Die legitime Kundenerwartung leitet sich erstmal aus dem Inhalt des Gesetzes ab.
Im § 434 III BGB steht:
„Soweit nicht wirksam etwas anderes vereinbart wurde, entspricht die Sache den objektiven Anforderungen, wenn sie
1.
sich für die gewöhnliche Verwendung eignet,
2.
eine Beschaffenheit aufweist, die bei Sachen derselben Art üblich ist und die der Käufer erwarten kann unter Berücksichtigung
a)
der Art der Sache und
b)
der öffentlichen Äußerungen, die von dem Verkäufer oder einem anderen Glied der Vertragskette oder in deren Auftrag, insbesondere in der Werbung oder auf dem Etikett, abgegeben wurden,
Welche Kriterien zu erfüllen sind, ergibt sich aus einem Satz des § 434 II BGB:
Zu der Beschaffenheit nach Satz 1 Nummer 1 (sic. den subjektiven Anforderungen) gehören Art, Menge, Qualität, Funktionalität, Kompatibilität, Interoperabilität und sonstige Merkmale der Sache, für die die Parteien Anforderungen vereinbart haben.
1.) Delegation von staatlicher Gewalt auf IT- Sachverständige
Das erste Problem besteht darin, dass der Gesetzgeber eine Begrifflichkeit normieren kann während dessen ein Techniker zwar auf bestimmte ISO und andere Regelwerke zur Bestimmung zugreifen kann; aber ob es die Intention des Gesetzgebers war, auf bestimmte ISOs zurückzugreifen, ist juristisch ungeklärt. Es ist eigentlich wie bei der deutschen Handhabung im Hinblick auf Art. 42 DSGVO. Es gibt keine europäische Zertifizierungsstelle, keine europäisch anerkannte Zertifizierung. Aber in Deutschland geht jeder von der Aussage aus, dass eine Zertifizierung nach der ISO 27001 ausreichend und gut sei, um die Anforderungen des Datenschutzrechts zu erfüllen. Der Sachverständige Dr. Streitz hat in einem neuen Aufsatz in der CR sehr schön dargestellt, welche inhaltlichen Anforderungen sich aus der Anwendung der ISO 25010:2011 für Software ergeben würden. Mein erstes Problem ist aber, ob die legitime Erwartungshaltung des Kunden tatsächlich durch ISO 25010:2011 bestimmt werden kann oder darf. Dass beide gleichzusetzen sind, weil ein Sachverständiger eine solche Regelung als vernünftigen Standard ansetzt, ist eines. Aber Gesetze werden bei uns durch den Gesetzgeber gemacht und nicht durch IT- Sachverständige. Herr Dr. Streitz hat in seinem Aufsatz (der gut ist) ohne Absicht genau das aufgezeigt: Der Inhalt der Gesetze wird durch die Aussagen von IT- Sachverständigen ausgefüllt, weil diese auf keine klaren Aussagen des Gesetzgebers zurückgreifen können. Im Grunde handelt es sich mit den §§ 434 I, 327e BGB um Delegationsnormen, die die Vertragsparteien entmündigen und an die Stelle des Parteiwillens die Entscheidungsmacht des Sachverständigen setzten.
2.) Man kann diesen Punkt auf einer theoretischen Ebene kritisieren, aber es wird unser Leben auf einer faktischen Ebene berühren. Deshalb finde ich es wichtig, darüber zu berichten, welche Kriterien ein IT- Sachverständiger für die Beurteilung zugrunde legt.
