristallisieren sich so mehr und mehr als typengemischte Verträge heraus. Sie enthalten aber auch Vertragsklauseln, die, ihre AGB-rechtliche Wirksamkeit einmal unterstellt, als gesonderte vertragliche Leistungspflicht an sich mietvertraglichem Gewährleistungsrecht zuwiderlaufen, wie z.B. eine Verpflichtung zur Fehlerbeseitigung durch die Bereitstellung von Patches. Diese vertraglichen Bestandteile erhalten erst im Rahmen der Betriebsphase Relevanz.

Fehlt eine umfassende vertragliche Abrede der Parteien zur anfänglichen und/oder fortdauernden Fehlerbeseitigung an der bereitgestellten Software durch Patches in einem SaaS-Vertrag, die auch ausdrücklich oder konkludent die Beseitigung einer möglichen Nichteinhaltung der Vorgaben zu Art. 25 DS-GVO beinhaltet, oder ist diese gegebenenfalls rechtlich unwirksam, gilt: Haben die Parteien entsprechend den obigen Ausführungen zum Sachmangel in Kauf- und Werkverträgen durch Einhaltung der Vorgaben des Art. 25 DS-GVO auch im Rahmen von SaaS-Verträgen zum Leistungsgegenstand gemacht, stellt deren Nichteinhaltung in der Bereitstellungs- bzw. Transitionsphase bis zur Übernahme des Services in den operativen Betrieb des Kunden einen anfänglichen Mangel des Mietgegenstandes i.S.d. § 536 Abs. 1 BGB dar, nach Übernahme in den operativen Betrieb des Kunden einen nachträglichen. Die allgemeinen Rechtsbehelfe des mietrechtlichen Gewährleistungsrechts gelten somit im Grundsatz für die so bereitgestellte Software. Aber auch insoweit ist – entsprechend den Ausführungen zu § 442 Abs. 1 BGB und § 640 Abs. 3 BGB im Rahmen des Kauf- und Werkvertragsrechts – § 536b BGB zu beachten.

Die übrigen Leistungsbestandteile eines SaaS-Vertrages jenseits der Bereitstellung und Nutzung der vertragsgegenständlichen Softwareapplikation sind hinsichtlich ihrer datenschutzrechtlichen Relevanz, der daraus folgenden Beachtung der Vorgaben des Art. 25 DS-GVO und etwaigen zivilrechtlichen Ableitungen gesondert und entsprechend den obigen Ausführungen zur Mangelhaftigkeit je Vertragsart zu behandeln.

Soweit es Cloud Services Verträge im Segment IaaS anbetrifft, sind die denkbaren relevanten Problemstellungen im Spannungsfeld des Art. 25 DS-GVO zu den vertragsrechtlichen Fragestellungen mit denen des IT-Outsourcing weitestgehend identisch, sodass auf die obigen Ausfrührungen verwiesen werden kann.62

Es ist festzustellen, dass auch Wartungs- und Pflegeverträge, die im Zusammenhang mit Austauschverträgen über datenverarbeitende Produkte (Hard- oder Software) oder IT-Systeme geschlossen werden, den Vertragspartner zur Umsetzung der Anforderungen von Art. 25 DS-GVO über deren Laufzeit verpflichten, da diese üblicherweise ausdrückliche Bestimmungen zur Fehlerbeseitigung oder Updateverpflichtungen (einschließlich Fehlerbeseitigungsverpflichtung) enthalten. Deren konkreter Inhalt wird – sofern er nicht im Vertrag selbst ausgeführt wird – analog den obigen Ausführungen63 durch die Voraussetzungen von Art. 25 DS-GVO bestimmt, gleichzeitig aber auch begrenzt, in jedem Fall stets unter der weiteren Prämisse der Verhältnismäßigkeit i.S. Art. 25 DS-GVO.

Schwieriger zu beurteilen ist die in der Praxis nicht unübliche Konstellation, in der keine nachvertragliche Wartung oder Pflege vereinbart ist oder der jeweilige Vertragspartner (Hersteller oder Veräußerer) dies abkündigt. Ist dies der Fall, kann sich eine mangelnde Art. 25 DS-GVO-Compliance zu einem Zeitpunkt einstellen, zu dem bereits Gewährleistungsrechte verjährt sind oder schlichtweg nicht bestehen, weil man einen latenten Mangel im Zeitpunkt des Gefahrübergangs als rechtlich nicht relevant ansieht.64 Dann wird der Kunde gleichwohl auf eine Anpassung bzw. Änderung der Leistung seitens des Providers z.B. durch Updates und Nachbesserungen angewiesen sein, will er das datenverarbeitende Produkt bzw. IT-System weiter gesetzeskonform nutzen. So stellt sich die Frage, ob der Vertragspartner oder der personenverschiedene Hersteller die Änderungen im Hinblick auf Art. 25 DS-GVO durchführen muss. Grundsätzlich ist im Austauschverhältnis mit Bewirken sämtlicher Leistungen das Leistungsverhältnis beendet, insbesondere, wenn sich keine Gewährleistungsansprüche mehr geltend machen lassen. Insofern ließe sich keine Verpflichtung des Vertragspartners und schon gar nicht des personenverschiedenen Herstellers begründen, der bereits nicht Vertragspartner ist. Anders jedoch, wenn man einen Kontrahierungszwang in Bezug auf Wartung und Pflege des datenverarbeitenden Produkts (Hard- oder Software) oder IT-Systems über dessen Lebenszeit begründen könnte. Der Grundsatz der Vertragsfreiheit wird im BGB nicht vollkommen umgesetzt, sondern an diversen Stellen durchbrochen.65 Ein Kontrahierungszwang kann sich explizit aus dem Gesetz ergeben, was vorliegend jedoch nicht ersichtlich ist. Ob jenseits der gesetzlichen Vorgaben ein solcher Zwang existieren kann, ist zwar umstritten, jedoch im Grundsatz unter bestimmten Voraussetzungen denkbar. Im Zusammenhang mit Art. 25 DS-GVO lässt sich eine solche Verpflichtung jedenfalls unter keinem denkbaren Gesichtspunkt vertreten, nicht zuletzt weil der Hersteller von der Vorschrift nicht adressiert wird.