Haftung des Softwareherstellers für nicht datenschutzkonforme Software

Der Einsatz von Software zur Verarbeitung personenbezogener Daten ist im Unternehmensalltag eine Selbstverständlichkeit. Um dabei die datenschutzrechtlichen Vorgaben einhalten zu können, ist es unerlässlich, dass die Software mit Blick auf die Vorgaben der DSGVO programmiert wurde.Dieser Beitrag beschäftigt sich mit der Frage, inwiefern Softwarehersteller für Software, die sich nicht DSGVO-konform einsetzen lässt, in Haftung genommen werden können.

Keine datenschutzrechtliche Verantwortlichkeit des Herstellers

Dem datenschutzrechtlich Verantwortlichen obliegt die Pflicht des „privacy by design“ („Datenschutz durch Technikgestaltung“) gemäß Art. 25 DSGVO. Danach hat dieser Mittel zur Datenverarbeitung (d.h. unter anderem Soft- und Hardware) einzusetzen, welche die Einhaltung der Datenschutzgrundsätze ermöglichen und die Rechte der Betroffenen schützen.

Softwarehersteller sind für die Datenverarbeitungen mithilfe von Software nicht verantwortlich. Sie haben zwar faktisch Einfluss auf die Datenschutzkonformität von Datenverarbeitungsprozessen. In der Regel entscheiden sie aber nicht über Mittel und Zweck der Datenverarbeitung. Sie sind allenfalls Auftragsverarbeiter des Verantwortlichen (z.B. im Falle Software-as-a-Service). Damit obliegt ihnen nicht die Pflicht des „privacy by design“ und sie können auf datenschutzrechtlicher Ebene nicht für Software haftbar gemacht werden, die eine datenschutzkonforme Verarbeitung personenbezogener Daten nicht ermöglicht.

Gefahr: Mängelhaftung des Herstellers

Einfluss auf eine datenschutzkonforme Ausgestaltung von Software haben Verantwortliche jedoch bei der Beschaffung geeigneter Software. Sie sind darauf angewiesen, dass Software bereits unter Berücksichtigung der besonderen datenschutzrechtlichen Anforderungen programmiert wurde. Dementsprechend werden sie Mittel und Wege suchen, um den Softwarehersteller in die Verantwortung zu nehmen, wenn die Software diesen Anforderungen nicht gerecht wird.

Ansatzpunkt ist insoweit das Gewährleistungsrecht. Verkauft der Softwarehersteller ein Produkt oder passt er dieses individuell auf die Bedürfnisse seines Kunden an, stehen dem Kunden im Falle eines Mangels kaufverträgliche (§§ 434 ff. BGB) bzw. werkverträgliche Mängelrechte (§§ 634 ff. BGB) zu.

Ein Mangel kann dabei – wie im Falle einer fehlenden Funktion der Software oder bei Programmabstürzen – darin liegen, dass sich die Software nicht datenschutzkonform einsetzen lässt (z.B. fehlende Löschfunktionen, Sicherheitslücken oder fehlende Rollen- und Berechtigungskonzepte).

Ein Mangel liegt in jedem Falle vor, wenn Softwarehersteller und Kunde die Datenschutzkonformität der Software ausdrücklich vertraglich vereinbart haben und die Software den datenschutzrechtlichen Anforderungen nicht entspricht. Solche Beschaffenheitsvereinbarungen sind in der Praxis die Ausnahme.

Allerdings dürfte sich ein Mangel dürfte sich regelmäßig auch dann ergeben, wenn nicht DSGVO-konforme Software maßgeblich zur Verarbeitung personenbezogener Daten verwendet wird (HR-Software etc.), sich dies aus der vertraglichen Vereinbarung zwischen Softwarehersteller und Kunde ergibt und die Software datenschutzrechtlich gebotene Grundfunktionen (Möglichkeit des Löschens personenbezogener Daten) nicht vorsieht.

Letztlich kann eine Haftung des Herstellers auch dann nicht völlig ausgeschlossen werden, wenn sich die Software nicht für die gewöhnliche Verwendung eignet, die bei Software der gleichen Art üblich ist und die der Kunde nach der Art der Software erwarten kann. So vertreten Stimmen in der Literatur, dass nicht DSGVO-konforme Software nicht dem Stand der Technik entspreche und insofern mangelhaft sei.

Praxistipp und Ausblick

Softwarehersteller sind bislang grundsätzlich nicht nach dem Datenschutzrecht für ihre Produkte verantwortlich. Diese Erkenntnis sollte allerdings nicht dazu führen, dass sich Softwarehersteller zum Thema Datenschutz in Sicherheit wiegen.

Zum einen hat die Konferenz der unabhängigen Aufsichtsbehörden (DSK) bereits angeregt, die Vorschriften der DSGVO zu ändern und neben dem Verantwortlichen auch den Hersteller in die Haftung zu nehmen. Es widerspreche dem Ansatz des „Privacy by Design“, dass Softwarehersteller nicht zur datenschutzkonformen Ausgestaltung von Software verpflichtet würden. Zudem entstünden daraus erhebliche Schutzlücken für die Betroffenen. Dies ist derzeit noch Zukunftsmusik, die Entwicklung sollte dennoch im Auge behalten werden.

Die größere – und bereits bestehende – Gefahr für Softwarehersteller liegt im Mängelhaftungsrecht. Grundsätzlich besteht die Möglichkeit, dass sich aus fehlender Datenschutzkonformität ein Mangel ergibt und Softwarehersteller gegenüber ihren Kunden wegen fehlerhafter Software haften. Bei der Vertragsgestaltung ist dies unbedingt zu berücksichtigen – insbesondere ist mit Aussagen wie „DSGVO-konform“ oder „erfüllt alle datenschutzrechtlichen Anforderungen“ Vorsicht geboten.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser interessieren sich auch für

DSGVO Update 3.0 am 03.02.2020: Der richtige Umgang mit Datenpannen / Bußgeldpraxis
„Nicht jede Datenpanne muss gemeldet werden! Vielmehr ist die Meldepflicht im Einzelfall genau zu prüfen.“ – insoweit waren sich Dr. Réne Meis (LDI NRW) und Prof. Dr. Lüdemann (NDZ HS Osnabrück) einig. Und auch sonst bestand – abgesehen von der Frage, wie lange 72 Stunden dauern – weitestgehend Konsens zwischen den Vortragenden. Kritik übte Prof. Lüdemann am neuen Konzept der Bußgeldbemessung der deutschen Aufsichtsbehörden.
Sanktions- und Haftungsrisiken durch Datenschutzaudits minimieren
Regelmäßige Audits minimieren Sanktions- und Haftungsrisiken, entlasten Geschäftsführer und Vorstände hinsichtlich der Einhaltung der Datenschutzgesetze und ermöglichen den Nachweis der Datenschutzkonformität gegenüber Aufsichtsbehörden.