Mit der Novellierung des Kaufrechts und der Aufnahme digitaler Produkte in das Bürgerliche Gesetzbuch (BGB) wurden wichtige Schritte in Richtung Rechtsklarheit auf digitalen Märkten unternommen. Trotz dieser tiefgehenden Neuerungen blieben viele Fragen offen. Unter diesen Fragen gehört auch der konkrete Sachmangelbegriff. Im Fokus der Wissenschaft steht bislang die Frage, ob ein Produkt mangelhaft ist, wenn die Nutzung zu einem Verstoß gegen ein Gesetz führt. Dieser Beitrag soll diese Frage aus der Perspektive des Datenschutzrechts beleuchten, da unter Juristen bislang keine Einigkeit darüber herrscht, ob digitale Produkte wie Apps und Clouds als mangelhaft anzusehen sind, wenn diese gegen geltendes Datenschutzrecht verstoßen.
Problemdarstellung
Mit § 327a bis § 327s wurden Regelungen der europäischen Warenkaufrichtlinie (RL 2019/771/EU) und der Richtlinie über die Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (RL 2019/770/EU, DID-RL) in nationales Recht umgesetzt. Ziel dieser Regelungen ist die Stärkung des digitalen Binnenmarktes und die Schaffung von mehr Rechtssicherheit. Gleich den physischen oder greifbaren Produkten, die auf dem Markt zum Kauf angeboten werden, haben auch digitale Produkte frei von Sach- und Rechtsmängeln zu sein. Wenn ein digitales Produkt gegen das Datenschutzrecht verstößt, wird die Frage nach dem Vorliegen eines Produktmangels durch § 327e Abs. 2 und 3 BGB beantwortet. Demnach besteht kein Mangel an dem jeweiligen digitalen Produkt, wenn sowohl die subjektiven und objektiven Anforderungen als auch die Anforderungen an die Integration gemäß § 327e Abs. 4 BGB erfüllt sind.
Digitale Produkte entsprechen nach diesen neuen Regelungen den Anforderungen, wenn sie die von den Vertragsparteien vereinbarte Beschaffenheit aufweisen. Die Ähnlichkeiten zum Mangelbegriff aus dem „traditionellen“ Kaufrecht nach § 434 BGB sind eindeutig. Der neue Mangelbegriff muss also ebenfalls weit ausgelegt werden. Folglich bezeichnet dieser sämtliche Merkmale, die der Sache selbst anhaften können oder sich aus seiner Beziehung zur Umwelt ergeben. Weiterhin muss das digitale Produkt zur vertraglich vorausgesetzten Nutzung geeignet sein, was lediglich bedeutet, dass bei gewöhnlicher Nutzung, die Eignung nicht beeinträchtigt werden darf. Die Messlatte ist jedoch nicht sehr hoch angesetzt, denn das Produkt kann weniger oder gar gänzlich ungeeignet sein, wenn durch die gewöhnliche Nutzung wirtschaftliche Schäden entstehen können, was bei Verletzungen des Datenschutzes durchaus passieren kann.
Erwägungsgrund 48 der DID-RL besagt, dass die europäischen Datenschutzvorschriften hinsichtlich der Verträge für digitale Produkte in vollem Umfang gelten. Hält ein digitales Produkt die datenschutzrechtlichen Grundsätze wie beispielsweise Privacy by Design oder Privacy by Default nicht ein und ergeben sich hieraus negative Konsequenzen, kann dies dazu führen, dass das digitale Produkt die subjektiven und objektiven Anforderungen an die Vertragsmäßigkeit nicht mehr erfüllt. Erwägungsgrund 48 der DID-RL nennt als Beispiel die Möglichkeit, dass ein Mangel vorliegen kann, wenn ein Unternehmer im Vertrag ausdrücklich eine Verpflichtung eingeht, welche eine datenschutzrechtliche Verpflichtung begründet. Das bedeutet, dass in einem solchen Fall, die Einhaltung der Datenschutzvorschriften zum Bestandteil der subjektiven Anforderungen der Vertragsmäßigkeit wird. In einem weiteren Beispielfall, wird explizit die Missachtung von der Datenschutzvorschriften als möglicher Mangel dargestellt, wenn das Produkt dadurch möglicherweise nicht zum vorgesehenen Zweck nutzbar ist.
Fazit
Im Ergebnis kann festgehalten werden, dass seit der Novelle die Einhaltung der datenschutzrechtlichen Regelungen Voraussetzung für die Vertragserfüllung ist. Erwägungsgrund 48 der DID-RL zeigt ein eindeutiges Verhältnis zwischen Datenschutz und dem neuen Kaufrecht. Das bedeutet, dass digitale Produkte mangelhaft sein können, wenn sie durch die gewöhnliche Nutzung gegen europäische Datenschutzvorschriften verstoßen. Das Ergebnis wird durch die nationale Umsetzung in §§ 327 ff. BGB bestätigt. Der Rückgriff auf den Hersteller durch § 327e BGB und der DS-GVO bleibt jedoch schwierig, da sich die Rechte aus einem mangelhaften Produkt durch Datenschutzverstöße weiterhin gegen den Anbieter, welcher meistens Verantwortlicher gem. Art. 4 Nr. 7 DS-GVO ist, richten.
Praxistipp: Bei Erwerb eines digitalen Produktes sollten Sie in jedem Fall darauf achten, dass die Einhaltung der Datenschutzbestimmungen durch die Nutzung des Produktes vertraglich festgehalten ist. Als Käufer haben Sie weitaus mehr Klarheit darüber, an wen Sie sich in einem solchen Fall wenden können und auf welcher rechtlichen Basis. Zudem besteht für Sie die Gewissheit, dass Ihnen als natürliche Person nicht nur die Betroffenenrechte aus Artt. 12 ff. DS-GVO zustehen, sondern auch die aus dem Kaufrecht.
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
