Mit Wirkung zum 1. Januar 2022 wird das deutsche Schuldrecht im Bürgerlichen Gesetzbuch (BGB) grundlegend reformiert. Es handelt sich um die größte Gesetzesänderung seit der Schuldrechtsmodernisierung 2001. Die Änderungen betreffen unter anderem die verbraucherschützenden Regelungen der §§ 327 ff. BGB. Darüber hinaus erfolgen Neuerungen im Kauf-, im Verbrauchsgüterkauf-, im Schenkungs-, im Miet- und Werkvertragsrecht. Der Beitrag zeigt vorrangig einige Auswirkungen der §§ 327 ff. BGB auf die Bereiche des Datenschutzes und der IT-Sicherheit.
WORUM GEHT ES?
Durch die Richtlinien (EU) 2019/770 vom 20. Mai 2019 (Digitale-Inhalte-Richtlinie, kurz: DIRL) und (EU) 2019/771 (Warenkaufrichtlinie) sowie dem damit verbundenen nationalen Umsetzungsgesetz erfolgt ab dem 1. Januar 2022 eine weitreichende Änderung des Bürgerlichen Gesetzbuches, zum einen hinsichtlich des Verbraucherschutzrechtes bei Verträgen über die Bereitstellung digitaler Inhalte und digitaler Dienstleistungen und zum anderen bezüglich des Kaufs von Sachen mit digitalen Elementen. Die neuen Regelungen enthalten unter anderem Änderungen des Mangelbegriffs im Zivilrecht, eine Updateverpflichtung für Unternehmen und eine verlängerte Frist für die Beweislastumkehr. Adressat der Regelungen sind alle Unternehmen, die digitale Inhalte, digitale Dienstleistungen oder Waren mit digitalen Elementen bereitstellen. Zentralen Vertragsgegenstand der §§ 327 ff. BGB bilden die sogenannten „digitalen Produkte“, welche nach der Legaldefinition des § 327 Abs. 1 Satz 1 BGB digitale Inhalte und digitale Dienstleistungen erfassen. Vom Anwendungsbereich umfasst werden gemäß Erwägungsgrund 19 DIRL u.a. Computerprogramme, Anwendungen, Video-, Audio- und Musikdateien, digitale Spiele, elektronische Bücher und Publikationen. Beispiele für digitale Dienstleistungen sind Software-as-a-Service, wie die gemeinsame Nutzung von Video- und Audioinhalten und andere Formen des Datei-Hosting, Textverarbeitung oder Spie-le, in einer Cloud-Computing-Umgebung und in sozialen Medien.
WELCHEN HINTERGRUND HABEN DIE GESETZLICHEN NEUREGELUNGEN?
Durch die stetig voranschreitende Digitalisierung kommt es zu einer immer größeren Durchdringung nahezu sämtlicher Lebensbereiche mit Informations- und Kommunikationstechnik. Die Nutzung digitaler Inhalte und digitaler Dienstleistungen ist deshalb aus dem Verbraucheralltag nicht mehr wegzudenken. Digitalisierung und Vernetzung bringen jedoch zugleich neue Risiken – beispielsweise durch Sicherheitslücken – mit sich. Trotz dieses Schutzbedürfnisses einerseits und der rasanten technischen Entwicklung anderseits waren Regelungen zu vertraglichen Aspekten über die Bereitstellung digitaler Produkte bisher rar gesät. Vorrangiges Ziel der Gesetzesänderung ist daher die Schaffung von Rechtssicherheit für den Verbrauchersektor.
WELCHE AUSWIRKUNGEN BRINGT DIE GESETZESÄNDERUNG FÜR DEN DATENSCHUTZ?
Besonders offensichtlich tritt der datenschutzrechtliche Bezug in § 327 Abs. 3 BGB hervor. Der Anwendungsbereich der §§ 327 ff. BGB erfasst grundsätzlich zwar nur Verträge, die die Zahlung eines Preises zum Gegenstand haben. Entgeltlichen Verträgen werden jedoch gemäß § 327 Abs. 3 BGB solche Verträge gleichgestellt „[…] bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich zu deren Bereitstellung verpflichtet […]“. Der Begriff der personenbezogenen Daten ist hierbei ausweislich der Gesetzesbegründung gleich der Begriffsbestimmung in Art. 4 Nr. 1 Datenschutz-Grundverordnung (DS-GVO) zu verstehen. Damit ist nunmehr ein „Bezahlen mit Daten“ im dem Sinne erfasst, dass Verbraucher:innen dem Unternehmen personenbezogene Daten überlassen, die weder zur Vertragserfüllung noch aufgrund rechtlicher Verpflichtungen verarbeitet werden müssen. Gleichwohl kommt damit nicht zum Ausdruck, dass jede Datenangabe durch die Verbraucher:innen beziehungsweise jede Datenerhebung durch Unternehmen einen vertrag begründet. Angesichts zahlreicher „kostenfreier“ Dienste stellt dies eine besonders wichtige Neuregelung dar.
