Festschrift für Jürgen Taeger E-Book

ISBN: 978-3-8005-1716-9

© 2020 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Satzkonvertierung: Lichtsatz Michael Glaese GmbH, 69502 Hemsbach

Druck und Verarbeitung: Kösel GmbH & Co. KG, 87452 Altusried-Krugzell

Printed in Germany

Geleitwort

Am 23. Oktober 2020 hält Jürgen Taeger seine Abschiedsvorlesung an der Universität Oldenburg. Für seine Freunde und Wegbegleiter* ist das ein willkommener Anlass, die Verdienste von Jürgen Taeger als Wissenschaftler, Hochschullehrer und Praktiker in Form der vorliegenden Festschrift zu würdigen. Wir Herausgeber freuen uns sehr, dass sich im Rahmen dieser Festschrift so viele Kollegen, Gefährten und Freunde von Jürgen Taeger zusammengefunden haben, um auch auf diese Weise ihre persönliche und fachliche Wertschätzung zu zeigen.

Jürgen Taeger wurde am 5. Juni 1954 in Hannover geboren. Er studierte ab 1976 Rechts- und Sozialwissenschaften an der Freien Universität Berlin und an der Universität Hannover. 1982 legte er sein Assessorexamen ab. Von 1982 bis 1987 war er wissenschaftlicher Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover. Nach der Promotion 1987 blieb er dem Institut treu und war dort als Hochschulassistent bei seinem akademischen Lehrer Wolfgang Kilian tätig. Dort wurde er 1994 mit einer Arbeit zur außervertraglichen Haftung für fehlerhafte Computerprogramme habilitiert. Bereits die damals erteilte Venia legendi für die Fächer Bürgerliches Recht, Wirtschafts- und Arbeitsrecht und Rechtsinformatik bringt das zum Ausdruck, was dann das weitere wissenschaftliche Wirken von Jürgen Taeger bis heute kennzeichnet, nämlich die traditionelle rechtswissenschaftliche Forschung in Kerngebieten des Privatrechts, kombiniert mit einer visionären Aufarbeitung und Fortentwicklung zentraler rechtlicher Zukunftsfragen an der Schnittstelle von Recht und Informatik.

Von 1991 bis 1996 vertrat Jürgen Taeger Professuren an verschiedenen Universitäten. 1996 erhielt er einen Ruf an die Universität Ilmenau, den er ablehnte. Einen Ruf auf den Lehrstuhl für Bürgerliches Recht, Handels- und Wirtschaftsrecht sowie Rechtsinformatik an der Carl von Ossietzky Universität Oldenburg nahm er im selben Jahr an und hat dort bis zu seiner Versetzung in den Ruhestand im März dieses Jahres die Forschung und Lehre am Fachbereich Wirtschafts- und Rechtswissenschaften maßgeblich geprägt. Die Liste seiner Verdienste sowohl um die rechtswissenschaftliche Forschung als auch um die juristische Ausbildung ist so lang, dass sie im Rahmen dieses Vorworts kaum angemessen gewürdigt werden kann. Wer sein Publikationsverzeichnis aufruft, wird dort mehr als 200 Einträge und 30 herausgegebene Bücher finden, und mit den Schriften, die Jürgen Taeger selbstständig veröffentlicht oder herausgegeben hat, lässt sich eine juristische Bibliothek für das Informationsrecht und die Rechtsinformatik schon mehr als reichhaltig bestücken.

Prägend ist vor allem aber auch das herausragende Engagement von Jürgen Taeger für die Ausbildung von Nachwuchsjuristinnen und -juristen. Verwiesen sei hier nur auf seine Tätigkeit als Direktor des Center für lebenslanges Lernen der Universität Oldenburg und auf seine Leitung des berufsbegleitenden Masterstudiengangs „Informationsrecht (LL.M.)“. Für viele Juristinnen und Juristen in ganz Deutschland ist Jürgen Taeger das prägende Gesicht ihrer informationsrechtlichen Ausbildung. Maßgeblich betrieben hat Jürgen Taeger auch die Gründung des Interdisziplinären Zentrums für Recht der Informationsgesellschaft (ZRI), dessen Leitung er seit 2017 innehat. So treibt er denn auch in diesem interdisziplinären Rahmen die Forschung voran, um Antworten auf die dringenden technischen und gesellschaftlichen Entwicklungen unserer Zeit zu finden. Weitere Funktionen Jürgen Taegers seien hier nur beispielhaft aufgezählt: seine vielfältigen Ämter in der akademischen Selbstverwaltung, sei es als Dekan, als Institutsdirektor oder als Mitglied des Akademischen Senats, seine zahlreichen Beiratstätigkeiten, unter anderem auch bei den verschiedensten rechtswissenschaftlichen Zeitschriften, oder auch seine Ehrenämter in unterschiedlichen Stiftungen. Nicht minder beeindruckend ist die Liste seiner Drittmittelforschungsprojekte, die bereits in den 90er Jahren beginnt – in einer Zeit also, in der für die meisten Juristinnen und Juristen an deutschen Universitäten die heute so wichtige Drittmittelforschung noch ein Fremdwort war.

Wer Jürgen Taeger kennt, verbindet mit seiner Person vor allem aber auch die Deutsche Stiftung für Recht und Informatik (DSRI). Seit 2005 lenkt er als Vorsitzender die Geschicke der Stiftung, er ist das Gesicht der DSRI und hat deren jährlich stattfindende Herbstakademie zu einer Institution gemacht, mit deren Strahl- und Anziehungskraft sich wohl kaum sonst eine juristische Tagungsveranstaltung messen kann. Wer Jürgen Taeger im Vorfeld und bei der Tagung selbst erlebt, der kann sehen, mit wie viel Herzblut, Energie und auch Erfolg er seine Vision verfolgt, engagierte junge Juristinnen und Juristen zusammenzubringen und zu fördern, nicht nur durch ein hochkarätiges wissenschaftliches Programm, sondern auch durch einen gesellschaftlichen Rahmen, der geprägt ist durch die Person Jürgen Taegers als wohlwollender und lebensfroher Mentor der jungen Juristengeneration.

Jürgen Taeger mag zwar eine Abschiedsvorlesung halten, ein Abschied als Forscher und Lehrer, als Rechtspraktiker oder als Nachwuchsförderer wird damit aber gewiss nicht einhergehen. Dafür werden nicht zuletzt all diejenigen sorgen, die auch schon bislang auf seine Kooperation und Unterstützung gebaut haben – angefangen bei der DSRI über seine zahlreichen Kollegen und Freunde in Wissenschaft und Praxis bis hin zur Universität Babeş-Bolyai Universität Cluj-Napoca (Rumänien), die ihm erst kürzlich den Titel „Prof. h.c.“ verliehen hat. In diesem Sinne freuen sich auch die Herausgeber und Autoren dieser Festschrift auf viele weitere Jahre der juristischen Zusammenarbeit und der freundschaftlichen Verbundenheit.

Bonn, Bremen, Hannover, Oldenburg

Louisa Specht-Riemenschneider,

Benedikt Buchner,

Christian Heinze,

Oliver Thomsen

*

Ausschließlich aus Gründen der besseren Lesbarkeit wird auf die geschlechtsspezifische Schreibweise verzichtet. Alle personenbezogenen Bezeichnungen sind geschlechtsneutral zu verstehen.

Verzeichnis der Autoren

Charlotte Berg

Wissenschaftliche Mitarbeiterin, White & Case LLP, Frankfurt am Main

Benedikt Buchner

Dr. iur., LL.M. (UCLA), Universitätsprofessor für Bürgerliches Recht und Direktor des Instituts für Informations-, Gesundheits- und Medizinrecht (IGMR), Universität Bremen

Petra Buck-Heeb

Dr. iur., Universitätsprofessorin für Zivilrecht, Europäisches und Internationales Wirtschaftsrecht an der Leibniz Universität Hannover und Sprecherin der dortigen Forschungsstelle für Bank- und Kapitalmarktrecht sowie Kapitalmarktstrafrecht

Hermann Butzer

Dr. iur., Universitätsprofessor, Lehrstuhl für Öffentliches Recht und Sozialrecht, Direktor des Instituts für Staatswissenschaft, Leibniz Universität Hannover

Christian Czychowski

Dr. iur., Rechtsanwalt, Fachanwalt für Urheber- und Medienrecht sowie Fachanwalt für IT-Recht und Partner, Nordemann Czychowski & Partner, Berlin, Honorarprofessor an der Universität Potsdam

Dieter Dörr

Dr. iur., Seniorforschungsprofessor für Öffentliches Recht, Völker- und Europarecht, Medienrecht, Johannes Gutenberg-Universität Mainz

Jan Eichelberger

Dr. iur., LL.M.oec., Universitätsprofessor, Lehrstuhl für Bürgerliches Recht, Immaterialgüterrecht und IT-Recht, Institut für Rechtsinformatik, Leibniz Universität Hannover

Thorsten Feldmann

LL.M. (UCLA), Rechtsanwalt und Partner, JBB Rechtsanwälte, Berlin

Detlev Gabel

Dr. iur., Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner, White & Case LLP, Frankfurt am Main

Sebastian Golla

Dr. iur., Juniorprofessor für Kriminologie, Strafrecht und Sicherheitsforschung im digitalen Zeitalter, Ruhr-Universität Bochum

Christian Heinze

Dr. iur., LL.M. (Cambridge), Universitätsprofessor für Bürgerliches Recht und Immaterialgüterrecht, insbesondere Patent- und Markenrecht (GRUR-Professur), Institut für Rechtsinformatik, Leibniz Universität Hannover

Hans-Ulrich Heyer

(Hon.) Prof. Dr. iur., RiAG, stellv. DirAG Oldenburg (Oldbg.)

