Mit Zunahme der Digitalisierung findet zugleich eine Digitalisierung von Waren statt. Wenn Waren mit digitalen Elementen einen Mangel haben, stellt sich die häufig die Frage nach Gewährleistung und Ansprüchen. Doch ist eine fehlende Datenschutzkonformität als Mangel zu werten und unter welchen Bedingungen können sich daraus Ansprüche gegenüber dem Hersteller oder Verkäufer ergeben?
Der Inhalt im Überblick
Waren mit digitalen Elementen und Datenschutz
Seit 2022 soll das neue Kaufrecht Abhilfe zu Waren mit digitalen Elementen schaffen. Diese Regelungen befassen sich unter anderem mit vertragsrechtlichen Aspekten zu Waren, die digitale Elemente in ihrer Funktion besitzen. Davon betroffen sind insbesondere Verbrauchsgüter und der Mangelbegriff.
Bei digitalen Produkten ist es durchaus üblich, dass personenbezogene Daten verarbeitet werden. Mit der DSGVO sind Hersteller bzw. Verkäufer auch zu einer datenschutzkonformen Produktgestaltung und Entwicklung angehalten. Was aber wenn der Hersteller oder Verkäufer sich bei den Waren nicht an die DSGVO hält oder DSGVO-Konformität angibt, obwohl Mängel bestehen?
Das neue Kaufrecht zu Waren mit digitalen Elementen
Vorerst sollte abgegrenzt werden, wann es sich um Waren mit digitalen Elementen oder um digitale Produkte (digitale Inhalte oder Dienstleistungen) handelt. Sofern körperliche Datenträger mit digitalen Elementen betroffen sind, sind die §§ 327 ff. BGB für digitale Produkte anzuwenden. Beispiele dafür sind: Computerprogramme, Apps, Software-as-a-Service oder Cloud-Dienste.
Waren mit digitalen Elementen sind nach § 475b Abs. 1 i.V.m. § 327a Abs. 3 S.2 BGB Waren bei denen das Fehlen von enthaltenen oder damit verbundenen digitalen Inhalten oder Dienstleistungen, die Ware daran hindert, ihre Funktion zu erfüllen. Dabei müssten die Waren mit den digitalen Produkten räumlich oder funktional verbunden sein und im Rahmen desselben Vertrages bereitgestellt werden. Beispiele dafür sind: moderne Autos, Smarte Geräte (Uhren, Multimedia, Home) oder W-LAN-Router.
Neuer Begriff des Sachmangels
Seit 2022 gibt es eine Neufassung des Sachmangelbegriffs. Vor allem von Bedeutung wird dies in Verbindung mit § 475b BGB, wenn digitale Elemente betroffen sind. Gem. § 434 Abs. 1 BGB gilt:
„Die Sache ist frei von Sachmängeln, wenn sie bei Gefahrenübergang den subjektiven, den objektiven und den Montageanforderungen dieser Vorschrift entspricht.“
Für den Kauf von Waren mit digitalen Elementen sind gem. § 475b Abs. 1 BGB Unternehmer oder Dritte verantwortlich, die die Produkte bereitstellen. Zudem gelten Aktualisierungspflichten, die den Erhalt der Ware vertragsgemäß sicherstellen sollen. Diese Pflichten betreffen folglich z.B. Updates und Upgrades bei Software, die an die Funktion der Ware geknüpft sind. Denn durch diese liegen die Waren mit digitalen Elementen nach ihrem Erwerb im Gegensatz zu herkömmlichen Sachen teilweise in der Sphäre des Unternehmers oder Dritten (z.B. Hersteller). Die Aktualisierungspflichten und die Beschaffenheit richten sich nach den vertraglichen Vereinbarungen der Parteien. Eine unterbliebene, fehlerhafte oder unvollständige Aktualisierung begründet einen Sachmangel, sofern es Abweichungen zum Kaufvertrag gibt. Eine Ausnahme bildet dabei gem. § 475c BGB die dauerhafte Bereitstellung von Waren mit digitalen Elementen, bei denen trotzdem eine Aktualisierungspflicht von 2 Jahren vorgegeben ist. Sofern keine Dauer einer Aktualisierungspflicht vereinbart ist, ist unter objektiven Gesichtspunkten – insbesondere Funktion, Sicherheit und Vertragsmäßigkeit – eine Dauer zu ermitteln.
