Festschrift für Jürgen Taeger

Es empfiehlt sich, bereits frühzeitig im Prozess der Beschaffung datenverarbeitender Produkte (Hard- oder Software), IT-Systeme oder entsprechender Serviceleistungen (IT-Outsourcing oder Cloud-Services) auf die Einhaltung datenschutzrechtlicher Anforderungen gegenüber dem Hersteller zu bestehen. Dies kann durch eine ausdrückliche Regelung in den Leistungsbeschreibungen und im Anschluss insbesondere durch explizite vertragliche Vereinbarungen erfolgen.66 Um auf Bestellerseite dem Risiko ordnungsbehördlicher Verfahren zu entgehen (Art. 83 Abs. 4 und 5 DS-GVO), ist dies sogar unabdingbar. Problematisch ist jedoch, dass in der Praxis solche Anforderungen der Kunden gegenüber dem jeweiligen Vertragspartner schwer durchsetzbar sind, wenn dies nicht gar unmöglich ist.

Dabei empfiehlt es sich, nicht an dogmatischen vertragstypologischen Strukturen zu verhaften. Hier bleibt vieles unklar und oftmals handelt es sich ohnehin um typengemischte Verträge, bei denen es umstritten ist, ob sich das Vertragsregime nach dem Vertragstyp richtet, der das Regelungsgefüge wesentlich bestimmt, oder für jeden einzelnen Vertragsteil gesondert zu bestimmen ist. Unter diesen Umständen empfiehlt es sich, ein für die jeweilige Rechtsbeziehung spezifisches Gewährleistungsregime in das Entsprechende zu implementieren, um interessengerechte Ergebnisse zu erzielen und das (datenschutz-)rechtliche und wirtschaftliche Risiko nicht einseitig beim Kunden zu belassen.

Zudem ist den Problemstellungen im Hinblick auf Datenschutz-Compliance mit Blick auf Art. 25 DS-GVO bei der Vertragsgestaltung ggf. mittels Change Management beizukommen. In der Praxis enthalten Vertragswerke über nicht vollends standardisierte Leistungen regelmäßig Klauseln zum vertraglichen Änderungsverfahren. Schwierigkeiten bereitet allerdings der Umstand, dass es sich meist um konsensuale Verfahren handelt und der Kunde letztlich Leistungsänderungen gesondert vergüten muss.

Die vorstehenden Überlegungen verdeutlichen die wichtige Bedeutung klarer vertraglicher Regelungen in Bezug auf die Gewährleistung von Datenschutz durch Technikgestaltung. Privacy by Design und Privacy by Default bilden Kernpunkte der Umsetzung datenschutzrechtlicher Vorgaben im Bereich der technologiebasierten Verarbeitung personenbezogener Daten. Verantwortliche im Sinne der DS-GVO trifft eine Pflicht zu ihrer Umsetzung, Verstöße werden mit Bußgeldern sanktioniert. Insofern sollten Unternehmen, die personenbezogene Daten verarbeiten, bei der Beschaffung datenverarbeitender Produkte (Hard- oder Software), IT-Systeme oder entsprechender Serviceleistungen (IT-Outsourcing oder Cloud-Services) darauf achten, vertraglich die Vorgaben von Art. 25 DS-GVO so zu platzieren, dass diese in jedem Fall „mittelbar“ für den Vertragspartner und weiter mittelbar für einen gegebenenfalls personenverschiedenen Hersteller gelten; zwar unterliegen diese nicht dem Regelungsregime des Art. 25 DS-GVO, über eine ausdrückliche vertragliche Beschaffenheitsvereinbarung oder sonst geeignete vertragliche Regelungen wird der Vertragspartner diesem mittelbar schließlich doch unterworfen. Auch kann de lege lata nur so dem Erwägungsgrund 78 zur DS-GVO endlich zur praktischen Relevanz verholfen werden, in dem es heißt, dass durch die Regelung zu Privacy by Design und Privacy by Default die Hersteller der „Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.“