Thomas Hoeren

Dr. iur., Universitätsprofessor, Direktor des Instituts für Informations-, Telekommunikations- und Medienrecht – Zivilrechtliche Abteilung –, Westfälische Wilhelms-Universität Münster

Bernd Holznagel

Dr. iur., LL.M. (McGill), Universitätsprofessor, Direktor des Instituts für Informations-, Telekommunikations- und Medienrecht – Öffentlichrechtliche Abteilung –, Westfälische Wilhelms-Universität Münster

Thomas Janicki

LL.M. (Kassel), Doktorand und wissenschaftlicher Mitarbeiter am Lehrstuhl für Bürgerliches Recht, Handels- und Wirtschaftsrecht sowie Rechtsinformatik, Carl von Ossietzky Universität Oldenburg

Jan Christopher Kalbhenn

LL.M. (Amsterdam), Geschäftsführer des Instituts für Informations-, Telekommunikations- und Medienrecht – Öffentlichrechtliche Abteilung –, Westfälische Wilhelms-Universität Münster

Wolfgang Kilian

Prof. em. Dr. Dr. h.c., Institut für Rechtsinformatik (IRI), Leibniz-Universität Hannover

David Klein

Dr. iur., LL.M. (Univ. of Washington), Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Taylor Wessing PartG mbB, Hamburg

Sascha Kremer

Fachanwalt für IT-Recht und Gründer, Kremer Rechtsanwälte, Köln

Matthias Lachenmann

Dr. iur., Rechtsanwalt und Partner, BHO Legal PartG mbB, Datenschutzbeauftragter (UDISzert) und Gesellschafter, BHO Consulting GmbH, Köln

Sebastian Louven

Dr., Rechtsanwalt, louven.legal, Detmold, Wissenschaftlicher Mitarbeiter, Carl von Ossietzky Universität Oldenburg

Jochen Marly

Prof. Dr. iur., Universitätsprofessor für Zivilrecht, Gewerblicher Rechtsschutz und Urheberrecht sowie Recht der Informationsgesellschaft, Technische Universität Darmstadt

Jan Geert Meents

Dr. iur., Rechtsanwalt und Partner, DLA Piper, München

Dirk Meinicke

Dr. iur., LL.M. (Hamburg), Rechtsanwalt, Fachanwalt für Strafrecht, Fachanwalt für IT-Recht, Partner bei Meinicke & Berthel Rechtsanwälte/Fachanwälte, Hamburg

Britta Alexandra Mester

Dr. iur., Leiterin Akademie/Senior Beraterin Datenschutz, datenschutz nord GmbH, RAin, Herausgeberin Datenschutz und Datensicherheit (DuD), Lehrbeauftragte C3L, Carl von Ossietzky Universität Oldenburg, Bremen

Flemming Moos

Dr. iur., Rechtsanwalt und Partner, Fachanwalt für Informationstechnologierecht, Osborne Clarke, Hamburg

Boris P. Paal

Dr. iur., M.Jur. (Oxford), Universitätsprofessor für Zivil- und Wirtschaftsrecht, Medien- und Informationsrecht, Direktor des Instituts für Medien- und Informationsrecht (Abt. I – Privatrecht), Albert-Ludwigs-Universität Freiburg

Carlo Piltz

Dr. iur., Rechtsanwalt, Salary Partner, reuschlaw Legal Consultants, Berlin

Jan Pohle

Rechtsanwalt und Partner, DLA Piper, Köln

Boris Reibach

LL.M., Rechtsanwalt und Partner, Scheja und Partner Rechtsanwälte Bonn

Thomas Riehm

Dr. iur., Universitätsprofessor, Lehrstuhl für Deutsches und Europäisches Privatrecht, Zivilverfahrensrecht und Rechtstheorie, Institut für das Recht der digitalen Gesellschaft, Universität Passau

Johannes Rolfs

Dr. iur., LL.M. (Informationsrecht), Wissenschaftlicher Mitarbeiter am Lehrstuhl für Bürgerliches Recht, Handels- und Wirtschaftsrecht sowie Rechtsinformatik, Carl von Ossietzky Universität Oldenburg

Edgar Rose

Dr. iur., Geschäftsführer des Interdisziplinären Zentrums für Recht der Informationsgesellschaft (ZRI), Carl von Ossietzky Universität Oldenburg

David Saive

Dr. iur., Wissenschaftlicher Mitarbeiter von Prof. Taeger, Carl von Ossietzky Universität Oldenburg und Head of Legal, Digital Vault Services GmbH, München

Gregor Scheja

Dr., Rechtsanwalt, Scheja und Partner Rechtsanwälte, Bonn

Jens M. Schmittmann

Dr. iur., Professor für Allgemeine Betriebswirtschaftslehre, Wirtschafts- und Steuerrecht an der FOM Hochschule für Oekonomie und Management Essen, Rechtsanwalt, Fachanwalt für Insolvenzrecht, für Handels- und Gesellschaftsrecht und Steuerrecht sowie Steuerberater und Mitglied des Senats für Anwaltssachen des Bundesgerichtshofs. Chefredakteur der Zeitschriften Betriebs-Berater und Der Steuerberater in der dfv Mediengruppe

Jochen Schneider

Prof. Dr. iur., Rechtsanwalt, CSW Rechtsanwälte, München

Jens M. Schubert

Dr. iur. habil., apl. Professor für Arbeitsrecht und Europäisches Recht, Leuphana Universität Lüneburg, Leuphana Law School; designierter Vorstandsvorsitzender des Bundesverbandes der AWO, Berlin

Volker Schumacher

Dr. iur., Rechtsanwalt und Partner, Lindenau Prior & Partner, Düsseldorf

Louisa Specht-Riemenschneider

Prof. Dr. iur., Lehrstuhl für Bürgerliches Recht, Informations- und Datenrecht, Direktorin am Institut für Handels- und Wirtschaftsrecht, Leiterin der Forschungsstelle für Rechtsfragen neuer Technologien sowie Datenrecht (For-Tech), Rheinische Friedrich-Wilhelms-Universität Bonn

Indra Spiecker genannt Döhmann

Prof. Dr. iur., LL.M. (Georgetown), Lehrstuhl für Öffentliches Recht, Informationsrecht, Umweltrecht, Verwaltungswissenschaften; Direktorin Forschungsstelle Datenschutz, Goethe-Universität Frankfurt am Main

Björn Steinrötter

Dr. iur., Juniorprofessur für IT-Recht und Medienrecht, Universität Potsdam

Oliver Thomsen

Rechtsanwalt (Syndikusrechtsanwalt), Leiter Recht, CEWE Stiftung & Co.

KGaA, Oldenburg

Paul Voigt

Lic. en Derecho, CIPP/E Rechtsanwalt & Abogado, Fachanwalt für Informationstechnologierecht, Berlin

Barbara Völzmann-Stickelbrock

Prof. Dr. iur., Universitätsprofessorin der FernUniversität in Hagen, Lehrstuhl für Bürgerliches Recht, Wirtschaftsrecht, Gewerblichen Rechtsschutz, Urheberrecht und Zivilprozessrecht

Andreas Wiebe

Dr., LL.M., Universitätsprofessor für Bürgerliches Recht, Wettbewerbs- und Immaterialgüterrecht, Medien- und Informationsrecht, Direktor Institut für Wirtschafts- und Medienrecht, Georg-August-Universität Göttingen

Inhaltsverzeichnis

Geleitwort

Verzeichnis der Autoren

1. Teil Bürgerliches Recht

Außervertragliche Haftung für fehlerhafte Computerprogramme – Taeger 25.0

I. Einleitung

II. Die Taeger’schen Grundlagen

1. Produkthaftung nach dem ProdHG

2. Die Haftung nach den Grundsätzen der Produzentenhaftung

III. 25 Jahre nach der Habilitationsschrift

IV. Schluss

Over-the-Air-Updates bei vernetzten Fahrzeugen – Pflicht zur Durchführung und Pflicht zur Duldung

I. Einleitung1

II. Produzentenhaftung: Produktbeobachtungspflicht

III. Rechtsfolge: Update-Pflicht?

1. Umfang und Ausgestaltung der (gefahrenabwehrrechtlich erforderlichen) Updates

2. Duldungspflicht des Nutzers/Eigentümers

IV. Zusammenfassung

Datenschutz durch Technikgestaltung in der Vertragspraxis

I. Einleitung1

II. Datenschutz durch Technikgestaltung

1. Überblick zu Art. 25 DS-GVO

2. Regelungsadressaten des Art. 25 DS-GVO

3. Konkrete Anforderungen in der Praxis

III. Vertragsrechtliche Implikationen des Datenschutzes durch Technikgestaltung

1. Vorvertragliche Pflichten

2. Grundlagen im Lichte vertragstypologischer Spezifika

3. Ausgewählte, spezielle Problemlagen in der Praxis

IV. Vertragliche Lösungsoptionen

V. Fazit

Daten als Gegenleistung?

I. Einführung

1. Überblick: Datengetriebene Geschäftsmodelle

2. Arten datenbezogener Austauschbeziehungen

II. Datenschutzrechtliche Rahmenbedingungen

1. Einwilligung und Widerruflichkeit

2. Das Koppelungsverbot des Art. 7 Abs. 4 DSGVO

3. Gesetzliche Erlaubnistatbestände

III. Die datenschutzrechtliche Einwilligung im Schuldrecht

1. Vertragspflicht zur Einwilligung?

2. Schicksal der Gegenleistung bei Widerruf der Einwilligung

IV. Ergebnisse

Über die Willenserklärung – Der Rechtsbindungswille in Zeiten des technologischen Wandels

I. Das Internet der Verträge oder Trierer Weinversteigerung 4.0

II. Der Rechtsbindungswille

III. Die Ermittlung des Rechtsbindungswillens

IV. Untersuchung der „digitalen“ Fallgruppen

1. Vertragsschluss im Internet

2. Webseitennutzungsverträge

V. Übertragung der Fallgruppen auf die Blockchain-Technologie

1. (Kurze) technische Beschreibung

2. Teilnahme an der Blockchain

3. Rechtsbindungswille in der Blockchain

VI. Kritische Betrachtung der Fallgruppen-Methodik

VII. Kritische Betrachtung der Auslegung anhand des objektiven Empfängerhorizonts

VIII. Interdisziplinarität als Schlüssel

2. Teil Recht der Daten und Datenschutz

Auskunfteien – alte Herausforderungen, neue Lösungsansätze?

I. Einleitung

II. Rechtmäßigkeit der Datenverarbeitung im Auskunfteienbereich

1. Ausgangspunkt

2. Die Datenübermittlung an Auskunfteien

3. Die Datenverarbeitung durch Auskunfteien

4. Die Datenabfrage bei Auskunfteien

III. Fazit

Aufzeichnungspflichten bei Wertpapiergeschäften nach § 83 WpHG

I. Einleitung

II. Die Rechtsgrundlagen

1. MiFID II bzw. § 83 WpHG

2. DSGVO

3. Verhältnis von DSGVO und MiFID II

III. Die Pflicht zur Aufzeichnung von Telefongesprächen und elektronischer Kommunikation

IV. Wechselwirkungen von WpHG und DSGVO

1. § 83 WpHG als Erlaubnistatbestand i.S.d. Art. 6 Abs. 1 lit. c DSGVO

2. Information bzw. Einwilligung der betroffenen Personen

3. Recht auf Auskunft und Kopie

4. Anforderungen an die Sicherheit der Verarbeitung

5. Unterschiedliche Aufbewahrungsfristen

V. Fazit

Hat der Staat Daten zu verschenken – und darf er das?