Sachmangel aufgrund mangelnder Datenschutzkonformität
Doch liegt auch ein Sachmangel vor, wenn die digitalen Element einer Ware nicht datenschutzkonform sind? Mit dieser Frage beschäftigt sich unter anderem auch die Dissertation „Die Haftung des Verkäufers für fehlende Datenschutzkonformität von Waren mit digitalen Elementen“ von Dr. Matthias Eichfeld:
Darin plädiert er, die Produktbeschaffenheit in Bezug auf den Sachmangelbegriff zu beurteilen. Insbesondere die getroffenen Individualvereinbarungen könnten, in Hinblick auf die Datenschutzkonformität, Aufschluss über eine Beurteilung geben. Die Regeln des Verbrauchsgüterkaufes werden grundlegend zugunsten des Verbrauchers ausgelegt.
Insbesondere der objektive Sachmangel einer Ware mit digitalen Elementen sei schwierig abzugrenzen, da hier keine konkreten Vorgaben zur Orientierung gegeben sind. Wichtig ist, dass ein Datenschutzverstoß nicht pauschal als Sachmangel zu verstehen sei. Ferner sollte sich hier an der Gebrauchsbeeinträchtigung des Durchschnittsverbrauchers orientiert werden. Mithin sei zu prüfen, inwieweit die Funktion durch einen Datenschutzmangel beeinträchtigt wird und für den Verbraucher spürbar ist.
„Dieses zusätzliche Kriterium der ‚Spürbarkeit‘ ist niederschwellig anzusetzen und darf keinesfalls mit dem wesentlich höher anzusiedelnden Prüfungsmaßstab für die Erheblichkeit im Sinne von § 323 Abs. 5 S. 2 BGB vermengt werden.“
Eichfeld stellte bei der Untersuchung fest, dass eine Orientierung an den Voraussetzungen für Bußgelder gem. Art 83 DSGVO dabei zu hoch angesetzt wäre. Vielmehr müsse ein materieller Datenschutzverstoß vorliegen. Insbesondere sei dabei auf die Betroffenenrechte gem. Art. 12 ff. DSGVO, datenschutzrechtliche Voreinstellungen gem. Art 25 DSGVO und der Sicherheit der Verarbeitung gem. Art 32 DSGVO zu verweisen. Bei Verstößen dieser Art könne von einem Sachmangel ausgegangen werden. Ebenso seien Beurteilungen von Aufsichtsbehörden zu beachten, da diese indiziell als Sachmangel gewertet werden können.
Bei einem formellen Verstoß müsse der Verbraucher in der Lage sein, die Gebrauchsbeeinträchtigung vorzuweisen. Bei der praktischen Umsetzung sei der Verbraucher dazu verpflichtet, nachzuweisen, dass ein Sachmangel existiert. Dieser Nachweis könnte sich allerdings als schwierig erweisen, da in der Regel ein technischer Fehler wie zum Beispiel die unzureichende technische Gestaltung (privacy by design / default) oder eine unzureichende Sicherheit der Verarbeitung nachgewiesen werden müsste. Dafür wiederum müsste der Verbraucher einen Referenzrahmen für das jeweilige Produkt haben und die technischen Hintergründe kennen, um eine Beurteilung abgeben zu können.
Durchsetzung von Ansprüchen
Dem Verbraucher bleibt, um den Genuss der Beweislastumkehr gem. § 477 BGB zu kommen, nun ein zeitlicher Rahmen von 12 Monaten oder sogar 2 Jahren bei dauerhafter Bereitstellung des Produktes, um diesen Sachmangel vorzuweisen. Kann innerhalb dieses Zeitraumes nachgewiesen werden, dass der Sachmangel existiert, so liegt es am Verkäufer oder Hersteller zu beweisen, dass dieser Mangel nicht auf sein Verschulden zurückgeht. Hier ist auf die Betroffenenrechte gem. Art 12 ff. DSGVO und das Recht zur Beschwerde bei der Aufsichtsbehörde gem. Art. 77 ff. DSGVO hinzuweisen, die bei Ermittlung von einem Sachmangel durchaus hilfreich werden könnten.
Richtlinie digitaler Inhalte und Dienstleistungen
Bei der Beurteilung, ob ein Datenschutzmangel als Sachmangel verstanden werden kann, ist auf die Richtlinie (EU) 2019/770 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (Erwägungsgrund 48) hinzuweisen. Demnach gelten Datenschutzvorschriften – insbesondere der Verarbeitung personenbezogener Daten – bezüglich Verträgen, die in den Anwendungsbereich dieser Richtlinie fallen, in vollem Umfang. Eine analoge Anwendung sei demnach auch für Waren mit digitalen Elementen gegeben.
Sofern der Verkehrsanschauung nach Datenschutzkonformität relevant für den mangelfreien Gebrauch der digitalen Ware ist oder der Verkäufer ausdrücklich eine datenschutzkonforme Verpflichtung eingeht, so ist davon auszugehen, dass ein Verstoß als Sachmangel gewertet werden kann. Ebenso ist auf die Art des Produktes maßgebend für eine Beurteilung.
