Stellen Sie sich vor, ein mittelständisches Unternehmen kauft für teures Geld eine Personalverwaltungssoftware – modern, funktional, vom etablierten Anbieter. Zwei Jahre später steht die Aufsichtsbehörde im Haus, weil sich Bewerberdaten nicht löschen lassen, jeder Sachbearbeiter sämtliche Personalakten einsehen kann und im Hintergrund Datenbestände schlummern, von denen niemand wusste. Das Bußgeld trifft nicht den Hersteller, sondern den Käufer. Genau hier liegt der wunde Punkt, an dem datenschutzfreundliche Technikgestaltung von einer abstrakten Programmieridee zum handfesten wirtschaftlichen Risiko wird – und an dem sich entscheidet, wer am Ende für die Versäumnisse haftet.

Eine Pflicht, die den Falschen trifft

Der Ausgangspunkt ist Artikel 25 DSGVO, der erstmals europaweit den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen verbindlich verankert hat. Die Norm verlagert die Anforderungen der Verordnung auf einen Zeitpunkt weit vor der eigentlichen Verarbeitung, nämlich in das Entwicklungsstadium der eingesetzten Systeme. Die Idee dahinter ist bestechend: Da die Rahmenbedingungen jeder Datenverarbeitung durch die verwendete Hard- und Software vorgegeben werden, muss wirksamer Datenschutz bereits bei der Konzeption ansetzen, nicht erst beim Betrieb. Pseudonymisierung, Verschlüsselung, Datenminimierung und steuerbare Voreinstellungen sind die klassischen Bausteine, mit denen dieses Ziel erreicht werden soll.

Das eigentliche Problem offenbart sich beim Blick auf den Adressaten. Artikel 25 DSGVO richtet sich nach seinem eindeutigen Wortlaut allein an den Verantwortlichen – also an denjenigen, der über Zwecke und Mittel der Verarbeitung entscheidet. Hersteller und Anbieter von Software werden nicht erfasst; eine im Gesetzgebungsverfahren diskutierte unmittelbare Produzentenhaftung hat es gerade nicht in die Verordnung geschafft. Erwägungsgrund 78 ermutigt die Hersteller lediglich, das Datenschutzrecht bei der Produktgestaltung zu berücksichtigen, verpflichtet sie aber nicht. Daraus folgt ein bemerkenswertes Paradoxon: Verpflichtet ist, wer die Software einkauft und einsetzt, während derjenige, der allein über ihre datenschutzgerechte Architektur entscheiden kann, rechtlich außen vor bleibt.

Die asymmetrische Verantwortung und ihr Haftungsrisiko

Diese asymmetrische Verantwortungsverteilung ist mehr als ein dogmatischer Schönheitsfehler. Wer als Verantwortlicher für seine Verarbeitung auf zugekaufte Standardsysteme, Cloud-Dienste oder SaaS-Angebote zurückgreift, haftet vollumfänglich nach Artikel 25 DSGVO und ist Bußgeldern nach Artikel 83 Absatz 4 ausgesetzt – bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Das gilt selbst dort, wo die maßgeblichen Weichen längst im Entwicklungsprozess des Herstellers gestellt wurden, also weit außerhalb des Einfluss- und Kontrollbereichs des Käufers. Der Verantwortliche soll prüfen, ob ein Drittsystem den Anforderungen genügt, kann das aber in der Praxis kaum verlässlich beurteilen.

Verschärft wird die Lage durch die realen Marktverhältnisse. Das gesetzliche Modell setzt darauf, dass die Pflicht des Verantwortlichen indirekt auf die Hersteller durchschlägt – getreu der Annahme, am Markt könnten nur noch DSGVO-konforme Produkte bestehen. Dieser Mechanismus funktioniert aber nur, solange der Verantwortliche der stärkere Marktteilnehmer ist und seine Anforderungen durchsetzen kann. In oligopolen oder monopolartigen Strukturen, erst recht bei Anbietern aus datenschutzfernen Rechtskulturen, stößt das normative Modell an seine Grenzen. Die Debatte um die Sicherheit chinesischer Netztechnik führt anschaulich vor Augen, wie wenig Verhandlungsmacht ein Verantwortlicher mitunter besitzt.