I. Datenschätze der öffentlichen Hand

II. Muss die Kommune Verkehrsdaten an Private herausgeben?

III. Darf die Kommune Verkehrsdaten an Private herausgeben?

IV. Wie ist die Datenweitergabe vertragsrechtlich auszugestalten?

V. Vertragsmodelle

VI. Ergebnis

Ersatz immaterieller Schäden bei Datenschutzverstößen

I. Rechtsprechung

1. AG Diez, Schlussurteil vom 7.11.2018 – 8 C 130/18

2. LG Karlsruhe, Urteil vom 2.8.2019 – 8 O 26/19

3. OLG Dresden, Hinweisbeschluss vom 11.6.2019 – 4 U 760/19

4. OLG Innsbruck, 13.2.2020 – 1 R 182/19b

II. Literatur

III. Schaden und Schadensersatz im Spiegel des Unionsprivatrechts

1. Autonom-unionsrechtlicher oder mitgliedstaatlicher Schadensbegriff?

2. Schadensrechtliche Grundsätze des Unionsprivatrechts

3. Kein Schadensersatzanspruch ohne Schaden

4. Keine generelle Ausnahme von „Bagatellverstößen“

5. Immaterielle Schäden

6. Inhalt und Umfang des Schadensersatzanspruchs

7. Notwendigkeit der konkreten Darlegung immaterieller Einbußen

IV. Fazit

Das neue brasilianische Datenschutzgesetz – DSGVO unter dem Zuckerhut

I. Einleitung

II. Überblick über das LGPD7

1. Aufbau und Zwecksetzung

2. Anwendungsbereich

3. Rechtsgrundlagen der Datenverarbeitung

4. Internationaler Datentransfer

5. Rechte der Betroffenen

6. Weitere Pflichten der datenverarbeitenden Stellen

7. Haftung und Sanktionen

8. Datenschutzaufsicht

III. Ein angemessenes Datenschutzniveau in Brasilien?

IV. Ausblick

Pfade der polizeilichen Datenverarbeitung

I. Jürgen Taeger im Sicherheitsrecht

II. Entwicklung polizeilicher Datenverarbeitung

1. Polizeiliches Informationswesen: Von INPOL zu Polizei 2020

2. Private Datenbestände: Von Schützenvereinen zu Sozialen Netzwerken

3. Computergestützte Ermittlungsmethoden: Von Rasterfahndung zu Data Mining

III. Fazit

Datenschutzverantwortlichkeiten bei Insolvenzbekanntmachungen

I. Einleitung

1. Öffentliche Bekanntmachungen in Insolvenzverfahren

2. Das Insolvenzportal

3. Vernetzung von Insolvenzregistern innerhalb der EU

II. Datenschutzrechtliche Verantwortlichkeiten für Insolvenzbekanntmachungen

1. Die datenschutzrechtlichen Verantwortlichkeiten

2. Insolvenzgerichte

3. Insolvenzportalbetreiber

4. Europäisches Insolvenzregister (IRI)

III. Datenschutzrechtliche Verantwortlichkeiten bei Verarbeitungen über Datenschnittstellen, eigenständigen Transkriptionen und Suchalgorithmen

IV. Folge der eigenständigen Verantwortlichkeiten

V. Ergebnis

Unzulänglichkeiten im Konzept der datenschutzrechtlichen Verantwortlichkeit

I. Auftakt

II. Konzept der Verantwortlichkeit

1. Verantwortungszuweisung

2. Bestimmungskriterien der Verantwortlichkeit

III. Konzeptionelle Defizite bei der Bestimmung von Verantwortlichkeiten

1. Verantwortlichkeiten in dezentralisierten Strukturen

2. Mehrgliedrige Verarbeitungsszenarien

3. Verantwortungsdiffusionen

IV. Korrekturansätze

1. Rückbesinnung auf den Wortlaut

2. Alleinverantwortlichkeiten

3. Nutzung von gesetzlichen Regelungsmöglichkeiten

4. Datenschutzrechtliche Störerhaftung

V. Schlussbetrachtung

Personenbezogene Geschichte des Datenschutzrechts

I. Idee der „informationellen Selbstbestimmung“

II. Datenschutzrecht als Umsetzung der Idee

III. EU-Datenschutzgrundverordnung (DSGVO)

IV. Internationales Datenschutzrecht

V. Zukunft des Datenschutzrechts

1. Marktmacht

2. Kommerzialisierung personenbezogener Daten

3. Weitere Probleme

VI. Errungenschaft des Datenschutzrechts

Zivilrechtlicher Datenschutz oder datenschutzrechtliches Zivilrecht?

I. Systematik der DSGVO als Ausgangspunkt

II. Die Rechtsgrundlage

III. Der unbestimmte Rechtsbegriff als zentrales Problem

1. Autonom statt individuell

2. Die einzelnen Tatbestandsmerkmale

3. Datenschutzrechtlich „zulässige“ Vertragstypen?

IV. Fazit

Künstliche Intelligenz als (gemeinsam) Verantwortlicher oder Auftragsverarbeiter unter der DSGVO?

I. Einleitung: Begriff der Künstlichen Intelligenz1

II. Zum sachlichen Anwendungsbereich der DSGVO

III. Die Verantwortlichkeit in der DSGVO

1. Zum Begriff des Verantwortlichen in der DSGVO

2. Die e-Person als juristische Person?

3. KI als Entscheidungsträger?

4. KI als Auftragsverarbeiter oder gemeinsam Verantwortlicher?

5. Zurechnung der Entscheidungen einer stärkeren KI?

6. Zwischenergebnis de lege lata

7. Analoge Anwendung von Art. 4 Nr. 7 DSGVO?

IV. De lege ferenda: Ein Blick in die Zukunft

Künstliche Intelligenz im Gesundheitswesen

I. Beispiele für KI-Anwendungen im Gesundheitswesen

II. Technische Grundlagen von KI-Medizinprodukten

1. Künstliche Intelligenz (KI)

2. Machine Learning (ML) und Deep Learning (DL)

3. Geschlossene und offene KI-Systeme im Gesundheitswesen

III. Medizinprodukterecht bei KI-Systemen

IV. Verantwortlichkeit bei der Verarbeitung von Gesundheitsdaten mittels KI

1. „Die KI“ als System eines Verantwortlichen

2. Verantwortlichkeit bei geschlossenen KI-Systemen

3. (Gemeinsame) Verantwortlichkeit bei offenen KI-Systemen

V. Rechtsgrundlagen der Verarbeitung

1. Rechtsgrundlagen in geschlossenen und offenen KI-Systemen

2. Anforderungen an die Einwilligung im medizinischen Bereich

3. Fazit zu Rechtsgrundlagen

VI. Verbot der automatisierten Einzelfallentscheidung

VII. Übertragung von Gesundheitsdaten im Rahmen von KI-Systemen

1. Weisungsgebundene Tätigkeiten an den KI-Systemen

2. Ergänzende Vorgaben an internationale Datentransfers

VIII. Ausblick: Erforderliche Anpassungen an KI im internationalen Gesundheitswesen

Informationelle Selbstbestimmung in Zeiten der Datenschutz-Grundverordnung

I. Hintergrund und ursprüngliche Kritik

II. Rechenschaftspflicht

III. Joint Control/Auftragsverarbeitung

IV. Datenschutz-Folgenabschätzung

V. Haftung

VI. Fazit

Der Einsatz von Cloud Services in der Rechtsanwaltskanzlei – berufsrechtliche Risiken und rechtsgestalterische Lösungswege

I. Einleitung

II. Vorgaben aus BRAO und BORA

1. Geheimhaltungspflicht und Annex-Verpflichtungen

2. Beauftragung von Cloud Service-Providern nach § 43e BRAO

3. Zusätzliche Anforderungen für Cloud Service-Provider außerhalb Deutschlands

4. Verpflichtung, die Zusammenarbeit mit Cloud Service-Providern zu beenden

5. Obligatorische Einwilligung des Mandanten bei individueller Auslagerung

6. Einwilligung und Verzicht

7. Der Umgang mit Handakten, § 50 BRAO

8. Datenschutz

III. Strafgesetzbuch

1. Sachlicher Geltungsbereich von § 203 StGB in Bezug auf Rechtsanwälte und geschützte Informationen

2. Allgemeine Zulässigkeit einer Auslagerung – Kriterium der „Erforderlichkeit“

3. Anforderungen für die Auslagerung von geschützten Informationen /Geheimhaltungspflichten

4. Rechtliche Konsequenzen für Cloud Service-Provider

IV. Informationspflicht gegenüber Mandanten im Hinblick auf die Auslagerung

V. Fazit

Scoring im Spannungsfeld von DS-GVO und BDSG

I. Einleitung

II. Scoring als Betrachtungsgegenstand

1. Einsatzfelder und Zielsetzungen

2. Internes und externes Scoring

3. Charakteristische Phasen von Scoring-Verfahren

III. Scoring im Spannungsfeld von DS-GVO und BDSG

1. Gesetzeshistorie

2. Datenschutzrechtliche Vorgaben

3. Anwendung der Maßstäbe auf das externe Scoring

4. Betroffenenrechte

IV. Fortentwicklungsperspektiven

V. Zusammenfassung

„Sicherheit der Verarbeitung“ als gesetzlicher Erlaubnistatbestand – Wann dürfen personenbezogene Daten zum Zweck der Daten- und IT-Sicherheit verwendet werden?

I. Einleitung

II. Verarbeitung auf der Grundlage einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

1. Erfüllung

2. Rechtliche Verpflichtung

3. Der der Verantwortliche unterliegt

III. Anforderungen an die Rechtsgrundlage (Art. 6 Abs. 3 DSGVO)

1. Rechtsgrundlage festgelegt durch Unionsrecht

2. Zweckfestlegung (zwingend)

3. Spezifischere Vorgaben (optional)

4. Verfolgung eines im öffentlichen Interesse liegenden Ziels

IV. Anwendungsfall: Art. 32 DSGVO

V. Fazit

Datenschutzrechtliche Zulässigkeit von gewerkschaftlichen Direktwerbemaßnahmen gegenüber Nichtmitgliedern

I. Zulässigkeit der direkten Gewerkschaftswerbung

1. Werbebegriff der DSGVO

2. Erlaubnistatbestand der DSGVO

3. Berücksichtigung anderer Vorschriften

4. Zwischenergebnis

II. Grundsätzliche Anforderungen an die Ausgestaltung der Information von Betroffenen nach Art. 13, 14 DSGVO

1. Informationspflichten bei Direkt- und Dritterhebung22

2. Zeitpunkt der Erfüllung der Informationspflichten23

3. Form der Informationspflicht24

4. Auswirkungen der Informationspflichten auf die Interessenabwägung

Die zeitliche Wirkungsdauer der datenschutzrechtlichen Einwilligung – das „absolute“ und „relative“ Verfallsdatum

I. Einleitung

II. Fazit und Folgerungen aus dem Bestehen des „absoluten“ und „relativen Verfallsdatums“

Arbeitsschutz vs. Datenschutz!?

