Konzept eines Smart Home und Lichtsteuerung mit mobilen Geräten Smart Home
rh2010 / stock.adobe.com
05.11.2020 Fachinformation

Neuer Referentenentwurf des BMJV zur Umsetzung der EU DID-Richtlinie

Am 3. November 2020 hat das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) den Referentenentwurf eines Gesetzes zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen zur Stellungnahme veröffentlicht, der inhaltlich auf den Anforderungen der EU-Richtlinie 2019/770 des Europäischen Parlaments und des Rates vom 20. Mai 2019 basiert. Die EU-Richtlinie verpflichtet die Mitgliedsstaaten, ihren Regelungsgehalt bis zum 1. Juli 2021 in das jeweilige nationalstaatliche Recht zu übertragen. Die mitgliedsstaatlichen Umsetzungsvorschriften sind ab dem 1. Januar 2022 anzuwenden. Zu beachten ist, dass die im gegenwärtigen Entwurf vorgeschlagenen Regelungen noch der abschließenden Ressortabstimmung unterliegen. Die Frist zur Einreichung von Stellungnahmen beim BMJV endet am 30. November 2020.


Kontakt

Dr. Dennis-Kenji Kipker

Ziel der EU-Richtlinie und damit auch des sie umsetzenden nationalen Gesetzes ist die Harmonisierung von Teilbereichen des mitgliedsstaatlichen Vertragsrechts betreffend Verträge über digitale Inhalte und digitale Dienstleistungen. Mit der in diesem Zusammenhang vorgesehenen Vollharmonisierung dürfen die Mitgliedsstaaten weder strengere noch weniger strenge Vorschriften einführen, soweit dies nicht durch die Richtlinienbestimmungen ausdrücklich gestattet ist.

Rechtspolitischer Hintergrund sowohl von EU-Richtlinie als auch des deutschen Gesetzentwurfs ist die immer stärkere Durchdringung des Verbraucheralltags mit digitalen Inhalten und digitalen Dienstleistungen. Hieraus resultiert ein besonderer Schutzbedarf, der sich insbesondere auch auf die IT-Sicherheit von Produkten bezieht. Deutlich wurde dies in der Vergangenheit nicht nur durch regelmäßig wiederkehrende „Data Breaches“, sondern ebenfalls durch die Forderung nach „Security by Design“ und „digitaler Souveränität“. In systematischer Hinsicht wird deshalb eine Anpassung der verbraucherschützenden Vorschriften im BGB um digitale Aspekte in den §§ 327 ff. BGB-E vorgeschlagen. Hierzu gehört zunächst die Definition von digitalen Daten und digitalen Dienstleistungen. Letztere sind solche, die dem Verbraucher die Erstellung, Verarbeitung oder die Speicherung von Daten in digitaler Form oder den Zugang zu solchen Daten ermöglichen, oder die gemeinsame Nutzung der vom Verbraucher oder von anderen Nutzern der entsprechenden Dienstleistung in digitaler Form hochgeladenen oder erstellten Daten oder sonstige Interaktionen mit diesen Daten ermöglichen. Die weit gefassten Regelungen zum Anwendungsbereich sehen überdies verschiedene Erweiterungen und Einschränkungen vor. Die verbraucherschützenden Vorschriften sind auch auf Sachen anzuwenden, die digitale Produkte enthalten oder mit ihnen verbunden sind. § 327b BGB-E hat die Bereitstellung von digitalen Produkten zum Gegenstand, § 327c BGB-E regelt die Rechte bei einer unterbliebenen Bereitstellung.