Ebenfalls kann das Datenschutzrecht im Rahmen der Mangelhaftigkeit zum Tragen kommen. Dies lässt sich insbesondere anhand von Erwägungsgrund 48 DIRL nachvollziehen: Erfolgt hier eine ausdrückliche Bezugnahme auf wesentliche Grundsätze der DS-GVO wie Datenminimierung, Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sowie die Klarstellung, dass bei Nichteinhaltung dieser Grundsätze je nach Umständen des Einzelfalls, dies als fehelende Übereinstimmung mit den subjektiven oder objektiven Anforderungen an die Vertragsmäßigkeit betrachtet werden kann.
Von datenschutzrechtlicher Relevanz ist zudem die Regelung des § 327q Abs. 1 BGB. Hier wird das Verhältnis zwischen der Ausübung datenschutzrechtlicher Betroffenenrechte beziehungsweise Abgabe datenschutzrechtlicher Erklärungen einerseits und der Bestand des Vertragsverhältnisses andererseits in den Blick genommen: „Die Ausübung von datenschutzrechtlichen Betroffenenrechten und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss lassen die Wirksamkeit des Vertrags unberührt.“ Konsequenter Weise zur Erreichung einer Stärkung des Verbraucherschutzes zeigt die Ausübung von Betroffenenrechten kaum Auswirkungen auf die vertragliche Position der Verbraucher:innen. Allein nach § 327q Abs. 2 BGB bei der Ausübung eines Widerrufes oder Widerspruchs kann ein Sonderkündigungsrecht im Rahmen von Dauerschuldverhältnissen seitens der Unternehmer ergeben.
WELCHE ROLLE SPIELT IT-SICHERHEIT BEI DIGITALEN PRODUKTEN?
Im Zuge der gesetzlichen Neuregelung erfolgt in § 327e Abs. 3 Nr. 2 BGB die Normierung eines Sicherheitsbegriffs. Gleichwohl ist dieser Begriff wegen eines fehlenden Bezugs zu informationstechnischen Systemen und Prozessen auslegungsbedürftig. Dies führt bei genauer Auseinandersetzung jedoch zu einigen Schwierigkeiten. In der Gesetzgebung sowie der technischen Normung und Standardisierung und der damit verbundenen Anwendungspraxis erfolgt keine einheitliche Begriffsführung von IT-Sicherheit. Insbesondere aber eine unionsrechtskonforme Auslegung gebietet jedoch Sicherheit in § 327e Abs. 3 Nr. 2 BGB als „security“ und damit im deutschen Sprachgebrauch als IT-Sicherheit zu verstehen. Auch in den Erwägungsgründen der Digitale-Inhalte-Richtlinie – hier insbesondere Erwägungsgrund 48 DIRL – finden sich Anknüpfungspunkte für Bezugnahme zur IT-Sicherheit, beispielsweise Anfälligkeit von Produkten für Schad- und Spähsoftware.
Durch die wesentliche Änderung des Mangelbegriffs erfolgt zudem eine weitgehende Gleichstellung zwischen subjektiven und objektiven Beschaffenheitsanforderungen, weshalb digitale Produkte zukünftig einen Mindeststandard an IT-Sicherheit aufweisen müssen. Problematisch gestaltet sich hierbei allerdings mit Blick auf den Wortlaut des § 327e Abs. 3 Nr. 2 BGB („Das digitale Produkt entspricht den objektiven Anforderungen, wenn es eine Beschaffenheit, einschließlich der […] der Sicherheit aufweist, die bei digitalen Produkten derselben Art üblich ist und die der Verbraucher unter Berücksichtigung der Art des digitalen Produkts erwarten kann […]“) die Frage, was mangels einheitlicher europäischer Standards unter üblich und erwartbaren Sicherheitsanforderungen zu verstehen sein wird.
Flankiert werden die oben genannten Anforderungen durch die in § 327f BGB normierte Aktualisierungspflicht, welche ausweislich des eindeutigen Wortlautes auch Sicherheitsaktualisierungen zu den erforderlichen Updates zählt. Auf diese Art und Weise soll dem Verbraucher für einen angemessenen Zeitraum der Erhalt der Vertragsmäßigkeit des digitalen Produktes durch den Unternehmer sichergestellt werden. Dies kann zu einer nachhaltigen Steigerung der IT-Sicherheit digitaler Produkte führen.
Nicht außer Acht gelassen werden darf in diesem Zusammenhang schließlich § 327h BGB, welcher die Möglichkeit eröffnet, durch individuelle Vereinbarung von den objektiven Beschaffenheitsvereinbarungen, so gesehen den Sicherheitsanforderungen und Aktualisierungspflichten, unter bestimmten Voraussetzungen durch individuelle Vereinbarung abzuweichen.
FAZIT
Es bleibt daher festzuhalten, dass durch die gesetzlichen Neuregelungen der §§ 327 ff. BGB auch eine verbraucherschützende Regulierung zur Sicherheit informationstechnischer Systeme erfolgt. Darüber hinaus finden sich Regelungen mit datenschutzrechtlichem Bezug, welche die bereit gängige Praxis entsprechend widerspiegeln. Dennoch dürften mit den neuen Regelungen vom Start weg zahlreiche Rechtsunsicherheiten verbunden sein.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.