I. Das Konfliktfeld zwischen Arbeitsschutz und Datenschutz

1. Aktuelle Varianten der verstärkten Verarbeitung von Beschäftigtendaten im Arbeitsschutz

2. Hochrangige Schutzgüter im Konflikt

3. Befund

II. Rechtliche Strukturen

1. Arbeitsschutzrecht

2. Datenschutzrecht

III. Beispiel: Bodycams bei privaten Diensten

1. Anzuwendendes Recht

2. Berechtigtes Interesse

3. Eignung zur Prävention

4. Erforderlichkeit des Einsatzes von Bodycams

5. Verhältnismäßigkeit im engeren Sinne

Grenzen der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO – Erkenntnisse aus einem Vergleich zur strafrechtlichen Mittäterschaft sowie zum öffentlich-rechtlichen und zivilrechtlichen Störerbegriff nach deutschem Recht

I. Voraussetzungen zur Annahme einer gemeinsamen Verantwortung

II. Rechtsvergleichende Auslegung des Europarechts

III. Vergleich der gemeinsamen Verantwortung nach Art. 26 DSGVO zur Mittäterschaft nach deutschem Strafrecht

IV. Vergleichbarkeit von Straf- und Datenschutzrecht

1. Ähnlicher Wortlaut

2. Vergleichbarer Regelungsgehalt

3. Vergleichbare Normenstruktur in Europa

V. Abgrenzungskriterien einer strafrechtlichen Mittäterschaft nach § 25 Abs. 2 StGB

VI. Vergleich der gemeinsamen Verantwortung nach Art. 26 DSGVO zur öffentlich-rechtlichen Störerhaftung nach deutschem Recht

VII. Zustandsverantwortlichkeit

VIII. Handlungsverantwortlichkeit

IX. Vergleich zur Rechtsprechung des EuGH

X. Zweckveranlasser

XI. Vergleich der gemeinsamen Verantwortung nach Art. 26 DSGVO zum zivilrechtlichen Störerabwehranspruch aus § 1004 Abs. 1 BGB

XII. Mittelbarer Handlungsstörer

XIII. Vergleich zur Rechtsprechung des EuGH

XIV. Ergebnis

Veröffentlichung der Insolvenzverwaltervergütung zwischen Datenschutz und Transparenz

I. Einführung

II. Bekanntmachung des Vergütungsbeschlusses

III. Datenschutzrechtliche Einwendungen

IV. Rechtfertigung der Veröffentlichung des Vergütungsbeschlusses

1. Sachlicher Anwendungsbereich

2. Räumlicher Anwendungsbereich

3. Rechtmäßigkeit der Verarbeitung

4. Rechtmäßigkeit neuer Geschäftsmodelle

V. Fazit

Datenschutzrecht und anwaltliches Berufsrecht: Spannungsverhältnis, Zusammenspiel und aktuelle Brennpunkte

I. Das Verhältnis Berufsrecht und Datenschutzrecht

1. Verschwiegenheit versus datenschutzrechtliche Informationspflichten

2. Datenschutzaufsicht versus Rechtsanwaltskammern

3. Ein Datenschutzverstoß kann zugleich ein Berufsrechtsverstoß sein

II. Aktuelle Entwicklungen und Diskussionen

1. Outsourcing von nicht-anwaltlichen Dienstleistungen

2. Verschlüsselte E-Mail-Kommunikation mit dem Mandanten

3. Versenden von E-Mails an den Gegner

4. Datenschutzrechtliche Beratung durch Nicht-Anwälte – ein Verstoß gegen das RDG?

5. Ausblick

Technikzukünfte: Überlegungen zu Determinanten von Datenzugang und Welthandel mit Daten

I. Vorwort

II. Einleitung

III. Außerrechtliche Rahmenbedingungen eines Welthandels mit Daten

1. Technikzukünfte

2. Die Infrastruktur

3. Daten als Öffentliches Gut

IV. Der Schutz von Daten als ein Regelungsregime des Welthandels mit Daten

1. Der Schutz der Herkunft von Daten ohne territoriale Kollisionsregel und Rechtsvereinheitlichung

2. Die Verwendung von Daten und ihre Zusammenführung aus unterschiedlichen Quellen

V. Die Kontrolle des weltweiten Handels und der Einhaltung von Datenschutzrecht

1. Das Problem der Anonymität und die prozessuale Durchsetzbarkeit

2. Mangelnde Kenntnis von Informationseingriffen

3. Die Ausgestaltung von Auffindbarkeit und Vergessen

VI. Fazit und Ausblick: Das Vorsorgeprinzip als Ausdruck der Multipolarität von Technikzukünften

Datenwirtschaftsrecht*

I. Einleitung

II. Daten als Wirtschaftsgüter in Zeiten der Digitalisierung

III. Status quo im „Recht der Daten“

IV. Bausteine eines Datenwirtschaftsrechts

1. Personenbezogene Daten

2. Nicht-personenbezogene Daten

V. Schluss

Der Arbeitgeber als TK-Diensteanbieter – Unauflösbarer Konflikt zwischen Fernmeldegeheimnis und DSGVO-Pflichten?

I. Einführung

II. Pflichten aus dem TKG

1. Arbeitgeber als TK-Diensteanbieter

2. Pflichten von Diensteanbietern

III. Rechtliche Konflikte

1. Konflikte mit nationalem Recht

2. Konflikte mit der DSGVO

IV. Verhältnis zwischen DSGVO und § 88 TKG

1. Art. 95 DSGVO

2. Art. 88 DSGVO

V. Fazit

Datenschutz, Big Data und KI im Gesundheitswesen

I. Einführung: Gesundheitswesen, Big Data und KI

II. Hauptprobleme aus datenschutzrechtlicher Sicht

1. Personenbezug

2. Anonymisierung und Pseudonymisierung

3. Einwilligung als Rechtsgrundlage

4. Forschungsprivileg Art. 9 Abs. 2 lit. j i.V.m. Art. 5 Abs. 1 lit. b DSGVO, §§ 27 BDSG, 75 Abs. 3 SGB X

5. Art. 9 Abs. 2 lit. h, i DSGVO und Bedeutung für KI

6. Zweckbindung und Ausnahmen

7. Informationspflichten und Transparenz, Nachvollziehbarkeit und Erklärbarkeit

8. Datenminimierung, Speicherbegrenzung, Datenrichtigkeit

9. Art. 22 DSGVO Verbot automatisierter Entscheidungen

10. Weitere datenschutzrechtliche Pflichten

III. Lösungswege und Perspektiven

1. Rolle der Ethik

2. Privacy by Design

3. Einwilligung als Dreh- und Angelpunkt

4. Erweiterung von Art. 22 DSGVO

5. Selbst- und Ko-Regulierung

6. Klassische Regulierung

IV. Fazit

3. Teil Informations- und Medienrecht

Freedom of information oder arcana imperii?

I. Einführung

II. Warum eigentlich? Ziele, Vor- und Nachteile von Informationszugangsfreiheit

III. Umschau: Informationsfreiheits- und Transparenzgesetzgebung in Deutschland

IV. Entwürfe, Entwürfe, Entwürfe ... – Zum Stand in Niedersachsen

1. Rückblick auf zehn Jahre Diskussion

2. Vorstellung und Vergleich der in jüngerer Zeit vorgelegten Gesetzentwürfe

V. Fazit und Ausblick

Die Meinungsmacht der Intermediäre und der neue Medienstaatsvertrag

I. Einleitung

II. Die Vorgaben der Rundfunkfreiheit

1. Rundfunkfreiheit als dienende Freiheit

2. Die Pflicht zur Vielfaltsicherung

III. Die Meinungsmacht der Intermediäre

IV. Die Regelungen im Medienstaatsvertrag und ihre Bewertung

1. Allgemeines

2. Die lückenhafte Einbeziehung der Intermediäre in den Medienstaatsvertrag

3. Das Fehlen eines medienübergreifenden Vielfaltssicherungsrechts

4. Die Maßnahmen zur positiven Vielfaltssicherung

a) Stärkung des Telemedienauftrags des öffentlich-rechtlichen Rundfunks

b) Transparenzregelungen

c) Diskriminierungsverbot

d) Das fehlende verfahrensrechtliche Instrumentarium

V. Zusammenfassung

Journalistische Sorgfaltspflichten auf YouTube und Instagram

I. Journalistische Sorgfalt im Internet als Regelungsproblem

II. Anerkennung journalistischer Grundsätze und des Wahrhaftigkeitsgebots

III. Normadressaten

1. Pressedienste

2. Informationsdienste

3. Fazit

IV. Aufsicht

1. Pressedienste

2. Informationsdienste

3. Fazit

V. Verfassungsrechtliche Zulässigkeit

1. Journalistische Sorgfaltspflichten für Informationsdienste

2. Aufsichtsbefugnisse über Informationsdienste

3. Unterschiedliche Behandlung von Presse- und Informationsdiensten

VI. Schlusswort

Der digitale Lauschangriff – Zugriff auf smarte Sprachassistenten im Strafverfahren

I. Einleitung

II. Smart-Home: Digitalisierung des Lebensalltags und der Privatsphäre

1. Smarte Sprachassistenten im Alltag

2. Funktionsweise und technischer Hintergrund

3. Auswirkungen auf die Praxis der Strafverfolgung

III. Strafverfahrensrechtliche Rahmenbedingungen der Nutzung von Sprachassistenten

1. Verfassungsrechtliche Vorüberlegungen

2. Offene Maßnahmen

3. Verdeckte Maßnahmen

IV. Fazit

Informationsregeln im Arbeitsrecht

I. Einführung und erste Sortierung

1. Ausdrückliches und inkludiertes Informationsrecht

2. Einfache und qualifizierte Informationsgabe

3. Form der Informationsgabe

4. Blickwinkel

5. Rechtsfolgen/Sanktionen

II. (Unvollständige) Sammlung von Informationsregeln im Arbeitsrecht

1. Aus dem Arbeitsverhältnis kommend

2. Arbeitsschutzrecht (i. w. S.)

3. Kollektives Arbeitsrecht

III. Kritik an den Rahmenbedingungen einer Informationsgabe anhand dreier Beispiele

1. Arbeitsschutz in der Praxis

2. Unschärfen bei Informationsregeln

3. Betriebliche Interessenvertretung

IV. Vorschläge

1. Gesetzliche Kriterien installieren

2. Zurückbehaltungsrechte früher eingreifen lassen

3. Theorie der Wirksamkeitsvoraussetzung erweitert verstehen

4. Betriebsverfassungswidrig erlangte Informationen dürfen im Prozess nicht genutzt werden

V. Allgemeines Fazit – Ausblick

4. Teil Recht des geistigen Eigentums

Zur Kollision des Urheberrechts mit der Meinungsfreiheit

I. Zensururheberrecht? Supergrundrecht?

II. Grundrechtskollision

III. No Fair Use

IV. Europarechtliche Vorfragen

V. Grundrechtliche Fundamente

VI. Folgen

Patentverletzungen durch Entwicklung, Anwendung und Verbreitung künstlicher neuronaler Netze

I. Statt einer Einleitung: Eine Bemerkung zur Haftung für fehlerhafte Computerprogramme

II. Patentrecht und Künstliche Intelligenz – ein Überblick

III. Definition der Künstlichen Intelligenz im patentrechtlichen Kontext

IV. Patentverletzung durch Entwicklung, Anwendung und Verbreitung neuronaler Netze

1. Entwurf der Topologie des untrainierten neuronalen Netzes

2. Training des neuronalen Netzes

3. Anwendung des trainierten neuronalen Netzes

4. Verbreitung eines patentierten neuronalen Netzes

V. Zurechnung von autonomen Verletzungshandlungen eines KI-Systems

VI. Verschulden

VII. Schluss

Perspektiven der Software-Lizenz – nach EuGH zu E-Books – Ende der Online-Erschöpfung?

I. Hypothesen, Ausgangslage*

1. Vertragstyp – Lücke zwischen Theorie und Praxis

2. AGB und AGB-Recht – irrelevant

3. Kein öffentliches Zugänglichmachen

4. Bedarf an aktuellen Entscheidungen

II. AGB-rechtliche Aspekte

1. Vertragstyp und AGB

2. Zahl der AGB/Vertragsformulare

3. Bezeichnungen

4. Leistungsbeschreibungen in AGB

5. Widersprüche hinsichtlich zentraler Aussagen/Befunde

6. Moving Target – oder wie kommt eine neue Schicht in die alte Torte?

III. Spezielle AGB: indirekte Nutzung

1. Named User-Fiktion

2. AGB-Text

3. Nutzung vs. Identifizierung

4. Dekompilieren und Bearbeiten sind erlaubt

IV. Segmentiertes Recht

V. Neue Entwicklung durch Richtlinien mit Gegengewicht zu EuGH?

Urheberrechtlicher Schutz für Algorithmenerzeugnisse? – Phasenmodell de lege lata, Investitionsschutz de lege ferenda?1

I. Einige persönliche Worte vorab

II. Einleitung

III. Gang der Untersuchung

IV. Algorithmenerzeugnisse

V. Schutz von Softwarecode

VI. Anthropozentrische Schutzrichtung des Urheberrechts – Künstliche Intelligenz als Hilfsmittel?

VII. Zurechnung als Bindeglied

VIII. Trennung zwischen Vorbereitungs- und Gestaltungsphase

IX. Anforderungen an die Schöpfungshöhe

X. Schutzrechtsentstehung ohne menschliche Einflussnahme in der Gestaltungsphase?

1. Maschinelle Kreativität vs. neues Leistungsschutzrecht

2. Works made for hire

3. Rechtsinhaber und Schutzdauer

X. Zusammenfassung der Ergebnisse

5. Teil Rechtsdurchsetzung

Auslegung des Unternehmensbegriffs im datenschutzrechtlichen Sanktionsregime

I. Einleitung

1. Verhältnis zwischen Kartellrecht und Datenschutzrecht

2. Problemstellung

II. Bußgeldrechtlicher Unternehmensbegriff der DSGVO

1. Normzweck und Historie

2. Wortlaut und Systematik

3. Datenschutzrechtlicher Unternehmensbegriff

III. Auslegungsgrundsätze eines funktionalen Unternehmensbegriffs

1. Doppelte Relevanz einheitlicher Unternehmensbegriffe

2. Anwendungsgrundsätze

3. Übertragbarkeit auf das Datenschutzbußgeldrecht

4. Nachweispflichten

IV. Folgen

Möglichkeiten und Grenzen eines selbstständigen Beweisverfahrens in Softwaremängelprozessen

I. Beweisprobleme bei Mängeln

II. Fristsetzung

III. Risikoanalyse und Alternativen

IV. Selbstständiges Beweisverfahren

1. Zuständigkeit

2. Verfahrensgegenstand und Auftragsbefugnis

3. Inhalt des Antrags

4. Möglichkeit des Antragsgegners

5. Kosten

Daten in Zwangsvollstreckung und Insolvenz

I. Einführung

II. Daten als Vollstreckungsgegenstand

III. Daten in der Einzelzwangsvollstreckung

1. Zwangsvollstreckung wegen Geldforderungen

2. Zwangsvollstreckung zur Erwirkung der Herausgabe

3. Mögliche Vollstreckungshindernisse

IV. Daten in der Insolvenz

1. Massezugehörigkeit der Daten des Insolvenzschuldners

2. Aussonderung von Daten in der Insolvenz des Cloud-Betreibers

V. Fazit

VI. Ausblick

Jürgen Taeger: Ein großer Mensch mit Werten und Engagement für andere

1. Teil Bürgerliches Recht

Außervertragliche Haftung für fehlerhafte Computerprogramme – Taeger 25.0

Jochen Marly

I.Einleitung

Ein Beitrag über die außervertragliche Haftung für fehlerhafte Computerprogramme in einer Festgabe für Jürgen Taeger ist nicht unproblematisch. Der Jubilar hat zu diesem Thema seine Habilitationsschrift1 verfasst, deren Vorwort er im April 1995 unterzeichnete, also vor fast exakt 25 Jahren. Es steht deshalb auf der einen Seite zu befürchten, dass schon vor einem Vierteljahrhundert alles gesagt wurde, was es zu diesem Thema zu sagen gibt. Was könnte einer Monographie hinzugefügt werden, die so überzeugend war, dass sie gar keinen nennenswerten Raum für Diskussionen ließ, sondern allenfalls für ehrfürchtige Wiederholung? Auf der anderen Seite erscheint es durchaus reizvoll und möglicherweise sogar gewinnbringend, das Thema nach so langer Zeit nochmals aufzugreifen. Im vorliegenden Beitrag kann es daher im ersten Schritt nur darum gehen, einige Gedanken im Sinne einer eher rückblickenden Überprüfung zu äußern und (möglicherweise) eine Anpassung und Vervollständigung an technische Weiterentwicklungen zu geben. Erst im Anschluss hieran wird erkennbar sein, ob neue Überlegungen angestellt werden müssen.

Vor dem Hintergrund dieser Vorüberlegungen scheint ein Beginn der Untersuchung mit einem als „Taeger’sche Grundlagen“ zu benennenden Teil und daran anschließend ein mit „25 Jahre nach der Habilitationsschrift“ zu betitelnden Teil zielführend. Infolge der Vielgestaltigkeit des Untersuchungsgegenstands sowie natürlich insbesondere auch der großen Untersuchungsbreite der Habilitationsschrift Taegers dürfte es für einen kurzen Beitrag wie den vorliegenden selbstredend sein, dass keine umfassende Auseinandersetzung mit allen Aspekten und Detailfragen erfolgen kann. Vielmehr ist eine Beschränkung auf einige zentrale Punkte zwingend notwendig.

II.Die Taeger’schen Grundlagen

Wie vor 25 Jahren üblich begann auch der Jubilar seine Ausführungen zur außervertraglichen Haftung für Computerprogramme mit einem Kapitel über die technischen Voraussetzungen und Begriffe rund um die Computertechnologie. Bemerkenswert ist diesbezüglich, dass der einleitende Satz zum Gegenstand der Untersuchung zwar mit den Worten „die elektronische Datenverarbeitung“ beginnt und damit hoffnungslos überholt zu sein scheint. Tauscht man aber einige wenige Begriffe wie etwa EDV gegen modernere Termini wie Informationstechnologie oder kurz IT aus, dann bemerkt man, dass die Taeger’schen Ausführungen in der Sache nach wie vor zutreffen und selbst derzeit intensiv diskutierte Entwicklungen wie die KI-Forschung von ihm bereits (kurz) erwähnt wurden.

Noch bemerkenswerter und fast erschreckend aktuell sind die Ausführungen im zweiten Kapitel des ersten Teils der Taeger’schen Habilitationsschrift zum Risikopotenzial von Computerprogrammen. Wenn dort zu lesen steht, „Computerfehler können also dramatische Folgen haben. Angesichts der Komplexität der Systeme, der weltweiten Vernetzung und der Einbindung der Elektronischen Datenverarbeitung in Hochtechnologien wie Flugzeuge ... können durch Programmfehler Rechtsgüter verletzt und Schäden erheblichen Ausmaßes herbeigeführt werden“, dann schießt dem Leser des Jahres 2020 schlagartig das Wort Boeing 737 Max in den Kopf.

Der Airbus-Rivale Boeing ist nach zwei verheerenden Flugzeugabstürzen wirtschaftlich angeschlagen wie nie zuvor. Am 29.10.2018 war eine neue Boeing 737 MAX 8 der Lion Air in Indonesien abgestürzt. Bei diesem Unfall waren 189 Todesopfer zu beklagen. Am 10.3.2019 kam es zum Absturz einer Boeing 737 MAX 8 der Ethiopian Airlines. Bei diesem Absturz sind 157 Menschen gestorben. Als entscheidende Ursache der Unglücke gilt nach derzeitigem Ermittlungsstand eine fehlerhafte Steuerungsautomatik der Boeing-Flugzeuge. Dieses sogenannte MCAS-System (Manoeuvering Characteristics Augmentation System) – das ein Überziehen des Flugzeuges im manuellen Betrieb und damit einen Strömungsabriss bei einem Anstellwinkel größer als 14° verhindern soll – drückte die Nase der Flugzeuge nach unten, obwohl gar kein zu großer Anstellwinkel vorlag und obwohl die Piloten rechtzeitig und mehrfach versuchten, die Nase des Flugzeugs nach oben zu ziehen, um einen ordnungsgemäßen Steigflug durchzuführen. Der Boeing-Konzern steht mittlerweile im Verdacht, die Flieger im scharfen Wettbewerb mit Airbus und aus Profitgier überstürzt auf den Markt gebracht und dabei die Sicherheit vernachlässigt zu haben. Bei einer von Boeing avisierten Freigabe der 737 MAX zur Jahresmitte 2020 ist mit Belastungen von mindestens 30 Milliarden Dollar zu rechnen. Fehlende Auslieferungen bereits produzierter Flugzeuge, ein Produktionsstopp, die Rezertifizierung für die Wiederfreigabe durch die Luftfahrtbehörden und Opferentschädigungen sowie die Kompensation von Kunden und Zulieferern dürften Boeing teuer zu stehen kommen.

Geradezu erschreckend ist aber für den hier vorgelegten Beitrag, dass Taeger im Zusammenhang mit dem Haftungsausschluss für Entwicklungsrisiken ein weiteres Beispiel anführte: „So kann das Computerprogramm, das ein modernes Düsenflugzeug steuert und sogar die manuelle, mechanisch wirkende Korrektur durch Piloten nicht mehr zulässt, dann versagen, wenn ein Passagier während des Fluges (verbotenerweise) sein Funktelefon benutzt, dessen elektromagnetische Strahlung das Steuerungsprogramm so beeinflusst, dass es zum Absturz kommt.“2 Selbst wenn man berücksichtigt, dass die beiden Boeing 737 MAX nicht durch Funktelefone zum Absturz gebracht wurden, stellt sich hier fast die (definitiv unpassende) Frage, ob Taeger Interna von Boeing kannte oder kennt. Auch wenn Taeger im Rahmen seiner Monographie vornehmlich die „EDV-spezifischen Risiken für den Anwender“ und nicht etwa die Kompensation von Zulieferern in den Fokus seiner Betrachtung stellte, zeigt dies doch, wie aktuell das Thema immer noch ist.

Mit dieser Zwischenfeststellung sollen im Rahmen des vorliegenden Beitrags unter Rückgriff auf den dritten und vierten Teil der Taeger’schen Habilitationsschrift einige Anmerkungen zur Produkt- und Produzentenhaftung gemacht werden. Nicht bearbeitet werden soll die Frage nach der Haftung für fehlerhafte Computerprogramme nach dem Datenschutzrecht. Dieser im fünften Teil seiner Monographie von Taeger bearbeitete Aspekt außervertraglicher Haftung basiert auf der Überlegung, ein Schaden könne auch darauf beruhen, dass ein Computerprogramm personenbezogene Daten fehlerhaft verarbeitet hat. Specht-Riemenschneider hat dies aber kürzlich bereits aufgegriffen und die Frage nach einer Herstellerhaftung für nicht-datenschutzkonform nutzbare Produkte ausführlich erörtert.3 Sie kommt mit überzeugender Begründung zu dem gut vertretbaren Ergebnis, dass zwar keine unmittelbare Verpflichtung des nach Art. 4 Nr. 7 DSGVO verantwortlichen Softwareherstellers besteht, die Vorgaben des Art. 25 DSGVO einzuhalten. Nach den Grundsätzen der deliktischen Produzentenhaftung möchte sie aber eine an Zumutbarkeitserwägungen zu messende Verpflichtung des Herstellers ableiten, nur solche Produkte in den Verkehr zu bringen, die datenschutzkonform nutzbar sind.

1.Produkthaftung nach dem ProdHG

Nach § 1 Abs. 1 ProdHG besteht ein Schadensersatzanspruch, wenn durch den Fehler eines Produkts ein Mensch getötet, sein Körper oder seine Gesundheit verletzt oder eine Sache beschädigt wird. Für die dramatischen Fälle der Tötung oder Verletzung von Menschen wie in dem oben angeführten Boeing-Drama ist dies unproblematisch. Im Falle der Sachbeschädigung muss aber eine andere Sache als das fehlerhafte Produkt beschädigt worden sein und diese Sache darüber hinaus ihrer Art nach gewöhnlich für den privaten Ge- oder Verbrauch bestimmt und vom Geschädigten hierfür auch hauptsächlich verwendet worden sein.4

Auch wenn die genannten Voraussetzungen vorliegen, haftet der in Anspruch Genommene nicht, wenn er einen der in § 1 Abs. 2 Nr. 1 bis 5 ProdHG umschriebenen Tatbestände beweist. Diese Fälle der Haftungsausschlüsse weisen jedoch keine softwarespezifischen Besonderheiten auf, weshalb hierauf an dieser Stelle nicht im Detail eingegangen werden muss. Allein die Frage, ob die Auslieferung eines Computerprogramms mit einem im Zeitpunkt der Überlassung noch unbekannten und nicht auffindbaren Computervirus zu einem Haftungsausschluss nach § 1 Abs. 2 Nr. 5 ProdHG führt,5 sollte entgegen Taeger bejaht werden. Die Gefährlichkeit des Produkts Computerprogramm kann in diesem Fall nach dem Stand der Wissenschaft und Technik zum Zeitpunkt des Inverkehrbringens nicht erkannt werden.

a)Computerprogramme als Produkt gem. § 2 ProdHG

Problematisch hinsichtlich eines Schadensersatzanspruchs nach dem ProdHG ist im Zusammenhang mit Computersoftware, ob diese überhaupt dem Begriff des Produkts im Sinne des § 2 ProdHG unterfällt. Taeger widmete dieser Frage die gebührende Breite.6

Die Frage ist seit Jahren im Schrifttum heftig umstritten. Rechtsprechung zu diesem Problem liegt immer noch nicht vor.7 Ausgehend von der in § 2 ProdHG festgeschriebenen Definition ist jede bewegliche Sache ein Produkt im Sinne des ProdHG, auch wenn sie einen Teil einer anderen beweglichen Sache oder einer unbeweglichen Sache bildet oder dem Begriff der Elektrizität zuzurechnen ist. Damit scheint sich der an anderer Stelle ausführlich dargestellte Streit über die Sachqualität der Computerprogramme8 innerhalb des ProdHG zu wiederholen.9 In der Tat ist der Schluss, Computerprogramme unterfielen dem Produktbegriff des § 2 ProdHG, für die Befürworter der Sachqualität, also auch für den Autor dieses Beitrags, zwingend, weshalb auch insoweit an andere Stelle verwiesen werden kann.10 Daneben qualifizieren aber auch zahlreiche Autoren Computerprogramme als Produkte, die eine Einordnung unter § 90 BGB ablehnen. Begründet wird dies damit, der Begriff der beweglichen Sache im Sinne des § 2 ProdHG sei nicht identisch mit dem des § 90 BGB,11 gleichwie auch die Entstehungsgeschichte der EG-Produkthaftungsrichtlinie sowie insbesondere auch der Schutzzweck der Produkthaftung für eine Anwendung des ProdHG auf Computerprogramme12 sprächen. Im Ergebnis entspricht es daher ganz h.M., Computerprogramme als Produkt im Sinne des § 2 ProdHG zu qualifizieren.13 Dies muss sowohl für Individual- als auch für Standardsoftware gelten14 und wurde auch von Taeger seit jeher vertreten.15

b)Fehler eines Produkts gem. § 3 ProdHG

Einen weiteren Schwerpunkt seiner Ausführungen setzte Taeger beim Fehlerbegriff des ProdHG und seiner Anwendung auf Computerprogramme.16

Der Begriff des Fehlers gem. § 3 ProdHG ist nicht deckungsgleich mit dem vertragsrechtlichen Mangelbegriff.17 Die vertraglichen Mängelhaftungsvorschriften betreffen die Gebrauchs- und Funktionsfähigkeit sowie den Wert einer Sache, wie sie vom Vertragspartner aufgrund des jeweiligen Vertrags erwartet werden darf. Das vertragliche Mängelhaftungsrecht schützt dementsprechend das wirtschaftliche Nutzungs- und Äquivalenzinteresse des Vertragspartners an einem mangelfreien Vertragsgegenstand.18 Demgegenüber schützen das ProdHG, wie sich § 3 ProdHG unmittelbar entnehmen lässt, aber auch die Produzentenhaftung nach § 823 Abs. 1 BGB das Integritätsinteresse19 jedes Benutzers und jedes Dritten daran, dass die Sache die Sicherheit bietet, die von der Allgemeinheit berechtigterweise erwartet werden darf.20 Trotz der seitens der Softwareindustrie stereotyp wiederholten Einschätzung, Computersoftware könne niemals fehlerfrei hergestellt werden,21 geht die begründete Erwartung der Anwender von Computerprogrammen dahin, dass diese die Integritätsinteressen nicht verletzen und keine Rechtsgüter durch den bestimmungsgemäßen Programmgebrauch beeinträchtigt werden.22 Vor dem Hintergrund dieser Erkenntnis ist es daher auch erwägenswert, die berechtigten Sicherheitserwartungen des Anwenders sowie gegebenenfalls auch sonstiger Dritter hinsichtlich der Einhaltung eines bestimmten Sicherheitsniveaus etwa gegenüber den bereits erwähnten Virenangriffen in die Betrachtung einzubeziehen.23 Definiert man diese Sicherheitserwartungen sodann dahingehend, dass Software vor Systemabstürzen und Datenverlusten schützen muss, erweisen sich zahlreiche Programme namhafter Hersteller als fehlerhaft sowohl im Sinne des ProdHG als auch der Produzentenhaftung, denn die manchmal eklatanten Sicherheitsmängel sind nicht nur in Fachkreisen unstreitig, sondern auch von den Herstellern längst als Problem erkannt.24 Das nicht selten anzutreffende deutliche Unterschreiten berechtigter und nach dem Stand der Technik erfüllbarer Sicherheitsbelange stellt daher einen Konstruktionsfehler der Software dar.25

Rechtsprechung und Schrifttum unterscheiden grundsätzlich drei Fehlerkategorien, wenngleich nicht übersehen werden darf, dass diese Einteilung für die Haftung des Herstellers unerheblich ist.26 In jedem Fall muss das Produkt dem aktuellen Stand von Wissenschaft und Technik im Zeitpunkt des Inverkehrbringens entsprechen.

– Konstruktionsfehler: Diese führen infolge einer fehlerhaften Konzeption oder Planung dazu, dass das Produkt unter dem gebotenen Sicherheitsstandard bleibt,27 für eine gefahrlose Benutzung ungeeignet ist, und haften dementsprechend der ganzen Serie an.28 Übertragen auf den Bereich der Computersoftware bedeutet dies, dass alle Fehler, die etwa bei der Programmkonzeption, der Programmierung oder der Kompilierung entstanden sind, der Gruppe der Konstruktionsfehler unterfallen.29 Unerheblich ist demgegenüber, ob der betreffende Fehler bereits im Quellcode oder erst im Maschinencode vorhanden ist. Zu den Konstruktionsfehlern zählt auch das Unterschreiten berechtigter und nach dem Stand der Technik erfüllbarer Sicherheitsbelange,30 wenn also im Rahmen der Entwicklung Sicherheitsvorkehrungen unterblieben sind, die zur Gefahrenvermeidung objektiv erforderlich und nach objektiven Maßstäben zumutbar sind.31 Gegebenenfalls ist auch die Nichteinhaltung der Datenschutzvorgaben als Konstruktionsfehler zu kategorisieren.32

– Fabrikationsfehler: Sie entstehen während der Herstellung des jeweiligen Einzelprodukts und haften daher auch nur einzelnen Exemplaren an. Zu dieser Gruppe zählen auch die sog. Ausreißer, die trotz aller zumutbarer Vorkehrungen nicht zu vermeiden sind. Für den Softwarebereich können beispielhaft Kopierfehler, sonstige Übertragungsfehler und ungenügende Virenkontrolle während der Duplizierung angeführt werden.33

– Instruktionsfehler: Diese fallen unter den Begriff der Darbietung nach § 3 lit. a ProdHG und bestehen in einer mangelhaften Gebrauchsanweisung und/oder nicht ausreichenden Warnung vor gefahrbringenden Eigenschaften, die der als solcher fehlerfreien Sache anhaften.34 Die Instruktions- und Warnpflicht kann deutlich herabgesetzt sein, wenn das Produkt an Fachpersonen in den Verkehr gebracht wird.35 Sie sind aber keineswegs schon allgemein deshalb ausgeschlossen, weil das Produkt von Fachpersonal verwendet wird.36 Ist das Produkt für unterschiedliche Benutzergruppen bestimmt, muss auf das Wissen und Gefahrensteuerungspotenzial der am wenigsten informierten und zur Gefahrsteuerung kompetenten Gruppe Rücksicht genommen werden.37

Zu den Instruktionsfehlern im Bereich der Computersoftware zählen etwa Fehler in den Benutzerhandbüchern oder einer gegebenenfalls vorhandenen Online-Hilfe. Daneben ist zu berücksichtigen, dass wie bei allen Instruktions- und Warnpflichten neben allgemeinen Verhaltenshinweisen, der sogenannten Anwendungswarnung, noch die bei Nichteinhaltung zu erwartenden Schäden geschildert werden müssen, der sogenannten Folgenwarnung Rechnung getragen werden muss.38 Daher muss mit hinreichender Deutlichkeit auf bestimmte Gefahren, etwa des Datenverlusts, der nicht gewährleisteten Datenintegrität oder eines zu befürchtenden Systemstillstands, hingewiesen werden. Bei kritischen Aktionen muss ferner gegebenenfalls auf eine vorher durchzuführende Datensicherung verwiesen werden. Hinsichtlich der bei den Instruktions- und Warnpflichten zu wählenden sprachlichen Anforderungen und solchen an die Ausführlichkeit ist auf den jeweiligen Kenntnisstand eines durchschnittlichen Anwenders dieses Programms abzustellen.39 Bei einem Betriebssystem für Großrechner, mit dem nur Fachpersonal arbeitet, sind geringere Anforderungen zu stellen als bei Programmen, die überwiegend von Personen mit niedrigem fachspezifischem Kenntnisstand eingesetzt werden.

