Verschuldensunabhängige Haftung bei verlorenen Daten?

Das Produkthaftungsrecht wird gerade von Brüssel aus novelliert: Software ist künftig ein Produkt. Softwareentwickler haften für Fehler der Software verschuldensunabhängig. Neu aufgenommen im Produkthaftungsrecht wird dabei auch die Haftung für verlorene oder zerstörte Daten. Wir haben uns angesehen, was dies genau bedeutet.

Zur Ausweitung des Produkthaftungsrechts auf „Software“ generell lesen Sie bitte unseren Blogbeitrag:

Wer infolge eines fehlerhaften Produktes Daten verliert bzw. diese beschädigt werden, soll künftig auch dafür Schadensersatz verlangen können. Das besagt der Entwurf der neuen Produkthaftungsrichtlinie. Dies gilt aber nur für rein privat genutzte Daten. Die Begründung: wenn auch beruflich genutzte Daten erfasst wären, entstünden zu viele Rechtsstreitigkeiten. Der aktuelle Meinungsstand hierzu ist kritisch:

Der aktuellste Text der neuen Produkthaftungsrichtlinie (ProdHaftRL-E: noch ist es ein Entwurf, über den aber schon eine weitestgehende politische Einigung erzielt wurde) verschärft die Haftung von Herstellern für fehlerhafte Produkte. Neben einem erweiterten Adressatenkreis, der ausdrücklichen Einbeziehung von Software als „Produkt“ und Beweislasterleichterungen für Anspruchsteller (näheres dazu siehe hier) wird auch die Reihe der ersatzfähigen Schäden ergänzt.

Gem. Art. 5a Abs. 1 lit. c ProdHaftRL-E wird auch der Verlust und die Beschädigung von Daten zu einem nach Produkthaftungsrecht ersatzfähigem Schaden. Beispielhaft genannt wird die Löschung von Dokumenten von einer Festplatte (Erwgr. 16). Hier kann u.U. auch für Privatpersonen ein relevanter Schaden entstehen, zumal Daten einen immer größeren (immateriellen) Wert für ihre Inhaber bekommen. Ein Schaden entsteht trotz Löschung oder Beschädigung nicht, wenn die Daten ohne anfallende Kosten zB anhand eines Back-ups wiederhergestellt werden können (Erwgr. 16).

Kurz zur Einordnung: Das Produkthaftungsrecht etabliert eine strenge, verschuldensunabhängige Haftung der Hersteller. Um übermäßige Belastungen zu vermeiden, wird danach aber nur für bestimmte, besonders gewichtige Schäden gehaftet.

Beruflich genutzte Daten nicht erfasst

Einschränkend sollen nur solche Daten vom Anwendungsbereich des Produkthaftungsrechts erfasst sein, die nicht für berufliche Zwecke genutzt werden. Ausgenommen sind auch Daten, die teilweise beruflich verwendet werden (Erwgr. 17a). Somit kann nur für rein privat genutzte Daten Schadensersatz verlangt werden.

Im ersten Entwurf der ProdHaftRL von September 2022 hieß es noch, dass nur die Daten ausgenommen werden sollen, die „nicht ausschließlich“ für berufliche Zwecke genutzt werden. Danach wäre also ein produkthaftungsrechtlicher Schadensersatz für den Verlust oder die Beschädigung von Daten auch dann noch möglich gewesen, wenn die Daten zu privaten und zu beruflichen Zwecken genutzt werden. Begründet wird das mit dem verbraucherschützenden Zweck der Richtlinie, nur natürlichen Personen Schadensersatz zu gewährleisten (Erwgr. 17a).

Kritik an Einschränkung

Die Einschränkung der durch den ProdHaftRL-E geschützten Daten wird kritisiert. Es kommt in diesem Zusammenhang die Frage auf, ob nicht gerade beruflich verwendete Daten bzw. deren Verlust oder Beschädigung ein viel höheres Potential haben, Vermögensschäden zu verursachen als privat genutzte (Adelberg, ZfPC 2023, 59 (61)). Werden gewerblich genutzte Daten geschädigt, ist deren Wiederherstellung zumeist unerlässlich, um die Geschäfte fortführen zu können. Dies bedeutet aber gleichzeitig einen zeitlichen und finanziellen Aufwand sowie ggf. Umsatzeinbußen für das Unternehmen. Beim Verlust privater Fotos oder Dokumente muss die betroffene Person zwar auch Einbußen machen. Dies hat jedoch in der Regel „nur“ ideellen Wert (vgl. Wagner, JZ 2023, 1 (7)).

Laut Entwurf soll verhindert werden, dass es zu einer ausufernden Zahl an Rechtsstreitigkeiten über Schadensersatz für Verluste oder Beschädigungen von Daten kommt (Erwgr. 17a). Das stimmt natürlich, wenn nur noch Streitigkeiten über rein privat genutzte Daten erfasst werden. Dennoch gibt es bereits pragmatische Einwände. Wie soll der Wert von privaten Daten überhaupt bemessen werden? Wie hoch darf das Schadensersatzverlangen sein? Kann der Geschädigte schlussendlich Ersatz für die Wiederherstellung oder Wiederbeschaffung der Daten verlangen? (Kapoor/Klindt, BB 2023, 67 (70))

Auffällig ist auch, dass nach deutschem Schadensersatzrecht eine gesetzliche Grundlage für den Ersatz eines immateriellen Schadens bestehen muss (§ 253 BGB). Eine solche Norm zum Ersatz eines durch Datenverlust entstandenen immateriellen Schadens existiert (bisher) nicht. Vielmehr überlässt der ProdHaftRL-E den Mitgliedstaaten die Regelungen hinsichtlich der Höhe des zu zahlenden Ersatzes bei geschädigten Daten (Erwgr.18). (Wagner, JZ 2023, 1 (7)).

Zudem werden in den Schutzbereich der Richtlinie auch Gegenstände mit einbezogen, die nicht ausschließlich beruflichen Zwecken dienen – also ein teilweiser Bezug zur gewerblichen Verwendung nicht den Schadensersatz nach Produkthaftungsrecht ausschließt. Warum hier zu geschädigten Daten unterschieden wird, geht nicht eindeutig aus dem ProdHaftRL-E hervor. Sachen sowie auch Daten werden heute eben oftmals privat- sowie gewerblich genutzt, sodass diese klare Trennung nicht ganz nachvollziehbar ist. (Wagner/Rutloff/Römer, CCZ 2023, 109)

Ausblick

Unterm Strich passt die Beschränkung der Haftung auf rein privat genutzte Daten zur generellen Verschärfung der Produkthaftung. Die Haftung ist weitreichend. Zu recht sollte sie daher auf enge Anwendungsfälle begrenzt werden. In der Praxis wird allerdings die Schadensberechnung und der Schadensnachweis bei verlorenen oder zerstörten privaten Daten neue Herausforderungen mit sich bringen.

Für beruflich genutzte Daten sollte die Frage des Schadensersatzes bei Verlust oder Zerstörung wie auch bisher vertraglich geregelt werden. Hier unterstützen wir gerne – melden Sie sich einfach unter kristina.schreiber@loschelder.de (siehe auch hier)!