Haftung für fehlerhafte Leistung Dritter nach der Datenschutzgrundverordnung
Haftung aus Privacy by Design und Privacy by Default – Teil 2
Im Teil 2 geht es nun um die Frage, ob Unternehmen einen Schadenersatzanspruch haben, wenn sie eine Software einkaufen, die nicht datenschutzrechtskonform programmiert ist?
Zum Hintergrund: Ein Unternehmen kauft eine Software, die nicht datenschutzkonform ist, weil sie entweder aufgrund der Voreinstellungen oder der Programmierung unzulässig Daten sammelt. Der Unternehmer wird vom Betroffenen der unzulässigen Datenerhebung auf Unterlassung in Anspruch genommen und ihm wird ein Bußgeld von der zuständigen Aufsichtsstelle auferlegt. Das Unternehmen fragt sich, ob er diese Forderungen gegen ihn zur Grundlage eines Schadenersatzanspruchs machen kann.
Mangel aus fehlender Datenschutzkonformität
Zunächst ist zu prüfen, ob überhaupt ein Mangel vorliegt, wenn eine Software den Grundsätzen des Datenschutzes nicht genügt. Die verantwortliche Stelle, meist ein Unternehmen, kann den Datenschutz nur gewährleisten, wenn die von ihr eingesetzte Software die entsprechenden Funktionen aufweisen. Sollte dies nicht der Fall sein, könnte dies ein Mangel sein, der einen (kauf- oder werkvertraglichen) Schadenersatzanspruch begründen kann.
Bei Standardsoftware kommt Kauf-, bei Individualsoftware Werkvertragsrecht zur Anwendung. Für die Beurteilung der Mangelhaftigkeit ist diese Differenzierung entbehrlich, denn die Mängelbegriffe sind bei §§ 434, 633 BGB vergleichbar. Ein Mangel, in Form einer datenschutzrechtswidrigen Funktionalität ist dann zu bejahen, wenn die Datenschutzkonformität eine vereinbarte Eigenschaft darstellt. Das wird beispielsweise unterstellt, wenn
- der Software ein technisches Datenblatt beiliegt, das die Anforderung an die Löschung, z. B. nach dem IT-Grundschutzkatalog beschreibt, oder
- konkrete Erhebungs-, Verarbeitung- oder Löschroutinen vereinbart wurden.
Auch wird ein Mangel bejaht, wenn die Software von vornherein für den vertraglich vorausgesetzten Zweck ungeeignet ist. Dies ist dann der Fall, wenn es sich um Standardsoftware handelt, die ohne persönliche Einrichtung nicht datenschutzkonform ist.
Die fehlende Einhaltung von in Gesetzen niedergelegten Ge- und Verboten durch die Kaufsache lässt in jedem Falle die Verwendung für den nach dem Vertrag vorausgesetzten Zweck und somit die Mangelfreiheit entfallen. Allerdings kann eine Erkennbarkeit des Mangels für den Auftraggeber die Schadenersatzpflicht des Auftragnehmers ausschließen. Weiterhin musste der Auftragnehmer erkennen können, dass die Software datenschutzrechtskonform sein muss. Es reicht aber nicht, dass der Auftraggeber lediglich oder beiläufig mitteilt, dass die Software personenbezogene Daten erheben wird.
Allerdings darf man sich die Frage stellen, ob Käufer und Verkäufer einen derartigen individualisierten Kauf- bzw. Werkvertrag schließen, wenn es sich um Standardsoftware oder standardisierte Software mit individuellen Komponenten handelt. Dies entspricht zumeist nicht der Lebensrealität und der Verkäufer weiß nichts von dem vom Käufer beabsichtigten Anwendungsgebiet der Software. In diesen Fällen wird man nur auf den objektiven Fehlerbegriff, also auf eine datenschutzrechtliche Ausstrahlung abstellen können, wenn die Standard- oder Individualsoftware gerade auf die Verarbeitung personenbezogener Daten angelegt ist, wie es bei Customer-Relationship-Management (CRM) oder Personalinformationssystemen (PiS) bejaht und der Einsatz durch einen Unternehmer i. S. d. § 14 BGB erfolgen wird.
In den nachfolgenden Beispielen wird verdeutlicht, wann eine sogenannte Ausstrahlungswirkung von Datenschutzgrundsätzen zu bejahen ist, die Software mithin datenschutzkonform sein muss:
Verstoß gegen den Grundsatz der Datensparsamkeit und -vermeidung i. S. d. § 3a BDSG
Zwar muss Software sich auch nach dem Grundsatz der Datensparsamkeit und -vermeidung messen lassen. § 3a BDSG formuliert aber nur eine unverbindliche Zielvorgabe. Ein Verstoß gegen diese Richtlinie als ein Verstoß gegen das Gebot des privacy by design führt nicht zur Unzulässigkeit der Datenverarbeitung selbst. Daher werden hier weder Ansprüche des Betroffenen eröffnet, noch ein behördliches Eingreifen ermöglicht, Ein Verstoß gegen § 3a BDSG eröffnet letztlich kaum ein Haftungsfeld.
