Skip to content

Im Folgenden beleuchten wir die beiden Datenschutzkonzepte und ihre Auswirkungen auf das Gewährleistungsrecht.

Privacy by design und privacy by default

Einleitung

Die Grundsätze Privacy by Design und Privacy by Default sind in Art. 25 Abs. 1 und 2 DS-GVO verankert. Sie verpflichten die Verantwortlichen zu Datenschutz durch Technikgestaltung bzw. zu datenschutzfreundlichen Voreinstellungen. Verantwortliche sollen geeignete technische und organisatorische Maßnahmen (TOMs) treffen, die darauf ausgelegt sind, die Datenschutzgrundsätze wirksam umzusetzen und um sicherzustellen, dass durch Voreinstellungen einer Software grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Mit den genannten Datenschutzgrundsätzen ist bspw. die Datenminimierung gem. Art. 5 Abs. 1 lit. c DS-GVO gemeint, die vorschreibt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

Regelung vor Einführung der DS-GVO

Das Konzept des Privacy by Design war dem Datenschutzrecht schon vor der Einführung der DS-GVO geläufig; es war bereits in Art. 17 der Richtlinie 95/46/EG (Datenschutzrichtlinie) angelegt, welcher die Verpflichtung enthielt, geeignete technische und organisatorische Maßnahmen zu ergreifen, die zum Schutz gegen eine unrechtmäßige Verarbeitung erforderlich sind. Art. 25 DS-GVO präzisiert dies und führt eine Rechtspflicht mit echter Verpflichtungsqualität ein. Demnach können die Aufsichtsbehörden über Art. 58 Abs. 2 lit. d DS-GVO die Einhaltung und Umsetzung anordnen und den Verantwortlichen kann im Fall eines Verstoßes ein Bußgeld treffen.

Pflichteninhalt des Art. 25 DS-GVO

Normadressat

Durch die Verpflichtungen des Art. 25 DS-GVO wird ausschließlich der Verantwortliche adressiert. Verantwortlicher ist im Sinne des Art. 4 Abs. 1 Nr. 7 DS-GVO diejenige Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Die Hersteller von Produkten, Diensten und Anwendungen sind also nicht unmittelbar von der Pflicht zum Datenschutz durch Technikgestaltung betroffen. Gleichsam liegt dem Art. 25 DS-GVO jedoch der Gedanke zugrunde, dass die unmittelbare Verpflichtung des Verantwortlichen zu einer Nachfrage beim Hersteller nach datenschutzrechtlich zulässigen Produkten führt und die Regelungen des Art. 25 DS-GVO so auch mittelbar auf die Hersteller ausstrahlen.

Inhalt der Verpflichtungen

Datenschutz durch Technikgestaltung (Privacy by Design) ist präventiv ausgerichtet und betrachtet Technik nicht nur als Regelungsgegenstand des Datenschutzes, sondern vielmehr als potenzielles Durchsetzungswerkzeug, indem die Vorgaben des Datenschutzes bereits in die Programmierung und Konzeption von Datenverarbeitungsvorgängen eingebunden und schließlich berücksichtigt werden. So hat der Verpflichtete bereits bei der Produktentwicklung, der Einführung von Systemen und der Gestaltung von Prozessen geeignete technischen und organisatorischen Maßnahmen vorzusehen, um die Datenschutzgrundsätze (bspw. Datenminimierung oder Transparenz) umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen. Technische Maßnahmen sind in diesem Zusammenhang sowohl physische Vorkehrungen, die sich auf den Vorgang der Datenverarbeitung erstrecken (bspw. bauliche Maßnahmen, um den Zutritt Unbefugter zu verhindern) als auch Vorkehrungen, die den Software- und Hardwareprozess der Verarbeitung datenschutzkonform ausgestalten. Organisatorische Maßnahmen hingegen umfassen hauptsächlich äußere Rahmenbedingungen des technischen Verarbeitungsprozesses. Zum Privacy by Design zählen demnach Maßnahmen wie Pseudonymisierung und Anonymisierung, bei denen personenbezogene Identifikationsmerkmale von Inhaltsdaten getrennt werden. Darüber hinaus ist auch die systemseitige Gewährleistung erfasst, nach der bereits erhobene personenbezogene Daten schnellstmöglich wieder gelöscht werden. Art. 25 DS-GVO zielt ebenfalls darauf ab, dass eine technische Umsetzung des Widerspruchsrechts realisiert wird, sodass der Betroffene seinen Widerspruch mittels automatisierter Verfahren ausüben kann.

Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Default) ist so umzusetzen, dass anhand von Standardeinstellungen grundsätzlich nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind. Um dem gerecht zu werden, muss das System in seinen Grundeinstellungen so eingerichtet und konfiguriert sein, dass ein datenschutzkonformes Arbeiten ermöglicht wird. Für den Hersteller bedeutet dies, dass die Produkte so zur Verfügung gestellt werden müssen, dass datenschutzfreundliche Einstellungen bereits eingepflegt und nachvollziehbar dokumentiert sind.