Handelt es sich um ein Produkt, bei dem der Durchschnittsverbraucher eine Datenschutzkonformität zu erwarten hat (z.B. Sicherheitsfunktionen), so seien Beeinträchtigungen als Sachmangel gem. § 475b BGB zu verstehen (Erwägungsgrund 48). Dies betrifft ebenso die oben genannte Aktualisierungspflicht eines Produktes. Demnach sei durch den Verkäufer sicherzustellen, dass das Produkt nicht in seiner Funktion gehemmt wird (z.B. Sicherheitsaspekte). Hier sei auf die vertragsgemäße Dauer abzuzielen oder bei dauerhafter Bereitstellung auf maximal 2 Jahre.
Datenschutzmangel und jetzt?
Zusammenfassend gilt für den Verbraucher, dass ein Datenschutzmangel bei digitalen Waren als Sachmangel gewertet werden kann. Dabei ist in erster Linie darauf zu achten, welche Funktion das Produkt haben soll und inwiefern ein datenschutzrechtlicher Bezug hergestellt werden kann. Kann der Verbraucher aufzeigen, dass die datenschutzkonforme Nutzung Teil der Vertragsabsprache ist oder dass der Verkäufer in irgendeiner Art und Weise Datenschutz als Produktmerkmal hervorhebt, so deutet dies auf einen Sachmangel hin. Hier ist zusätzlich auf die Aktualisierungspflicht, die auch nach Übergang der Ware bestehen bleibt, hinzuweisen.
Die zweite Hürde besteht darin, den Sachmangel nachzuweisen. Hier erweist sich die praktische Umsetzung als schwierig, da der Verbraucher erkennbar machen muss, inwiefern die fehlende Datenschutzkonformität das Produkt in seiner Funktion spürbar hemmt. Anhaltspunkte dafür könnten sein, dass der Verkäufer oder Hersteller Daten mehr Daten als notwendig verarbeitet oder durch mangelnde Informationen oder fehlende Transparenz ein falsches Bild erzeugt. Auch die technische Gestaltung oder unzureichende Sicherheitsmaßnahmen können als Sachmangel gewertet werden. Außerdem sei auf Maßnahmen der Aufsichtsbehörden hinzuweisen, welche als Hinweis auf einen Sachmangel deuten können. Letztlich könnte der Verbraucher sein Recht auf Beschwerde bei den Aufsichtsbehörden zur Durchsetzung des Anspruchs nutzen.
Ist ein Sachmangel entdeckt, so hat der Verkäufer nachzuweisen, dass er ein Mangel nicht zu vertreten hat. Letztendlich könnten daraus Gewährleistungsansprüche (Nacherfüllung, Rücktritt oder Schadensersatz) entstehen. Insgesamt hält Eichfeld die Erfolgschancen für die Durchsetzung von Ansprüchen allerdings für wage, da es vielmehr eine Einzelfallentscheidung sei. Insbesondere sei auf die zukünftigen Entwicklungen zu achten, da der Diskurs noch am Anfang stehe und mögliche Auswirkungen auf den Datenschutz habe.
Unsere Arztpraxis-Software kann nicht DSGVO konform löschen/sperren, hat kein Einwilligungs-Management, unterstütz nicht Recht auf Auskunft, usw.
Ist das jetzt eine Ableitung von Erwägungsgründen 74, „sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden“, denn bis jetzt haben die Hersteller die Ärzte immer abblitzen lassen.
Alles muss mühselig manuell herausgesucht werden, über kniffliche Statistik Regeln oder schlichtweg durch sichten der Daten, teilweise über mehrere Jahre.
Die Software wird zwar regelmäßig „aktualisiert“ bei guter Bezahlung eines Software-Service-Wartungsvertrag, aber der Datenschutz fällt hinten runter.
Anwendungsbereich bei einer Software ist wahrscheinlich §§ 327 ff. BGB. Ohne die tatsächliche Beschaffenheit und Vertragsmäßigkeit einer Software zu kennen, lassen sich schwerlich Rückschlüsse zur DSGVO-Konformität ziehen. Aufschluss könnte die Vereinbarung zur Auftragsverarbeitung geben.
Vielmehr sollte sichergestellt werden, dass DSGVO-Konformität richtig verstanden wird. Automatisches Löschen nach DSGVO oder ein Einwilligungsmanagement ist nicht zwangsläufig Teil des Funktionsumfanges. Informationen zum Recht auf Auskunft finden Sie hier: https://www.dr-datenschutz.de/auskunftsrecht-dsgvo-wissen-fuer-betroffene-unternehmen/