In welchem Umfang muss Software datenschutzrechtlichen Vorschriften genügen, in welchem Umfang muss Software geeignet sein, handelsrechtliche Verpflichtung zur Aufbewahrung von Daten zu realisieren?
Welche objektiven Kriterien muß Software erfüllen?
Dieser Blog beschäftigt sich mit der Fragestellung, in welchem Umfang das IT-Unternehmen den Auftragnehmer darüber aufklären muss, die von ihm entwickelte Software bestimmte objektive Kriterien des Datenschutzes, der Datensicherheit und zur Aufbewahrung von Daten erfüllt oder nicht. In welchem Umfang schon bei der Entwicklung von Software Kriterien des Datenschutzes und der Aufbewahrung von Daten beachtet werden müssen
Einleitung
Das Gesetz sagt, dass die Software der vereinbarten Beschaffenheit genügen muss. Damit wird vor allem auf die dokumentierte Vereinbarung abgestellt. Eingehalten werden muss, was in Leistungsbeschreibungen, Pflichtenheften etc. zugesagt wird. Das Gesetz sagt auch, dass selbst dann, wenn solche Aussagen nicht in Leistungsbeschreibungen oder Pflichtenheften getroffen werden, bestimmte objektive Kriterien immer zu erfüllen sind. Mein Lieblingsbeispiel, dass ich in den Seminaren stets verwende, ist das eines Mietvertrages. Das Gesetz sagt, dass der Vermieter grundsätzlich die Verpflichtung hat, die Versprechen zu erfüllen, die er im Rahmen eines Mietvertrages ausdrücklich eingeht. Aber auch dann, wenn in einem Mietvertrag nicht die Rede davon ist, dass eine Heizung in den Mieträumen vorhanden ist, wird man davon ausgehen müssen, dass in deutschen Gefilden die Räume mit einer Heizung ausgestattet sind. Deswegen wird es einen Mangel darstellen, wenn man eine Wohnung ohne Heizung vermietet, selbst dann, wenn in dem Mietvertrag nicht ausdrücklich steht, dass eine Heizung Bestandteil der Mietwohnung ist.
Übertragen auf unsere obige Fragestellung bedeutet das: Stellt es einen Mangel der Software dar, wenn datenschutzrechtliche oder aufbewahrungsrechtliche Vorschriften nicht eingehalten werden, selbst dann wenn explizite Aussagen zu diesen Themen kreisen in der Leistungsbeschreibung, Lastenheft oder Pflichtenheft fehlen?
Pflichtenheft und Change
Diese Fragestellung spielt insbesondere für die Themenbereiche „Change“ und „Mangel“ eine Rolle. Kann der Kunde verlangen, dass bestimmte Aufgabenstellungen, die sich aus dem Datenschutzrecht ergeben, auch dann in der Software abgebildet werden, wenn sich hierzu explizite Aussagen im Pflichtenheft nicht finden. Gerade vor dem Hintergrund der DSGVO ist es sehr wichtig, sich mit dieser Problematik zu beschäftigen. Ich wage heute die These, dass es kaum einen Juristen in Deutschland geben wird, der schon konkrete Vorstellungen darüber hat, welche konkreten Ausprägungen die DSGVO auf die Struktur von zum Beispiel ECM- oder ERP-Software haben werden. Ich habe aber schon mehrere von Auftraggebern stammende Verträge gesehen, in denen Regelungen zu lesen sind, nach deren Inhalt die Einhaltung datenschutzrechtlicher Vorschriften keinen Anspruch auf einen Challenge begründet.
Mal Abseits dessen, dass ich zum heutigen Zeitpunkt solche Regelungen sofort monieren und aus den Verträgen streichen würde, stellt sich die Frage, ob entsprechende Verpflichtung sich nicht schon aus dem Gesetz ergeben. Muss also der Hersteller von Software heute Software so herstellen, dass sie der DSGVO entspricht?
III. Aufklärungs- und Beratungspflichten
Die entsprechenden Beratungspflichten aus dem § 311 Abs. 2,241 Abs. 2 BGB normieren besondere Tatbestände, aus denen sich Aufklärungen – und Beratungspflichten ergeben. Beratungspflichten bestehen immer dann, wenn das IT-Unternehmen gefragt wird. In diesen Fällen hat der Berater des IT-Unternehmens richtig und umfassend zu antworten. Aufklärungspflichten bestehen nur dann, wenn ein sogenanntes Kompetenzgefälle zwischen dem Verkäufer auf der Seite des IT-Unternehmens und dem Einkäufer besteht. Ein solches Kompetenzgefälle wird aber nur in wenigen Situationen vorliegen. Wer zum Beispiel ECM- Software einsetzt, wird sich von sich aus überlegen, dass er im Einsatz von ECM-Software auch datenschutzrechtliche Regelungen beachten muss. Man kann also nicht davon ausgehen, dass der Verkäufer eines Softwareproduktes verpflichtet ist, dem Einkäufer eines ECM-Produktes eine Einführung in Sachen Datenschutz zu offerieren und dann zu erklären, inwieweit sein Produkt die Regelung des Datenschutzes einhält. Ein Kompetenzgefälle wird sich dann ergeben, wenn der Einkäufer evident derartig falsche Vorstellungen über die Funktionsweise der Software hat, dass es dem Verkäufer auffallen muss. Im Grundsatz bleibt es aber dabei, dass der Kunde derjenige ist, der die richtigen Fragen stellen muss und der Verkäufer die richtigen Antworten geben muss. Im Hinblick auf die DSGVO, die noch in das bundesdeutsche Gesetz umgesetzt werden muss, ist es mehr als unklar, wie diese Umsetzung in Deutschland konkret aussehen wird. Mithin trifft den Verkäufer auch keine Pflicht den Einkäufer darauf hinzuweisen, dass das entwickelte Produkt möglicherweise die Grundsätze des Datenschutzes unter der Ägide der DSGVO nicht einhalten wird.
Erkundigung– und Ermittlungspflichten
Erkundigung- und Ermittlungspflichten bestehen für das IT-Unternehmen grundsätzlich nicht. Ich rate aber allgemein immer zur Vorsicht, weil die Gerichte in der heutigen Zeit dazu tendieren, dem IT-Unternehmen Erkundigungspflichten aufzuoktroyieren ?
Es ist außerdem eine Frage des Marketings, ob man sich mit dem Kunden darüber unterhält, welche Anwendungsszenarien für die Software eigentlich gedacht sind. Im Normalfall finden abseits aller juristischer Überlegungen, immer Workshops darüber statt, in denen Anwendungsszenarien durchgespielt werden. Genau aus solchen Umständen leiten die Kunden dann ab, dass es dem IT-Unternehmen erkennbar war, für welchen Sachbereich die Software eingesetzt werden sollte. In diesem Zusammenhang hätte das IT-Unternehmen dann erkennen müssen, dass die Software sich für bestimmte Anwendungen nicht eignen würde. Wir haben es hier mit einem schwierigen Gelände zu tun. Ich kann nur anraten, dass die IT-Unternehmen hier transparent arbeiten. Bezogen auf die DSGVO bedeutet das, dass die Umsetzung ins deutsche Recht zum aktuellen Zeitpunkt noch unbekannt ist und die IT- Unternehmen eben hier und heute noch nicht sagen können, dass jegliche Umsetzung der DSGVO ohne Kosten für die Endkunden stattfinden wird.
Teil II: Gewährleistungsrechte