1Der Verfasser dankt Herrn Rechtsrefendar Dr. Philipp Adelberg für seine hilfreiche Unterstützung bei der Diskussion der Inhalte und der Abfassung dieses Beitrags. 2Martini, in: Paal/Pauly, DS-GVO/BDSG, 2. Aufl. 2018, Art. 25 DS-GVO Rn. 25. 3Baumgartner/Gausling, ZD 2017, 308, 309. 4Baumgartner, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 25 DS-GVO Rn. 1; Buss, CR 2020, 1. 5Hanßen, in: Wybitul, Handbuch EU-Datenschutz-Grundverordnung, 2017, Art. 25 DS-GVO Rn. 1. 6Hanßen, in: Wybitul (Fn. 5), Art. 25 DS-GVO Rn. 4. 7Lang, in: Taeger/Gabel, DSGVO/BDSG, 3. Aufl. 2019, Art. 25 DS-GVO Rn. 57; Mantz, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 25 DS-GVO Rn. 62; Nolte/Werkmeister, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 25 DS-GVO Rn. 9; a.A. Hartung, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 25 DS-GVO Rn. 1, der das Verhältnis von Abs. 1 zu Abs. 2 als ungeklärt ansieht. 8In der englischen Fassung „necessary“. 9Lang, in: Taeger/Gabel (Fn. 7), Art. 25 DS-GVO Rn. 24. 10Lang, in: Taeger/Gabel (Fn. 7), Art. 26 DS-GVO Rn. 22 unter Bezugnahme auf EuGH, 5.6.2018 – Rs. C-210/16, BB 2018, 1480ff. – Wirtschaftsakademie. 11Vgl. EuGH, 5.6.2018 – Rs. C-210/16, BB 2018, 1480ff. – Wirtschaftsakademie. 12Vgl. EuGH, 10.7.2018 – Rs. C-25/17, ZD 2018, 469ff. – Zeugen Jehovas; EuGH, 5.6.2018 – Rs. C-210/16, BB 2018, 1480ff. – Wirtschaftsakademie; EuGH, 29.7.2019 – Rs. C-40/17, K&R 2019, 562ff. – Fashion ID; BVerwG, 11.9.2019 – 6 C 15/18, K&R 2020, 209ff. 13Vgl. Voigt, in: Bussche v. d./Voigt, Konzerndatenschutz, 2. Aufl. 2019, Kapitel 5 Rn. 13; Conrad/Treeger, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, § 34 Rn. 328; Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Ratgeber Beschäftigtendatenschutz, 3. Aufl. 2019, S. 38. 14Lezzi/Oberlin, ZD 2018, 398, 399. 15Lang, in: Taeger/Gabel (Fn. 7), Art. 25 DS-GVO Rn. 28. 16Hartung, in: Kühling/Buchner (Fn. 7), Art. 25 DS-GVO Rn. 12; Martini, in: Paal/Pauly (Fn. 2), Art. 25 DS-GVO Rn. 26; Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 25 DS-GVO Rn. 22; Schaffland/Holthaus, in: Schaffland/Wiltfang, DSGVO/BDSG, Stand: Lfg. 6/19 – VI/19, Art. 25 DS-GVO Rn. 3. 17EuGH, 29.7.2019 – Rs. C-40/17, K&R 2019, 562ff. – Fashion ID. 18Lang, in: Taeger/Gabel (Fn. 7), Art. 25 DS-GVO Rn. 25. 19Lang, in: Taeger/Gabel (Fn. 7), Art. 25 DS-GVO Rn. 25. 20Nolte/Werkmeister, in: Gola (Fn. 7), Art. 25 DS-GVO Rn. 11. 21Erfahrungsbericht der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Anwendung der DS-GVO, November 2019, S. 15. 22Baumgartner/Gausling, ZD 2017, 308, 311. 23Baumgartner/Gausling, ZD 2017, 308, 309. 24Baumgartner/Gausling, ZD 2017, 308, 309. 25European Data Protection Board, Guidelines 4/2019 on Article 25, 13 Nov 2019, S. 8 Rn. 19f. 26Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann (Fn. 16), Art. 25 DS-GVO Rn. 38 mit Verweis auf Art. 32 DS-GVO Rn. 22f., 78. 27Schaffland/Holthaus in: Schaffland/Wiltfang (Fn. 16), Art. 25 DS-GVO Rn. 8. 28Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann (Fn. 16), Art. 25 DS-GVO Rn. 38 mit Verweis auf Art. 32 DS-GVO Rn. 22. 29Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann (Fn. 16), Art. 25 DS-GVO Rn. 38 mit Verweis auf Art. 32 DS-GVO Rn. 23. 30European Data Protection Board, Guidelines 4/2019 on Article 25, 13 Nov 2019, Rn. 9, 15. 31European Data Protection Board, Guidelines 4/2019 on Article 25, 13 Nov 2019, Rn. 37. 32European Data Protection Board, Guidelines 4/2019 on Article 25, 13 Nov 2019, Rn. 53. 33Zu dieser Problematik instruktiv Buss, CR 2020, 1. 34Cavoukian, IDIS 2010, 247, 249f. 35Buss, CR 2020, 1, 2. 36Eine Zusammenfassung dieser Prinzipien auch bei Buss, CR 2020, 1, 2ff. 37Schuster/Hunzinger, CR 2017, 141, 141f. 38Bachmann in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB Rn. 135; Schuster/Hunzinger, CR 2017, 141, 142. 39Schuster/Hunzinger, CR 2017, 141, 142. 40Schuster/Hunzinger, CR 2017, 141, 142. 41Redeker, IT-Recht, 6. Aufl. 2017, Rn. 523 unter Verweis auf BGH, 4.11.1987 – VIII ZR 314/86, BB 1988, 20ff. 42BGH, 30.1.1986 – I ZR 242/83, BB 1986, 1319ff. – Programmerstellung. 43Schuster/Hunzinger, CR 2017, 141, 143. 44Dümeland, in: Taeger, Tagungsband DSRI-Herbstakademie 2018, S. 641, 643. 45Dümeland, in: Taeger, Tagungsband DSRI-Herbstakademie 2018, S. 641, 644; Schuster/Hunzinger, CR 2017, 141, 143. 46Busche, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 633 BGB Rn. 21. 47Dümeland, in: Taeger, Tagungsband DSRI-Herbstakademie 2018, S. 641, 644. 48Dümeland, in: Taeger, Tagungsband DSRI-Herbstakademie 2018, S. 641, 644. 49Faust, in: Bamberger et al., BeckOK BGB, 53. Edition, 1.2.2020, § 434 BGB Rn. 51; Schuster/Hunzinger, CR 2017, 141, 143. 50Dümeland in: Taeger, Tagungsband DSRI-Herbstakademie 2018, S. 641, 645; Voit, in: Bamberger et al., BeckOK BGB (Fn. 49), § 633 BGB Rn. 8. 51Schuster/Hunzinger, CR 2017, 141, 143. 52Schuster/Hunzinger, CR 2017, 141, 144. 53So auch Schuster/Hunzinger, CR 2017, 141, 144. 54Zu diesem Komplex Schuster/Hunzinger, CR 2017, 141, 145ff. 55Vgl. oben Ziffer II. 3 a) 56v. d. Bussche/Schelinski, in: Leupold/Gossner, Münchener Anwaltshandbuch IT-Recht, 3. Aufl. 2013, Rn. 123. 57BGH, 15.11.2006 – VII ZR 120/04, CR 2007, 75ff. – ASP. Zustimmend auch die Literatur, vgl. nur Redeker, IT-Recht, 6. Aufl. 2017, Rn. 596. 58Roth-Neuschild, in: Auer-Reinsdorff/Conrad (Fn. 13), § 13 Rn. 31ff. 59Der Unterschied zwischen Miete und Leasing besteht in diesem Kontext darin, dass der Leasinggeber berechtigt ist, mietrechtliche Gewährleistungsansprüche auszuschließen, sofern er seine Ansprüche aus dem Beschaffungsvertrag dem Leasingnehmer abtritt, Roth-Neuschild, in: Auer-Reinsdorff/Conrad (Fn. 13), § 13 Rn. 34. 60Als Beispiel: Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, Stand 9.10.2014, https://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/orientierungshilfen-node.html, zuletzt abgerufen am 12.6.2020. 61Hierzu Strittmatter, in: Auer-Reinsdorff/Conrad (Fn. 13), § 22 Rn. 29ff. 62Vgl. oben Ziffer III. 3 a). 63Vgl. oben III. 2 a). 64Vgl. oben III. 2 a). 65Zum Folgenden Busche, in: MüKo-BGB (Fn. 46), Vor § 145 BGB Rn. 12ff. 66Buss, CR 2020, 1.