2.Die Haftung nach den Grundsätzen der Produzentenhaftung

Gem. § 15 Abs. 2 ProdHG werden Schadensersatzansprüche aufgrund anderer, außerhalb dieses Gesetzes liegender Vorschriften nicht ausgeschlossen. Dies hat zur Folge, dass die von Rechtsprechung40 und Schrifttum aus § 823 Abs. 1 BGB unter dem Gesichtspunkt der Verletzung der Verkehrssicherungspflicht entwickelten Grundsätze über die Produzentenhaftung anwendbar bleiben. Es ist zwischenzeitlich wohl auch unstrittig, dass die Produzentenhaftung in softwarebezogenen Fällen Anwendung findet und der für das ProdHG relevante Streit über die Sachqualität von Computersoftware hier dahingestellt bleiben kann.41

Nach den Grundsätzen der Produzentenhaftung stellt das Inverkehrbringen eines fehlerhaften Produkts eine haftungsbegründende Handlung des Herstellers dar, gleichwie der Verstoß gegen die dem Hersteller obliegende Verkehrssicherungspflicht die erforderliche Rechtswidrigkeit begründet. Im Gegensatz zur Haftung nach dem ProdHG ist die Produzentenhaftung verschuldensabhängig, allerdings mit einer Beweislastumkehr zulasten des Herstellers, der beweisen muss, dass ihn an dem Fehler kein Verschulden trifft.42 Zwecks Systematisierung der vom Hersteller zu beachtenden Sorgfaltsanforderungen wird üblicherweise eine Typisierung in Konstruktionsfehler, Fabrikationsfehler, Instruktionsfehler sowie eine Verletzung der sog. Produktbeobachtungspflicht vorgenommen, wobei hinsichtlich der drei erstgenannten Fehlertypen nicht nur ein terminologischer, sondern auch ein inhaltlicher Gleichklang zum ProdHG zu verzeichnen ist,43 weshalb insoweit auf die oben dargelegten Erläuterungen verwiesen werden kann.

In Bezug auf die den Hersteller treffenden Produktbeobachtungspflichten ist zu beachten, dass nach dem ProdHG eine Änderung des Standes von Wissenschaft und Technik zwischen dem Zeitpunkt des Inverkehrbringens und dem Schadenseintritt unerheblich ist und keine Haftung nach § 1 Abs. 1 ProdHG auslöst.44 Demgegenüber muss der Hersteller nach den Grundsätzen der Produzentenhaftung ab dem Zeitpunkt des Inverkehrbringens nicht nur die eigenen Produkte beobachten, sondern auch solche Fremdprodukte, die als Zubehör für die eigenen Erzeugnisse in Betracht kommen. Hierbei sind etwa auch Fachzeitschriften und sonstige Veröffentlichungen zu berücksichtigen.45 Die Hersteller von Software sind vor dem Hintergrund immer wieder neuer Sicherheitslücken in besonderem Maße zur Marktbeobachtung verpflichtet.46 Sofern zuvor unbekannte schädliche Eigenschaften oder sonstige eine Gefahr begründende Verwendungsfolgen bekannt werden, trifft den Hersteller die Pflicht, Produktbenutzer entsprechend zu warnen.47 Aus der Produktbeobachtungspflicht kann daher eine zeitlich nach dem Inverkehrbringen entstehende zusätzliche Instruktions- oder Warnpflicht folgen, in besonderen Fällen, in denen eine Warnung als nicht ausreichend für die Beseitigung der Gefährdung erscheint,48 kann auch eine Rückrufpflicht49 oder eine Pflicht zur kostenlosen Beseitigung der Gefährdung bestehen, etwa in Gestalt eines kostenlosen Austauschs. Im Rahmen des Zumutbaren kann den Softwarehersteller daher eine Pflicht zur Bereitstellung von Programmupdates treffen, jedoch steht einem Anwender grundsätzlich kein individueller Anspruch auf Beseitigung einer Sicherheitslücke durch ein Update zu.50

Softwarebezogene Beispiele für das Eingreifen der Produktbeobachtungspflicht sind bislang allenfalls vereinzelt bekannt geworden.51 Der bereits an anderer Stelle erwähnte Fall der Weiterverbreitung virenverseuchter Computersoftware durch den Fachverlag einer Computer-Zeitschrift52 kann als Beispiel dienen, wenn man unterstellt, es habe sich um einen zuvor unbekannten Virus gehandelt, der nach dem Stand der Prüftechnik im Zeitpunkt des Inverkehrbringens nicht zu erkennen war. In jedem Fall bewirkt die Produktbeobachtungspflicht des Herstellers, dass dieser die Anwender über die drohenden Gefahren unverzüglich warnen muss. Insoweit ist bei weitverbreiteten Produkten eine Information aller wichtigen Computerzeitschriften zu verlangen. Darüber hinaus muss der Hersteller aber auch die bei ihm registrierten Anwender direkt informieren, gegebenenfalls eine telefonische Kunden-Hotline einrichten,53 ein entsprechendes Viren-Suchprogramm verbreiten54 oder ein fehlerbereinigtes Update kostenlos zur Verfügung stellen und entsprechende Informationen und Programme in den einschlägigen Foren der Datennetze anbieten.55 All dies hat Taeger in seiner Habilitationsschrift bereits ausgeführt.56

Diese Beispiele verdeutlichen, dass die verschuldensabhängige Produzentenhaftung nach § 823 Abs. 1 BGB im Einzelfall gegenüber dem ProdHG das schärfere Haftungsinstrument darstellt.57 Erwähnt werden muss an dieser Stelle aber noch, dass die Produktbeobachtungspflicht nach der Rechtsprechung des BGH nicht mit einer Beweislastumkehr verbunden ist, weil diese nur bei Konstruktions-, Fabrikations- und (ursprünglichen) Instruktionsfehlern eingreift.58 Dementsprechend muss der Geschädigte die schuldhafte Verletzung der Produktbeobachtungspflicht seitens des Herstellers beweisen.59

Sind mehrere Hersteller zum Rückruf verpflichtet, etwa der Hersteller eines Programmmoduls sowie der Hersteller des darauf aufsetzenden Gesamtpakets, ist zwischen diesen ein Gesamtschuldnerausgleich nach § 426 BGB durchzuführen, wobei als Verteilungsmaßstab analog § 254 BGB die jeweiligen Verschuldens- und Verursachungsbeträge heranzuziehen sind.60

III.25 Jahre nach der Habilitationsschrift

Obwohl dem aufmerksamen Leser sicher nicht entgangen ist, dass die Taeger’-schen Gedanken, Argumente und Lösungsvorschläge nach wie vor fast durchweg Gültigkeit haben, kann eine Notwendigkeit zur Weiterentwicklung des Computerrechts anno 1995 zum modernen Informationsrecht des Jahres 2020 nicht verkannt werden. Diese Weiterentwicklung allein auf eine gewandelte Terminologie zu reduzieren wäre sicherlich zu kurz gegriffen. Nicht richtig wäre demgegenüber aber auch, von vollständig neuen technischen Entwicklungen auszugehen.

Schon vor 25 Jahren wurde die Körperlichkeit der Software vor dem Hintergrund verschiedener Rechtsfragen diskutiert, insbesondere, ob eine „datenträgerlose Übergabe“ eines Computerprogramms dazu führt, die Sacheigenschaft zu verneinen, die Einordnung als Kauf abzulehnen und dem Programm auch die Eigenschaft als Produkt im Sinne des § 2 ProdHG abzusprechen. Taeger argumentierte im Hinblick auf diese letztgenannte Fragestellung,61 nach dem Gesetzeszweck sei darauf abzustellen, dass der Softwareanbieter mit der Übergabe eines unsicheren Programms eine Gefahrenquelle beim Kunden eröffnet habe. Produkthaftungsrechtlich sei es unerheblich, ob das fehlerhafte Programm auf einem vom Hersteller übergebenen Datenträger verkörpert war und dann im System des Anwenders installiert wurde oder ob das Computerprogramm auf elektronischem Wege direkt im Zielrechner des Anwenders installiert wurde. Für die Anwendbarkeit des ProdHG sei nicht erforderlich, dass der Programmhersteller bereits in seinem eigenen Herstellungsbereich das Programm auf einem Datenträger aufbringe. Jedes andere Ergebnis würde im Übrigen auch dazu führen, dass den Herstellern von Computerprogrammen mit der körperlosen Übergabe eine Flucht aus der Produkthaftung möglich wäre.

Diese Gedanken müssen unter Berücksichtigung der technologischen Weiterentwicklung fortgeführt werden.

Richtig ist zunächst, mit Taeger eine einheitliche Zuordnung zum Produktbegriff des § 2 ProdHG zu fordern, unabhängig davon, ob Software auf einem körperlichen Trägermedium geliefert oder unkörperlich überlassen wird.62 Hier wird man aber nicht stehen bleiben können. Im Zeitalter schneller Datenverbindungen wird der Nutzer die Software immer häufiger überhaupt nicht auf seine eigene Hardware herunterladen, sondern lediglich im Wege der Telekommunikation auf die Software zugreifen, die auf dem Server des Anbieters verbleibt und dort abläuft. Die Bedeutung des Vorrätighaltens auf eigener Hardware schwindet. Dennoch eine haftungsrechtliche Differenzierung zwischen datenträgergebundener und nicht datenträgergebundener sowie stationärer oder Online-Nutzungsermöglichung zu treffen, erscheint willkürlich und auch im Ergebnis nicht überzeugend.63

Nicht überzeugend wäre es aber auch, dem Produktbegriff eine zwingende Körperlichkeit zuzuweisen mit dem Argument, eine Ausnahme dürfe allein für die im letzten Teilsatz des § 2 ProdHG namentlich genannte Elektrizität gemacht werden. Bereits an anderer Stelle wurde darauf hingewiesen, es wäre verfehlt, die Europäische Produkthaftungsrichtlinie sowie das deutsche ProdHaftG auf die Risiken der „alten Ökonomie“ zu beschränken und die verkörperte Information als das Wirtschaftsgut der modernen Welt unberücksichtigt zu lassen.64 Vielmehr müssen bestehende Regeln soweit als möglich auch auf die Entwicklungen der digitalen Welt angewendet werden. Weder Taeger noch der Europäische Richtliniengeber noch der deutsche Gesetzgeber konnten vor einem Vierteljahrhundert diese Entwicklungen vorhersehen. Es scheint daher geboten, die Produkteigenschaft von Software bereits de lege lata nicht mehr von ihrer Verkörperung abhängig zu machen, auch nicht durch die Bezugnahme auf die Verkörperung beim Anwender, und nicht auf eine Anpassung de lege ferenda zu warten.65 Seit Computersoftware online verfügbar gemacht werden kann und vom Anwender entweder heruntergeladen und stationär gespeichert oder aber auch online genutzt werden kann, kommt der Verkörperung auf Datenträger zwecks Überlassung keine entscheidende Funktion mehr zu. Die Anwendung der Produkthaftungsregelungen kann nicht davon abhängig sein, ob die Software auf einem Datenträger – einer beweglichen Sache – verkörpert ist oder nicht. Die Zielsetzungen sowohl der Europäischen und deutschen Produkthaftung, Schadensausgleich und Prävention, erfordern keine Differenzierung, sondern scheinen eine Gleichbehandlung geradezu zu fordern. Andernfalls – und hier kann erneut auf die Worte Taegers zurückgegriffen werden – bestünde für die Softwarehersteller eine technikbedingte Möglichkeit zur Flucht aus der Produkthaftung.

IV.Schluss

Zusammenfassen lässt sich das vielgestaltige Thema der außervertraglichen Haftung für Computerprogramme wegen der Inhomogenität der mannigfaltigen Einzelfragen schlecht. Sicher ist aber nach der vorliegenden Untersuchung, dass die von Taeger vorgeschlagenen Lösungen einschließlich ihrer Begründungen auch nach 25 Jahren fast allesamt noch auf der Höhe der Zeit sind und bei entsprechender sprachlicher Aktualisierung jeder Überprüfung standhalten würden. Unter Rückblick auf die Veröffentlichung des Jubilars aus dem Jahre 1995 und in Anlehnung an den Titel des Romans „Im Westen nichts Neues“ von Erich Maria Remarque können die herausgearbeiteten Ergebnisse daher zu Recht mit „Im Recht der außervertraglichen Haftung für Computerprogramme seit Taeger nichts Neues“ umschrieben werden.66 Dies ist im Rahmen eines Beitrags für eine Festgabe ein besonders erfreuliches Untersuchungsergebnis. Es könnte nur dann sogar noch überboten werden, wenn im Jahre 2045 die gleiche Feststellung in einem zukünftigen Beitrag mit dem Titel „Taeger 50.0“ zu treffen wäre.