Vom öffentlichen Datenschutzrecht ins Zivilrecht

Wo das öffentliche Recht den Hersteller verschont, verlagert sich der Konflikt zwangsläufig ins private Vertragsrecht – und hier wird es für Softwareanbieter ernst. Denn faktisch ist ihre Ware nicht verkäuflich, wenn der Käufer sie nicht datenschutzkonform einsetzen kann, ohne unmittelbar gegen seine eigenen Pflichten zu verstoßen. Die entscheidende Weichenstellung lautet daher: Ist eine nicht datenschutzkonform nutzbare Software mangelhaft?

Die überzeugende Antwort lautet in vielen Konstellationen: ja. Eignet sich eine Software nicht für die vertraglich vorausgesetzte Verwendung, liegt ein Sachmangel vor – und anerkannt ist, dass die fehlende Eignung zur Einhaltung einschlägiger Gesetze einen solchen Mangel begründet. Hat der Käufer erkennbar gemacht, dass er personenbezogene Daten verarbeiten will, oder ergibt sich das aus den Umständen – etwa bei Arzt-, Apotheken- oder Schulsoftware –, kann er mit einer Software, die seine Datenschutzpflichten vereitelt, schlicht nicht arbeiten. Schon das Vorsehen von Nutzerprofilen oder personenbezogenen Änderungsprotokollen genügt regelmäßig für den nötigen Datenschutzbezug. Bei Miet- und SaaS-Modellen verschärft sich das, weil hier eine fortlaufende Mangelhaftung des Anbieters besteht: Fehlt etwa ein praktikables Löschkonzept und müssen Daten mühsam von Hand entfernt werden, spricht viel für einen Mietmangel.

Hinzugetreten ist seit Anfang 2022 das neue Mängelrecht für digitale Produkte. Über die Umsetzung der Digitale-Inhalte-Richtlinie in den §§ 327 ff. BGB sowie die Neufassung von § 434 BGB werden Anbieter im Verbrauchergeschäft erstmals unmittelbar auf konkrete, technisch orientierte Eigenschaften verpflichtet, die zugleich Anforderungen der DSGVO sind. Die Mangelfreiheit setzt nun objektive Anforderungen an Funktionalität, Kontinuität und vor allem Sicherheit voraus, und die neue Aktualisierungspflicht erstreckt die Leistungspflicht weit über den Gefahrübergang hinaus. Erwägungsgrund 48 der Richtlinie nennt fehlende Datenminimierung, mangelnden Datenschutz durch Technik oder unwirksame Verschlüsselung ausdrücklich als mögliche Mängel. Über die Lieferkette strahlt dieser Druck auf das gesamte B2B-Geschäft zurück – die Hintertür, durch die der Hersteller doch noch in die Pflicht genommen wird.

Was die Technik zur Mangelfrage beiträgt

Juristische Mangelbegriffe und technische Anforderungsprofile greifen dabei enger ineinander, als es auf den ersten Blick scheint. Aus technischer Sicht ist die funktionale Eignung – also die Fähigkeit des Produkts, die vereinbarte Aufgabe zu lösen – eine Muss-Anforderung; ihr Fehlen bedeutet die Nichterfüllung der geschuldeten Leistung. Die Informationssicherheit, zu der die Umsetzung von Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen mit Verschlüsselung und Zugriffskonzepten zählt, gehört ebenfalls zu diesen unabdingbaren Anforderungen. Diese Cluster konkurrieren teils miteinander: Mehr Datensicherheit durch umfangreiche Protokollierung kann dem Gebot der Datensparsamkeit zuwiderlaufen, während Verschlüsselung beide Ziele zugleich fördert. Solche Zielkonflikte lassen sich nur durch eine risikoorientierte Abwägung im Einzelfall auflösen.

