Ziel der EU-Richtlinie und damit auch des sie umsetzenden nationalen Gesetzes ist die Harmonisierung von Teilbereichen des mitgliedsstaatlichen Vertragsrechts betreffend Verträge über digitale Inhalte und digitale Dienstleistungen. Mit der in diesem Zusammenhang vorgesehenen Vollharmonisierung dürfen die Mitgliedsstaaten weder strengere noch weniger strenge Vorschriften einführen, soweit dies nicht durch die Richtlinienbestimmungen ausdrücklich gestattet ist.
Rechtspolitischer Hintergrund sowohl von EU-Richtlinie als auch des deutschen Gesetzentwurfs ist die immer stärkere Durchdringung des Verbraucheralltags mit digitalen Inhalten und digitalen Dienstleistungen. Hieraus resultiert ein besonderer Schutzbedarf, der sich insbesondere auch auf die IT-Sicherheit von Produkten bezieht. Deutlich wurde dies in der Vergangenheit nicht nur durch regelmäßig wiederkehrende „Data Breaches“, sondern ebenfalls durch die Forderung nach „Security by Design“ und „digitaler Souveränität“. In systematischer Hinsicht wird deshalb eine Anpassung der verbraucherschützenden Vorschriften im BGB um digitale Aspekte in den §§ 327 ff. BGB-E vorgeschlagen. Hierzu gehört zunächst die Definition von digitalen Daten und digitalen Dienstleistungen. Letztere sind solche, die dem Verbraucher die Erstellung, Verarbeitung oder die Speicherung von Daten in digitaler Form oder den Zugang zu solchen Daten ermöglichen, oder die gemeinsame Nutzung der vom Verbraucher oder von anderen Nutzern der entsprechenden Dienstleistung in digitaler Form hochgeladenen oder erstellten Daten oder sonstige Interaktionen mit diesen Daten ermöglichen. Die weit gefassten Regelungen zum Anwendungsbereich sehen überdies verschiedene Erweiterungen und Einschränkungen vor. Die verbraucherschützenden Vorschriften sind auch auf Sachen anzuwenden, die digitale Produkte enthalten oder mit ihnen verbunden sind. § 327b BGB-E hat die Bereitstellung von digitalen Produkten zum Gegenstand, § 327c BGB-E regelt die Rechte bei einer unterbliebenen Bereitstellung.
Mit Blick auf die IT-Sicherheit sind vor allem die §§ 327d ff. BGB-E von Interesse. Gemäß § 327d BGB-E ist das digitale Produkt vom Unternehmer im Rahmen eines Verbrauchervertrags insbesondere frei von Produktmängeln bereitzustellen. Der Produktmangel wird in § 327e BGB-E definiert, hierbei wird zwischen subjektiven und objektiven Anforderungen unterschieden. Subjektive Anforderungen beziehen sich vornehmlich auf die vertraglich vereinbarte Beschaffenheit und auf die nach dem Vertrag vorausgesetzte Verwendung. Die objektiven Anforderungen, die an das Produkt anzulegen sind, sind unter anderem dann erfüllt, wenn es eine Beschaffenheit aufweist, die bei digitalen Produkten gleicher Art üblich ist und die der Verbraucher erwarten kann. Ausdrücklich findet hierbei auch die Sicherheit des Produkts Erwähnung im Gesetzeswortlaut. Einbezogen werden dabei auch öffentliche Äußerungen des Unternehmers. § 327f BGB-E bestimmt darüber hinaus, dass der Unternehmer sicherzustellen hat, dass Aktualisierungen bereitzustellen sind, die zur Aufrechterhaltung der Vertragsmäßigkeit des Produkts erforderlich sind. Auch hierzu gehören explizit Sicherheitsaktualisierungen. Der maßgebliche Zeitraum für diese Updatepflicht richtet sich entweder nach den getroffenen vertraglichen Festlegungen oder nach dem Zeitraum, den der Verbraucher aufgrund der Art und des Zwecks des digitalen Produkts und unter Berücksichtigung der Umstände und Art des Vertrags erwarten kann.
Falls das digitale Produkt mangelhaft ist, stehen dem Verbraucher gem. §§ 327i ff. BGB-E umfassende, schon aus dem BGB bekannte Mängelrechte zu, darüber hinaus enthält § 327k BGB-E Regelungen zur Beweislastumkehr, da es dem Verbraucher im Regelfall kaum möglich sein dürfte, nachzuweisen, dass das digitale Produkt schon bei seiner Bereitstellung mangelhaft gewesen ist. Die §§ 327t f. BGB-E enthalten Rückgriffsregelungen des Unternehmers gegenüber seinem Vertragspartner, sollten für digitale Produkte Mängelrechte geltend gemacht werden. Damit findet in bestimmten Teilbereichen der Regelung auch eine Übertragung vom B2C- auf das B2B-Segment statt.
Eine weitere zentrale Vorschrift betrifft § 327h BGB-E, der es dem Unternehmer ermöglicht, abweichende Vereinbarungen über Produktmerkmale zu treffen. Demnach ist eine Abweichung von objektiven Anforderungen möglich, wenn der Verbraucher vor der Abgabe seiner Vertragserklärung eigens davon in Kenntnis gesetzt wurde, dass ein bestimmtes Merkmal des digitalen Produkts von diesen objektiven Anforderungen abweicht, und diese Abweichung im Vertrag mit dem Verbraucher ausdrücklich und gesondert vereinbart wurde. Durch diese Abweichungsregelung wird eine signifikante Ausnahme vom Anwendungsbereich auch der IT-sicherheitsbezogenen Vorgaben des Gesetzentwurfs zum Verbraucherschutz geschaffen – ähnliches ist aber schon durch das europäische Recht vorgesehen.