Die Frage der Datensparsamkeit wurde in Art. 25 DGSVO im Gegensatz zu § 3a BDSG zu einer echten Rechtspflicht erhoben. Durch diese Neuregelung kann eine Verletzung zur Grundlage eines Schadenersatzanspruchs herangezogen werden.
Verstoß gegen Privacy by Default und Privacy by Design
Die Grundsätze des Privacy by Design und Privacy by Default sind in der DSGVO in Art. 28 Abs. 1, 2 DSGVO festgeschrieben.
Privacy by Design (PbD) meint den Datenschutz durch Technikgestaltung, Privacy by Default, den Datenschutz durch datenschutzfreundliche Voreinstellungen (der Software).
Eine Haftung kann sich ergeben, wenn aufgrund der Voreinstellungen mehr Daten erhoben werden, als es für den Verarbeitungszweck erforderlich ist.
- umfangreiche Datenfelder bei online-Registrierung ausgefüllt werden müssen, obwohl lediglich die E-Mail-Adresse erforderlich wäre,
- die Veröffentlichung des Anmeldenamens auf der Homepage oder einem dazugehörigen Forum
Verstoß gegen die Löschpflicht gem. § 35 Abs. 2 BGB
Soweit das BDSG eine konkrete Rechtspflicht der verantwortlichen Stelle zur Löschung der vom Betroffenen verarbeiteten Daten mit Verpflichtungsqualifikation vorsieht, weil zum einen ein echter Unterlassungsanspruch vorliegt und zum anderen ein Verstoß ein Ordnungswidrigkeitenverfahren (Bußgeldverfahren) einleiten kann, sind Schadenersatzansprüche möglich. Das (pflichtwidrige) Unterlassen der Löschung i. S. d. § 35a BDSG fällt hierunter.
Das Löschen der persönlichen Daten meint das irreversible Vernichten in Richtung physischer Zerstörung.
Wenn dies mit der Software nicht datenschutzkonform, also nicht innerhalb der notwendigen Frist, nicht in dem ausreichenden Maße möglich ist und der Auftraggeber deswegen vom Betroffen auf Unterlassung und von der Aufsichtsbehörde mit Bußgeldern bzw. Anordnungen belegt werden kann, drängen sich Schadenersatzansprüche gegen den Auftragnehmer, also dem Hersteller der Software geradezu auf. Hierbei handelt es sich um den klassischen Anwendungsfall des Privacy by Design.
„Problemfall“ Windows 10
Als bekannt wurde, dass das neue Betriebssystem Windows 10 von Microsoft erheblich Daten sammelt, stellte sich die Haftungsfrage, wenn die fehlende Datenschutzkonformität bereits dem Betriebssystem immanent inne wohnt. Es bleibt aber noch abzuwarten, ob sich aus der Privacy-Politik von Microsoft ein Schadenersatzanspruch ergeben kann. Hintergrund ist das für den Normaluser kaum erkennbare Datensammeln und -weiterleiten durch das Betriebssystem. Zwar können die Datenschutzeinstellungen durch den Nutzer angepasst werden, aber das System läuft bei Erststart nach Installation auf einem „herstellerfreundlichen“ Datenschutzniveau, so dass diverse Daten des Anwenders und seines Rechners an Microsoftserver gesandt werden, ohne dass der Anwender dies wahrnimmt. Hier stellt sich die Frage, ob
- die Voreinstellungen einer Software (privacy by default) datenschutzwidrig sein dürfen,
- man von einem Durchschnittsanwender erwarten darf, dass er die Datenschutzkonformität der Software selbst herstellt und
- ob der Hersteller sich mit dem Hinweis an den Nutzer exkulpieren kann.
Die Frage nach möglichen Schadenersatzansprüchen wegen Verletzung des Datenschutzrechts stellt sich regelmäßig und nimmt aufgrund der zunehmenden Relevanz des Themas Datenschutz erheblich zu. Da die Gerichte den Auftragnehmern, wie IT-Dienstleistern, Web-Designern usw. zunehmende Prüfungspflichten auferlegen, dürfte die Anzahl der möglichen Haftungsfälle stetig zunehmen. Es wird empfohlen, die Fragen der datenschutzrechtlichen Relevanz der Software und der Haftung bei Vertragsverletzung im Vertrag zu formulieren.