Mögliche Konsequenzen für das Gewährleistungsrecht

Durch die verbindlichen Verpflichtungen des Art. 25 DS-GVO tritt nun noch dringender als zuvor die Frage auf, ob ein Softwareprodukt, das den Grundsätzen des Datenschutzrechts nicht genügt, mit einem Sachmangel behaftet ist und Gewährleistungsansprüche auslöst. Abhängig davon, ob sich der Vertragsinhalt auf die dauerhafte Überlassung von Standardsoftware ohne Anpassungsarbeiten oder die Erstellung von Individualsoftware mit einem konkreten Funktionsumfang bezieht, handelt es sich entweder um einen Kaufvertrag (§ 433 BGB) oder einen Werkvertrag (§ 631 BGB). Damit Gewährleistungsrechte ausgelöst werden, bedarf es stets eines Sachmangels. Dieser liegt gem. §§ 434, 633 BGB grundsätzlich vor, wenn die Ist-Beschaffenheit des Produkts negativ von seiner Soll-Beschaffenheit abweicht.

§ 434 Abs. 1 S. 1, 633 Abs. 2 S. 1 BGB: Vereinbarte Beschaffenheit

Eine Beschaffenheitsvereinbarung der Parteien gem. §§ 434 Abs. 1 S. 1, 633 Abs. 2 S. 1 BGB wäre gegeben, wenn die Parteien sich ausdrücklich vertraglich darüber einigen, welche personenbezogenen Daten in welcher Weise über die Software verarbeitet werden sollen und dass die Software den datenschutzrechtlichen Vorgaben genügen soll. Fehlt es der Software sodann an der Erfüllung dieser datenschutzrechtlichen Voraussetzungen, liegt zwar ein Sachmangel vor, dieser ergibt sich aber nicht unmittelbar aus der Ausstrahlungswirkung des Art. 25 DS-GVO, sondern maßgeblich aus der parteilich vereinbarten Beschaffenheit.

§ 434 Abs. 1 S. 2 Nr. 1, 633 Abs. 2 S. 2 Nr. 1 BGB: Eignung der Sache zur vertragsgemäßen Verwendung

Ein Mangel liegt nach dem subjektiven Fehlerbegriff der §§ 434 Abs. 1 S. 2 Nr. 1, 633 Abs. 2 S. 2 Nr. 1 BGB auch dann vor, wenn sich die Software nicht für die nach dem Vertrag vorausgesetzte Verwendung eignet. In diesem Zusammenhang kann auch die fehlende Einhaltung von gesetzlichen Ge- oder Verboten durch den Vertragsgegenstand die vertraglich vorausgesetzte Verwendung entfallen lassen. Dieser Grundsatz wurde vom Oberlandesgericht Hamm (OLG Hamm, Urt. v. 14.11.1994, Az. 31 U 105/94) bereits auch auf Softwareprodukte übertragen, sodass ein Softwareprodukt auch dann mangelhaft sein kann, wenn es grundsätzlich funktionsfähig ist, aber nicht die gesetzlichen Anforderungen erfüllt. Dies wird nach überwiegender Auffassung jedoch dahingehend wieder eingeschränkt, dass die Parteien die konkrete Verwendung zur Datenverarbeitung in der Vertragsverhandlung hätten erwähnen müssen, damit die gesetzlichen Anforderungen des Datenschutzrechts für den Anbieter erkennbar sind.

§ 434 Abs. 1 S. 2 Nr. 2, 633 Abs. 2 Nr. 2 BGB: Übliche Beschaffenheit

Ein Sachmangel ist zudem gegeben, wenn das Produkt nicht die übliche vertragliche Beschaffenheit aufweist. Hiervon können auch die rechtlichen Vorgaben des Datenschutzrechts erfasst sein. Werden diese Vorgaben von der Software nicht realisiert, entfällt die Eignung für den gewöhnlichen Gebrauch. Die vorausgesetzte Verwendung zur Verarbeitung von personenbezogenen Daten muss sich aber aus dem Vertrag ergeben, sodass ein Sachmangel wohl nur dann vorliegt, wenn die Software ihrer Funktionsweise nach gerade auf die Verarbeitung personenbezogener Daten angelegt ist.

Fazit

Privacy by Design und Privacy by Default stellen Maßnahmen dar, die darauf ausgerichtet sind, personenbezogene Daten der Betroffen zu schützen und dies durch zeitlich vorhergehende Vorkehrungen zu gewährleisten. Die jeweilige Technik oder Software soll so gestaltet sein, dass es von vornherein zu weniger Datenschutzverstößen kommt und die Voreinstellungen der jeweiligen Software bereits datenschutzfreundlich sind. Letzteres soll vor allem dazu beitragen, dass auch die Daten von technikunerfahrenen Nutzern geschützt sind, ohne dass diese eigenhändig Einstellungen zum Schutz ihrer Daten treffen müssen.  

Eine Software, die nach der vertraglich vorausgesetzten Verwendung oder der gewöhnlichen Beschaffenheit zur Verarbeitung personenbezogener Daten genutzt wird und erkennbar von einem datenschutzrechtlich Verantwortlichen erworben wird, muss den Anforderungen des Art. 25 DS-GVO entsprechen. Damit wird über den Umweg der vertraglichen Leistungspflicht die Verpflichtung indirekt auch auf Hersteller ausgeweitet. Bei einem Softwareerwerb könnten nun durch einen Verstoß gegen die Prinzipien des Art. 25 DS-GVO Gewährleistungsrechte ausgelöst werden. Es kann jedoch nicht pauschal gesagt werden, dass das Gewährleistungsrecht auf datenschutzrechtliche Verstöße bei Softwareprodukten Anwendung findet. Es kommt gezielt darauf an, ob der Software ein Sachmangel innewohnt. Dies muss sodann im Einzelfall anhand der konkreten vertraglichen Ausgestaltung und der jeweiligen Software geprüft werden.

 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!