1

Taeger

, Außervertragliche Haftung für fehlerhafte Computerprogramme, 1995.

2

Taeger

(Fn. 1), S. 177.

3

Specht-Riemenschneider

, MMR 2020, 73ff.

4

In dieser Beschränkung sieht

Raue

, NJW 2017, 1841, 1843, einen Bedeutungsverlust des ProdHG bei Fällen unsicherer Software.

5

Gegen einen Haftungsausschluss

Taeger

(Fn. 1), S. 178 mit Hinweis auf die Gegenauffassung von

v. Gravenreuth

, Sicherheits-Berater, Supplement 4/1993, S. 2, 4.

6

Taeger

(Fn. 1), S. 108–169.

7

Das AG Düren, 14.4.2004 – 45 C 332/00, CR 2004, 734, 735, hat die Frage ausdrücklich offengelassen.

8

Vgl. hierzu

Marly

, Praxishandbuch Softwarerecht, 7. Aufl. 2018, Rn. 712ff.

9

Sodtalbers

, Softwarehaftung im Internet. Die außervertragliche Produkthaftung für online in Verkehr gegebene Computerprogramme, 2006, S. 110 Rn. 156;

Taeger

(Fn. 1), S. 120ff.

10

Marly

(Fn. 8), Rn. 1822ff.

11

Meier/Wehlau

, CR 1990, 95, 98.

12

Taeger

(Fn. 1), S. 108ff.;

Wagner

, in: Münchener Kommentar zum BGB, 7. Aufl. 2017, § 2 ProdHG Rn. 17ff.

13

Meyer/Harland

, CR 2007, 689, 693;

Spindler

, NJW 2004, 3145, 3149;

Sodtalbers

(Fn. 9), S. 109ff. Rn. 152ff.;

Deike

, CR 2003, 9, 15;

Schmitt

, CR 2001, 838, 840f.;

Sprau

, in: Palandt, BGB, 79. Aufl. 2020, § 2 ProdHaftG Rn. 1;

Wagner

, in: MüKo-BGB (Fn. 12), § 2 ProdHG Rn. 17ff.; a.A.

Hilty

, MMR 2003, 3, 14.

14

Sodtalbers

(Fn. 9), S. 121 Rn. 177f.

15

Taeger

(Fn. 1), S. 168.

16

Taeger

(Fn. 1), S. 170ff.

17

Vgl. hierzu ausführlich

Marly

(Fn. 8), Rn. 1441ff.

18

BGH, 28.10.2010 – VII ZR 172/09, NJW 2011, 594, 596 Rn. 26; BGH, 14.5.1985 – VI ZR 168/83, NJW 1985, 2420f.

19

BGH, 27.1.2005 – VII ZR 158/03, BeckRS 2005, 02824.

20

Sprau

, in: Palandt (Fn. 13), § 3 ProdHaftG Rn. 1;

Meyer/Harland

, CR 2007, 689, 693.

21

Hierzu auch

Taeger

(Fn. 1), S. 37.

22

Taeger

(Fn. 1), S. 187ff.

23

So

Raue

, NJW 2017, 1841;

Bartsch

, CR 2000, 721, 723; wohl auch

Herberger

, NJW-CoR 2000, 314.

24

Vgl. die Hinweise bei

Raue

, NJW 2017, 1841, auf die Sicherheitsberichte des Bundesamts für Sicherheit in der Informationstechnik (BSI).

25

Wie hier

Spindler

, NJW 2004, 3145, 3146;

Bartsch

, CR 2000, 721, 723.

26

Sprau

, in: Palandt (Fn. 13), § 3 ProdHaftG Rn. 2.

27

BGH, 5.2.2013 – VI ZR 1/12, NJW 2013, 1302, 1303 Tz. 13;

Specht-Riemenschneider

, MMR 2020, 73, 75.

28

Sprau

, in: Palandt (Fn. 13), § 3 ProdHaftG Rn. 8.

29

Nicht zutreffend, aber die Behauptung von

Hohmann

, NJW 1999, 521, 525, Softwarefehler seien immer Konstruktionsfehler. Wie hier

Sodtalbers

(Fn. 9), S. 153 Rn. 236.

30

Bartsch

CR 2000, 721, 723.

31

BGH, 5.2.2013 – VI ZR 1/12, NJW 2013, 1302, 1303 Rn. 13.

32

Specht-Riemenschneider

, MMR 2020, 73, 75.

33

Vgl. etwa den Fall des LG Kleve, 29.6.1995 – 7 O 17/95, CR 1996, 292.

34

Sodtalbers

(Fn. 9), S. 154 Rn. 238.

35

BGH, 14.5.1996 – VI ZR 158/95, NJW 1996, 2224, 2226; BGH, 5.5.1992 – VI ZR 188/91, NJW 1992, 2016, 2018.

36

BGH, 14.5.1996 – VI ZR 158/95, NJW 1996, 2224, 2226.

37

BGH, 5.2.2013 – VI ZR 1/12, NJW 2013, 1302, 1303 Rn. 12.

38

Generell zu diesen Anforderungen BGH, 11.1.1994 – VI ZR 41/93, NJW 1994, 932, 933.

39

Taeger

, CR 1996, 257, 269.

41

Specht-Riemenschneider

, MMR 2020, 73, 75;

Raue

, NJW 2017, 1841, 1843;

Sodtalbers

(Fn. 9), S. 290 Rn. 474;

Spindler

, NJW 2004, 3145 m.w.N.

42

Ständige Rechtsprechung, vgl. nur BGH, 2.2.1999 – VI ZR 392/97, NJW 1999, 1028, 1029 m.w.N.

43

Vgl. BGH, 16.9.2009 – VI ZR 107/08, NJW 2009, 2952, 2953 Rn. 12;

Sprau

, in: Palandt (Fn. 13), § 823 Rn. 172; von einer weitgehenden Inhaltsidentität spricht

Taeger

(Fn. 1), S. 181.

44

Aus diesem Grund hält

Raue

, NJW 2017, 1841, 1843, die Haftung nach dem ProdHG bei unsicherer Software für weniger bedeutsam.

45

Spindler

, NJW 2004, 3145, 3147.

46

So zu Recht

Raue

, NJW 2017, 1841, 1844.

47

Raue

, NJW 2017, 1841, 1844.

48

Dass eine öffentliche Warnung mitunter sogar kontraproduktiv ist, beschreibt

Raue

, NJW 2017, 1841, 1844.

49

Grundsätzlich zur Durchführung eines Rückrufs

Spindler

, NJW 2004, 3145, 3148.

50

Raue

, NJW 2017, 1841, 1844f.

51

R

aue

, NJW 2017, 1841, 1844, stellt fest, dass es bislang noch keinen Schadensersatzprozess auf der Grundlage deliktischer Verkehrspflichten für fehlerhafte IT-Systeme gegeben hat.

52

Marly

(Fn. 8), Rn. 1517, im Fall des LG Kleve, 29.6.1995 – 7 O 17/95, CR 1996, 292ff.

53

So der Zeitschriften-Verlag im Fall LG Kleve, 29.6.1995 – 7 O 17/95, CR 1996, 292ff.

54

So der Zeitschriften-Verlag im Fall LG Kleve, 29.6.1995 – 7 O 17/95, CR 1996, 292ff.

55

Zustimmend zu den hier genannten verschiedenen Formen der Warnung

Spindler

, NJW 2004, 3145, 3147.

56

Taeger

(Fn. 1), S. 257.

57

v. Westphalen

, NJW-CoR 6/1993, 23f.

58

BGH, 19.11.1991 – VI ZR 171/91, NJW 1992, 1039, 1040;

Spindler

, NJW 2004, 3145, 3148;

Specht-Riemenschneider

, MMR 2020, 73, 75.

59

Sprau

, in: Palandt (Fn. 13), § 823 Rn. 185;

Specht-Riemenschneider

, MMR 2020, 73, 75.

60

Sprau

, in: Palandt (Fn. 13), § 823 Rn. 182.

61

Taeger

(Fn. 1), S. 164f.

62

Taeger

(Fn. 1), S. 164f.

63

Wagner

, in: MüKo-BGB (Fn. 12), § 2 ProdHG Rn. 17.

64

Wagner

, in: MüKo-BGB (Fn. 12), § 2 ProdHG Rn. 18.

65

A. A.

Förster

, in: BeckOK BGB, 53. Edition, 1.2.2020, § 2 ProdHaftG Rn. 24; wie hier wohl

Wagner

, in: MüKo-BGB (Fn. 12), § 2 ProdHG Rn. 18.

66

Wobei anzumerken wäre, dass auch

Remarque

seinen Titel in Anlehnung an fremde Texte (die Bemerkungen in den Heeresberichten des 1. Weltkriegs) fand.

Over-the-Air-Updates bei vernetzten Fahrzeugen – Pflicht zur Durchführung und Pflicht zur Duldung

Jan Geert Meents

I.Einleitung1

Der Begriff „Connected Cars“ ist seit einigen Jahren in aller Munde; allgegenwärtig ist die Diskussion um die industrieweite Entwicklung hin zum autonomen Fahren. Während aber der vollautomatisierte Autopilot in Europa jedenfalls aus regulatorischen Gründen noch Teil eines Zukunftsszenarios bleibt, ist die Konnektivität im Allgemeinen in der Automobilbranche schon lange Realität: Im Jahr 2019 waren knapp ein Fünftel aller in Deutschland verkauften Neuwagen mit dem Internet verbunden.2 Als mit dem Internet verbundene Gegenstände zählen damit diese Kraftfahrzeuge gemeinsam mit vielen weiteren Alltagsgegenständen – vom intelligenten Kühlschrank bis hin zur Smartwatch – zu den Bestandteilen des ebenfalls viel diskutierten „Internet of Things“. Fast bedeutsamer ist aber die Klassifizierung der vernetzten Fahrzeuge als sog. „Embedded Systems“, also als in einen technischen Kontext eingebettete elektronische Systeme.3 Wesentlicher Bestandteil eines solchen Gegenstandes ist die integrierte Software („Embedded Software“4).

Wie jede andere Software auch, benötigt die in Autos integrierte Software gelegentlich Updates. Zum einen kann sie als Teil des Fahrzeugs mangelhaft und damit Gegenstand von Mängelgewährleistungsansprüchen des Käufers gem. §§ 434, 437ff. BGB sein. Zum anderen können sich auch in einer (weitestgehend5) fehlerfrei programmierten Software nachträglich Sicherheitslücken6 auftun, die durch entsprechende Updates (sog. „Patches“) geschlossen werden müssen. Daneben können Softwarehersteller aber auch ein rein wirtschaftliches Interesse an der ständigen Weiterentwicklung bereits in Umlauf gebrachter Software haben, beispielsweise um die Kunden durch verbesserte Leistung an das Produkt und die Marke zu binden.