Bemerkenswert ist die Eigendynamik, die das neue Mängelrecht entfaltet. Der Maßstab der „üblichen Beschaffenheit, die der Verbraucher erwarten kann“, hebt den Mindeststandard fortlaufend an: Sobald die Mehrheit vergleichbarer Produkte eine bestimmte Datenschutzfunktion aufweist, wird diese zum objektiven Kriterium, das alle anderen Produkte erfüllen müssen, um nicht als mangelhaft zu gelten. Es entsteht eine Aufwärtsspirale, die Produkte am unteren Ende der Skala vom Markt verdrängt und die Markteintrittsbarrieren erhöht. Datenschutzfreundliche Technikgestaltung ist damit kein optionales Verkaufsargument mehr, sondern eine Eigenschaft, deren Fehlen den wirtschaftlichen Wert des Produkts unmittelbar untergräbt.

Aufklärungspflicht, Mangelkenntnis und die Bußgeldfrage

In der Vertragspraxis verschieben sich die Risiken sodann über Detailfragen, die schnell über Erfolg oder Misserfolg eines Anspruchs entscheiden. Eine vorvertragliche Aufklärungspflicht des Herstellers ist dem deutschen Zivilrecht zwar nicht generell eigen, kann sich aber aus einem Informationsgefälle ergeben – und ein solches Gefälle über die technischen Funktionalitäten der Software besteht häufig zugunsten des Herstellers. Heikel ist die Frage der Mangelkenntnis: Weiß der Käufer von einer datenschutzwidrigen Funktion, verliert er seine Gewährleistungsrechte nicht schon dadurch, denn nach der Rechtsprechung muss er auch die Konsequenz dieser Eigenschaft kennen, also wissen, dass er die Funktion so nicht einsetzen darf. Der bloße Hinweis auf eine Funktion entlastet den Anbieter daher nicht.

Die wirtschaftlich brisanteste Frage ist, ob der Hersteller dem Käufer auch dessen Bußgeld ersetzen muss. Strafen und Bußgelder sollen grundsätzlich den persönlich Verantwortlichen treffen, doch hat der Bundesgerichtshof in den Steuerberaterfällen eine Ausnahme zugelassen. Ob diese Linie auf den Softwarehersteller übertragbar ist, bleibt offen; in der Literatur wird die Überwälzung von Bußgeldern bei Ordnungswidrigkeiten teils für möglich gehalten. Wegen des vorrangigen Eigenverschuldens des Verantwortlichen, der primär selbst für die DSGVO-Einhaltung zu sorgen hat, dürfte ein solcher Anspruch jedenfalls erheblich nach § 254 BGB zu kürzen sein. Wer als Anbieter offensiv mit DSGVO-Konformität wirbt und eine Garantie abgibt, verschärft seine Haftung dramatisch, weil er dann verschuldensunabhängig und auch für zugekaufte Fremdleistungen einstehen muss.

Cybersicherheit als zweite Front

Parallel zur Datenschutzdimension wächst mit der europäischen Cybersicherheitsgesetzgebung eine zweite Anforderungsebene heran. Cyber Resilience Act, DORA und die NIS2-Vorgaben wollen IT-Sicherheit für digitale Produkte rechtlich erzwingen, stoßen dabei aber auf erhebliche Friktionen. Die Kritik trifft einen wahren Kern: Cybersicherheit ist stets eine Risikoabschätzung, und das perfekt abgesicherte Produkt gibt es nicht. Vorgaben, die digitale Produkte ohne jede bekannte Schwachstelle verlangen, gehen an der technischen Realität vorbei, weil Hersteller fortlaufend von neuen Lücken erfahren und risikobasiert priorisieren müssen. Der regulatorische Flickenteppich aus überlappenden Rechtsakten erschwert zudem jeden konsistenten Standardisierungsansatz. Treffend ist die Beobachtung, dass technische Sicherheitsanforderungen oft zielgerichteter über objektive Mangelbegriffe und Vertragsklauseln im Privatrecht geregelt werden können – womit sich der Kreis zum Mängelrecht schließt.