Mit Blick auf die IT-Sicherheit sind vor allem die §§ 327d ff. BGB-E von Interesse. Gemäß § 327d BGB-E ist das digitale Produkt vom Unternehmer im Rahmen eines Verbrauchervertrags insbesondere frei von Produktmängeln bereitzustellen. Der Produktmangel wird in § 327e BGB-E definiert, hierbei wird zwischen subjektiven und objektiven Anforderungen unterschieden. Subjektive Anforderungen beziehen sich vornehmlich auf die vertraglich vereinbarte Beschaffenheit und auf die nach dem Vertrag vorausgesetzte Verwendung. Die objektiven Anforderungen, die an das Produkt anzulegen sind, sind unter anderem dann erfüllt, wenn es eine Beschaffenheit aufweist, die bei digitalen Produkten gleicher Art üblich ist und die der Verbraucher erwarten kann. Ausdrücklich findet hierbei auch die Sicherheit des Produkts Erwähnung im Gesetzeswortlaut. Einbezogen werden dabei auch öffentliche Äußerungen des Unternehmers. § 327f BGB-E bestimmt darüber hinaus, dass der Unternehmer sicherzustellen hat, dass Aktualisierungen bereitzustellen sind, die zur Aufrechterhaltung der Vertragsmäßigkeit des Produkts erforderlich sind. Auch hierzu gehören explizit Sicherheitsaktualisierungen. Der maßgebliche Zeitraum für diese Updatepflicht richtet sich entweder nach den getroffenen vertraglichen Festlegungen oder nach dem Zeitraum, den der Verbraucher aufgrund der Art und des Zwecks des digitalen Produkts und unter Berücksichtigung der Umstände und Art des Vertrags erwarten kann.

Falls das digitale Produkt mangelhaft ist, stehen dem Verbraucher gem. §§ 327i ff. BGB-E umfassende, schon aus dem BGB bekannte Mängelrechte zu, darüber hinaus enthält § 327k BGB-E Regelungen zur Beweislastumkehr, da es dem Verbraucher im Regelfall kaum möglich sein dürfte, nachzuweisen, dass das digitale Produkt schon bei seiner Bereitstellung mangelhaft gewesen ist. Die §§ 327t f. BGB-E enthalten Rückgriffsregelungen des Unternehmers gegenüber seinem Vertragspartner, sollten für digitale Produkte Mängelrechte geltend gemacht werden. Damit findet in bestimmten Teilbereichen der Regelung auch eine Übertragung vom B2C- auf das B2B-Segment statt.

Eine weitere zentrale Vorschrift betrifft § 327h BGB-E, der es dem Unternehmer ermöglicht, abweichende Vereinbarungen über Produktmerkmale zu treffen. Demnach ist eine Abweichung von objektiven Anforderungen möglich, wenn der Verbraucher vor der Abgabe seiner Vertragserklärung eigens davon in Kenntnis gesetzt wurde, dass ein bestimmtes Merkmal des digitalen Produkts von diesen objektiven Anforderungen abweicht, und diese Abweichung im Vertrag mit dem Verbraucher ausdrücklich und gesondert vereinbart wurde. Durch diese Abweichungsregelung wird eine signifikante Ausnahme vom Anwendungsbereich auch der IT-sicherheitsbezogenen Vorgaben des Gesetzentwurfs zum Verbraucherschutz geschaffen – ähnliches ist aber schon durch das europäische Recht vorgesehen.

Interessiert an Cyber Security und IT-Sicherheit?

Mann arbeitet am Laptop zum Thema IT-Sicherheit
putilov_denis / stock.adobe.com
29.07.2020 TOP

Der VDE engagiert sich auf vielfältige Weise für Cyber Security: Wir gestalten zum Beispiel mit CERT@VDE IT-Sicherheits-Prozesse für industrielle KMU und sorgen für Innovationstransfer aus Wissenschaft und Forschung in die Praxis und Märkte. Und wir stärken die deutsche Wirtschaft – vor allem den Mittelstand und Start-ups – auch im internationalen Wettbewerb.

Weitere Inhalte zum Thema IT-Sicherheit finden Sie auf unserer Themenseite Cyber Security.

Zur Themenseite Cyber Security