Ist Software mangelhaft, wenn sie „Grundsätze“ des Datenschutzes nicht einhält? Teil II: Gewährleistung

Vorab: Gewährleistungsrechte gibt es nicht, wenn Dienstvertragsrecht vereinbart wurde. Nach dem Gewährleistungsrecht des Kaufrechts sowie als auch des Werkvertragsrechts besteht ein Mangel unter drei alternativ geltenden, im Gesetz verankerten Bedingungen.

Erstens dann, wenn die Software nicht die vereinbarte Beschaffenheit aufweist,

oder im Falle dessen, dass über die streitgegenständliche Frage keine ausdrückliche Vereinbarung getroffen wurde,

sich entweder die Software nicht für die nach dem Vertragszweck vorausgesetzte Verwendung eignet, oder wenn sie nicht der üblichen Beschaffenheit entspricht.

Vereinbarte Beschaffenheit

Mit dem Terminus der vereinbarten Beschaffenheit bezeichnete Jurist den Sollzustand der Software. Die vereinbarte Beschaffenheit wird dokumentiert durch die Leistungsbeschreibung der Standardsoftware oder die Inhalte von Lastenheft oder Pflichtenheft. Ganz fantasielos und völlig klar liegt dann ein Mangel vor, wenn die Parteien in dem Lastenheft oder Pflichtenheft eine Festlegung getroffen haben und die Software diese Festlegung nicht erfüllt. Anders: Die Parteien haben eine Vereinbarung über die Funktionen der Software getroffen und die Software erfüllt die Funktionen nicht. Falls die Parteien vereinbart haben, daß die Software problemlos Daten löschen soll, dann muß sie das auch tun können.

Problempunkt

Schwierig in diesem Kontext sind Festlegungen seitens der Auftraggeber, die pauschale Forderungen beinhalten.

So lese ich immer wieder, daß die Software Auftraggeber fordern, dass die Software den „anwendbaren gesetzlichen Bestimmungen genügen muss“ oder „den Anforderungen des Datenschutzrechts genügen“ können soll.

Das Datenschutzrecht formuliert nur ganz selten Anforderungen, die klar verständlich sind. Wenn der Normbefehl lauten würde: „Du sollst nicht bei Rot über die Kreuzung gehen“, wäre die Sache einfach.

Aber die meisten Gesetze sind hochabstrakt formuliert, um möglichst viele Sachverhalte zu erfassen und nicht zu schnell zu veralten. Mit dem Maß der Abstraktion der Formulierung sinkt das Verständnis darüber, was konkret zu geschehen hat. „Du sollst alles Erforderliche und Verhältnismäßige tun, damit personenbezogene Daten geschützt sind“. Was das im Einzelfall ist, entscheiden letztverbindlich Richter. Und genau deshalb sind Anforderungen, wie die, man solle den Anforderungen des Datenschutzrechts genügen auf der einen Seite selbstverständlich; und auf der anderen Seite bürden sie dem IT Unternehmen das Risiko der richterlichen Kontrolle auf.

Ich kann nur dazu raten, solche Regelungen aus Lastenheften oder Pflichtenheften zu streichen und an ihrer Stelle eine Konkretisierung durch den Auftraggeber vornehmen zu lassen. Falls der Auftraggeber sich hierzu weigert, sollte formuliert werden, daß kein Mangel vorliegt,  solange der Auftragnehmer seine Software so ausgestaltet, dass sie einer denkbaren und nicht fern liegenden Auslegung des Datenschutzrechtes entspricht.

Vorausgesetzte Verwendung

Haben die Parteien keine ausdrücklichen Festlegungen über datenschutzrechtliche Anforderungen getroffen, ist zu hinterfragen, ob die Software sich überhaupt für den vertraglich vorausgesetzten Zweck verwenden lässt. Die meisten Fehler in diesem Bereich entstehen, weil die Einwilligungserklärungen der Auftraggeber nicht den Verarbeitungs- und Verwendungsprozess der Software abdecken. Wenn Kunden schon eine Zeit lang CRM-Software einsetzen und eine neue Software einführen, ist eben zu hinterfragen, ob die ehemals verwendete Einwilligungserklärung der betroffenen Personen die Prozesse und Funktionen der neuen CRM-Software abdeckt. Und eine solche Überprüfung obliegt nicht dem Auftragnehmer, es sei denn, ihm wären Fehler evident ersichtlich.

Im Prinzip läuft es hier wie bei der Softwareerstellung: Wir brauchen eine Analysephase, die die konkreten Anforderungen erfasst und können es nicht bei pauschalen Formulierungen belassen. Die rechtliche Analyse, die erforderlich ist, um dieses Thema zu analysieren obliegt aber im Bereich von Individualsoftware sicher dem Auftraggeber, bei Standardsoftware wird man vermutlich davon ausgehen können, dass auch für den Auftragnehmer Prüfungspflichten bestehen.

Auf der einen Seite gibt es CRM- Software, bei der ganz sicher bestimmte datenschutzrechtliche Voraussetzungen erfüllt werden müssen. Bei ERP-Software gelten andere Regelungen. Man kann man also keine pauschalierte Antwort geben. Es kommt eben darauf an, zu welchem Zweck der Kunde die Software einsetzen will und welche konkrete Situation zu beurteilen ist.

Auch hier gilt: Es ist grundsätzlich Sache des Auftraggebers, den Verwendungszweck der Software und ihren konkreten Einsatz genau zu beschreiben. Und ob die Software sich rechtlich für den gewünschten Zweck einsetzen lässt, ist grundsätzlich vom Auftraggeber und nicht vom Auftragnehmer zu überprüfen.

Übliche Beschaffenheit

Ob die Software sich tatsächlich von der Software der Wettbewerber unterscheidet, wird im Bereich der kommerziellen Software kaum zu beantworten sein. Software wird heute derartig stark individualisiert, so dass Vergleiche nur schwer zu ziehen sind. Immerhin wird man aber kundenspezifische und branchenspezifische Vergleiche ziehen können. Wer sich damit rühmt, Kunden einer bestimmten Branche bedienen zu können, dem wird man auch das Fachwissen zurechnen müssen, zu wissen, welchen typischen datenschutzrechtlichen Anforderungen in der jeweiligen Branche Rechnung zu tragen ist.

Weitere Beiträge

AÜG in der IT 2024 Teil I

AÜG in der IT – Überlegungen Die Schwierigkeiten sind bekannt. Das Arbeitnehmerüberlassungsgesetz passt nicht für die Belange der IT Branche. Arbeitet ein Mitarbeiter eines IT Unternehmens dauerhaft für einen bestimmten Kunden und ist dieser in den Betrieb und die Betriebsorganisation

Mehr lesen »

Die KI-Verordnung  2024/ Teil I

Gleich zu Beginn ein Hinweis: Es gibt im Netz schon eine große Anzahl von Hinweisen zur neuen KI Verordnung (KI-VO oder AI act). Da ich diese Blogs nun nicht aus wissenschaftlichem Interesse sondern aus der Perspektive der IT Unternehmen schreibe,

Mehr lesen »
Nach oben scrollen