Software kennen wir „stand alone“, aber inzwischen auch in Gegenständen unseres Alltags: smarte Telefone, Kühlschränke, Autos und Solaranlagen sind nur einige Beispiele. Diese Geräte sammeln riesige Mengen an Daten. Das stellt neue Anforderungen an Hersteller und Verkäufer dieser Produkte in puncto Datenschutz und Datensicherheit. Wir beleuchten hier deshalb die Frage näher: Kann fehlende Datenschutzkonformität einen Sachmangel begründen?
Nach alter Rechtslage umstrittene Rechtsfrage
Bisher war in Literatur und Rechtsprechung umstritten, ob fehlende Datenschutzkonformität bzw. Sicherheitslücken einen Sachmangel begründen. Wir hatten bereits über ein Urteil des OLG Köln aus dem Jahr 2019 berichtet, das entschieden hatte, dass bei einem Smartphone mit Sicherheitslücken kein Sachmangel vorliege, wenn das Betriebssystem dennoch in der Lage ist, die vorgesehene Leistung zu erbringen.
Neu im Wortlaut des Gesetzes: „Sicherheit“
Der Verkäufer einer Sache war und ist nach geltendem Recht verpflichtet, dem Käufer die Sache frei von Sachmängeln zu verschaffen. Dies ist sie dann, wenn sie insbesondere auch den objektiven Anforderungen entspricht. Dazu gehört auch, dass die Sache eine Beschaffenheit aufweist, die bei Sachen derselben Art üblich ist und die der Käufer – verkürzt dargestellt – erwarten kann. In der zum 1. Januar 2022 geänderten Fassung des BGB zählt das Gesetz zur üblichen Beschaffenheit neben Menge und Qualität auch sonstige Merkmale einschließlich ihrer Haltbarkeit, Funktionalität und – Sicherheit (vgl. § 434 Abs. 3 Satz 2 BGB).
Bedeutung des Begriffs „Sicherheit“
Bemerkenswert ist, dass der Begriff der Sicherheit – anders als etwa die Begriffe „Funktionalität“ und „Kompatibilität“ (vgl. dazu § 327e Abs. 2 Satz 2 und 3 BGB) – weder im Gesetz noch in den Richtlinien definiert wird. Teilweise wird in der Literatur vertreten, dass in erster Linie die Sicherheit von Daten gemeint sei (Klett/Gehrmann, Sicherheitsmängel in der Software, MMR 2022, 435), teilweise wird von einem weiteren Anwendungsbereich ausgegangen (Auer-Reinsdorff, Digitales Kaufrecht B2B, MMR 2023, 6). Richtigerweise umfasst der Begriff im Bereich der Informationstechnologie die Produktsicherheit, die IT-Sicherheit und die Datensicherheit. Dementsprechend muss die eingangs gestellte Frage grundsätzlich bejaht werden und bedeutet für bei Gefahrenübergang vorliegende Sicherheitslücken auch außerhalb des Verbrauchsgüterkaufs eine Pflicht des Verkäufers zur Bereitstellung von Patches zu deren Beseitigung.
Praxistipp
Obgleich die Frage dem Grundsatz nach wohl zu bejahen ist, ist gegenwärtig offen, ab wann im konkreten Einzelfall bei fehlender Datenschutzkonformität bzw. Sicherheitslücken von einem Sachmangel auszugehen ist. Hier bedarf es der Klärung durch die Gerichte. Hersteller von digitalen Produkten und Waren mit digitalen Elementen werden künftig ein noch stärkeres Augenmerk auf die entsprechende Sicherheit legen müssen. (Wieder-)Verkäufern wiederum ist zu raten, ihre vertraglichen Vereinbarungen mit Herstellern zu überprüfen, um entsprechende Haftungsdeltas zu vermeiden.
Ihre Ansprechpartner von esb Rechtsanwälte am Standort Dresden für den Bereich Datenschutz und IT-Sicherheit sind: