11.01.2019 Datenschutzrecht
Datenschutzkonformität von Individualsoftware - Dümeland untersucht die Einordnung nicht DSGVO-konformer Entwicklung als Mangel
Kurznachricht zu "Sachmangelhaftigkeit von Software bei nicht DSGVO-konformer Entwicklung" von RA Malte Dümeland, original erschienen in: K&R 2019 Heft 1, 22 - 25. Dümeland untersucht zunächst grundlege ...

Kurznachricht zu "Sachmangelhaftigkeit von Software bei nicht DSGVO-konformer Entwicklung" von RA Malte Dümeland, original erschienen in: K&R 2019 Heft 1, 22 - 25.

Dümeland untersucht zunächst grundlegende Fragen der vertragstypologischen Einordnung von Software und deren Entwicklung und geht auf den Begriff des Mangels ein. Ein Mangel liegt stets dann vor, wenn der IST-Zustand zum Zeitpunkt des Gefahrenübergangs vom SOLL-Zustand abweicht. Der subjektive Mangelbegriff knüpft dabei an das Fehlen einer vereinbarten Beschaffenheit und die Eignung zu der vertraglich vorausgesetzten Verwendung an. Der objektive Mangelbegriff stellt demgegenüber auf eine Tauglichkeit zur gewöhnlichen Verwendung ab. Der Autor zeigt im Folgenden auf, dass Vertragsgegenstand eines Softwareerstellungsvertrags die Entwicklung einer Individualsoftware ist. Das Ergebnis ist eine auf den Besteller zugeschnittene Softwarelösung. Dümeland untersucht im nächsten Abschnitt die Frage, ob eine datenschutzrechtskonforme Programmierung ein "üblicher Standard" resp. "Stand der Technik" ist. Dümeland macht im nächsten Abschnitt deutlich, dass § 633 Abs. 2 Satz 2 Nr. 2 BGB festlegt, dass ein Werk auch dann mangelhaft ist, wenn es sich nicht für die gewöhnliche Verwendung eignet und keine Beschaffenheit mittlerer Art und Güte aufweist, die der Besteller eines Werks nach dessen Art erwarten kann.

Fehlende Datenschutzkonformität von Individualsoftware kann grundsätzlich zu einem Sachmangel führen. Dabei kommt es im Wesentlichen auf die konkret durch die Parteien des Softwareentwicklungsvertrags getroffenen Vereinbarungen an. Im Folgenden untersucht Dümeland die datenschutzrechtlichen Pflichten des Verantwortlichen und setzt sich dabei insbesondere mit dem Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (vgl. Art. 25 DSGVO) auseinander. Zudem erläutert er die Pflichten gem. Art. 5 DSGVO und stellt die Betroffenenrechte gem. Art. 12 ff. DSGVO dar. Dabei macht er deutlich, dass Art. 20 DSGVO bestimmt, dass jede betroffene Person das Recht hat, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten (Recht auf Datenportabilität). In seinem Fazit hält der Autor fest, dass sich Entwickler resp. deren Anwälte zukünftig bereits im Rahmen der Gestaltung von Softwareentwicklungsverträgen mit Fragen des Datenschutzes auseinandersetzen müssen.

Dieser Beitrag wurde erstellt von RA Dr. Henning Seel.