Wie sehr Sicherheitsmängel in haftungsrechtliche Sackgassen führen können, zeigt sich am Cyberangriff in der Lieferkette. Wird die IT eines Unternehmens durch eine Schwachstelle lahmgelegt, deren Ursache beim Vorlieferanten des eigenen Dienstleisters liegt, scheitert der Schadensersatz häufig an § 278 BGB: Der Warenhersteller ist nach der Rechtsprechung kein Erfüllungsgehilfe des Verkäufers, und auch bei Dienst- und Werkverträgen hängt die Zurechnung an feinen Nuancen der Vertragstypik. Das Ergebnis ist für die Beteiligten oft kontraintuitiv und kaum vorhersehbar. Abhilfe schaffen nur sorgfältig ausgehandelte Klauseln, die die Verschuldenszurechnung abweichend regeln, sowie korrespondierende Bestimmungen in den Beschaffungs- und Subunternehmerverträgen, die den Regress entlang der Kette sicherstellen.

Was in der Praxis zu tun ist

Aus dieser Gemengelage folgt für beide Marktseiten eine klare Handlungslinie. Der Verantwortliche sollte die asymmetrische Risikoverteilung aktiv durch Vertragsgestaltung ausgleichen: durch Beschaffenheitsvereinbarungen mit konkret beschriebenen Datenschutzfunktionen, Abnahmetests vor Lieferung, klare Verantwortungs- und Haftungsabgrenzungen, Informationspflichten über Änderungen des Stands der Technik sowie Freigabevorbehalte vor dem Wirksamwerden von Updates. Eine Gap-Analyse, die das konkrete Produkt an den eigenen DSGVO-Pflichten misst, ist für Anbieter wie Abnehmer unverzichtbar und sollte dokumentiert werden, um der Rechenschaftspflicht zu genügen. Typische Prüfsteine sind belastbare Löschroutinen, ein differenziertes Berechtigungs- und Rollenkonzept nach dem Need-to-know-Prinzip, Funktionen zur Anonymisierung, zur Auskunftserteilung nach Artikel 15 und zum Einwilligungsmanagement.

Softwarehersteller wiederum tun gut daran, die mittelbare Relevanz der DSGVO frühzeitig als Wettbewerbsfaktor zu begreifen, statt sie als fremde Pflicht abzutun. Wer Produkte liefert, mit denen der Kunde komfortabel datenschutzkonform arbeiten kann, sichert sich den Marktzugang gerade in den sensiblen Feldern von Arztpraxen, Krankenhäusern, Schulen und Pflegeeinrichtungen. Bei selbstlernenden Systemen gilt das in besonderem Maße, weil ein bei Gefahrübergang bereits angelegter Konformitätsmangel auch dann zur Haftung führen kann, wenn er sich erst später manifestiert – weshalb die Grenzen der DSGVO der Software gleichsam als Leitplanke einprogrammiert werden müssen.

Ausblick

Datenschutzfreundliche Technikgestaltung ist längst keine bloße Frage guter Programmierkunst mehr, sondern ein juristischer und ökonomischer Hebel, der über Bußgelder, Mängelrechte und Lieferkettenregresse wirkt. Die DSGVO adressiert zwar nur den Verantwortlichen, doch das Zivilrecht holt die Hersteller über den Mangelbegriff und das neue Recht der digitalen Produkte konsequent zurück ins Spiel. Wer Artikel 25 DSGVO als unverbindliche Empfehlung missversteht, verkennt die Wucht der Anschlussrisiken: Der Einkäufer riskiert empfindliche Sanktionen für fremde Konstruktionsfehler, der Anbieter eine Gewährleistungs- und Haftungslast, die sich durch vollmundige Garantieversprechen noch potenziert. Am Ende profitiert, wer das Thema vom abstrakten Prinzip in präzise vertragliche Pflichten und nachweisbare Produkteigenschaften übersetzt.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Aufgewachsen zwischen Strafakten und Quellcode ist Rechtsanwalt Jens Ferner Fachanwalt für Strafrecht und IT-Recht. Er verteidigt Mandanten in komplexen und sensiblen Strafverfahren, insbesondere an der Schnittstelle von Digitalisierung und Strafrecht mit klaren Spezialisierungen im Cybercrime, Wirtschaftsstrafrecht, Jugendstrafrecht und Sexualstrafrecht.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Illegales IPTV, Post von der Polizei 2026 – 10. Juni 2026
• Einziehung im Strafverfahren (2026) – 10. Juni 2026
• Vermögensarrest (2026) – 10. Juni 2026