Erwerb schafft Verantwortung
Blickpunkt Betreiberhaftung
Autor: Thomas Steinle, LL.M.,
Wer bei der Anwendung einer Software wann wofür verantwortlich gemacht werden kann – Nutzender oder Herstellender –, hängt in erster Linie von den individuellen Vereinbarungen ab. Grundsätzlich gilt aber: Wer eine Software erwirbt und sie anwendet, gilt als Betreiber und ist damit sowohl für die Nutzung als auch für die Verarbeitung der Daten verantwortlich, die mit dieser Nutzung einhergehen. Darunter fällt auch die technische Absicherung der Systeme – und hier überschneiden sich Betreiberhaftung und Datenschutzrecht.
Guter Vertrag schützt vor bösen Überraschungen
Fangen wir mit der Betreiberhaftung an: Beginnt diese zum Beispiel vor oder nach der Installation und Konfiguration? Grundsätzlich ist der Betreiber auch für die korrekte Einrichtung einer Software verantwortlich. Sie oder er kann aber einen Dritten oder den Herstellenden mit der Ausführung beauftragen, dann wird auch die Verantwortung und im Ernstfall die Haftung für eine korrekte Installation und/oder Einrichtung übertragen. Zu empfehlen ist eine ausdrückliche Regelung oder Vereinbarung, wenn der Softwarehersteller oder ein Dritter die Installation durchführen und hierfür auch verantwortlich sein soll.
Ein weiterer rechtlicher Dauerbrenner ist die Frage danach, ob ein Problem durch einen Softwaremangel oder einen Bedienfehler ausgelöst wurde. Resultiert also ein Ereignis aus einem technischen oder rechtlichen Mangel, der schon beim Erwerb der Software vorlag? Oder hat der Anwendende die Software falsch bedient? Oft sind diese Fragen nicht ganz einfach zu klären, denn auch hier kommt es darauf an, was vom Hersteller in der Funktionsbeschreibung oder gar in der Bewerbung des Produkts bei Vertragsschluss zugesichert wurde.
Thomas Steinle, LL.M.
Rechtsanwalt & Fachanwalt für IT-Recht,
externer Datenschutzbeauftragter
xDSB Datenschutz GmbH & Co. KG
Ein Softwaremangel liegt dann vor, wenn eine Software nicht der im Vertrag vereinbarten Beschaffenheit entspricht oder nicht eine solche Beschaffenheit aufweist, welche etwa bei vergleichbaren Produkten zu erwarten ist, oder dem üblichen Stand der Technik nicht entspricht. Nur in solchen Fällen geht die Verantwortung auf das herstellende Unternehmen über und es gilt das Gewährleistungsrecht.
Schwierig wird die Beurteilung der Verantwortung, wenn eine fehlerhafte Anwendung der Software durch den Betreiber auf eine unklare oder ungenaue Anwenderdokumentation des Herstellers zurückzuführen ist. Hier wird die Frage der Haftung immer vom jeweiligen Einzelfall abhängen. Grundsätzlich gilt bei einer Fachsoftware im Medizinbereich, dass gewisse technische und auch fachspezifische Grundkenntnisse beim Betreiber vorausgesetzt werden können, was sich auch bei der Frage um den notwendigen Detaillierungsgrad in einer Anwenderdokumentation niederschlagen kann.
Maßnahmen zum Datenschutz durch Betreiber
Bei der Anwendung von Software im Gesundheitswesen haben wir die Besonderheit, dass es um die Verarbeitung hochsensibler Daten geht, die vom Gesetzgeber als besonders schützenswert klassifiziert werden. Entsprechend hohe Anforderungen sind deshalb an den Schutz dieser Daten gestellt. Es wird erwartet, dass angemessene technische und organisatorische Maßnahmen ergriffen werden, um Datenschutzverletzungen zu verhindern. Das betrifft zum Beispiel auch die IT-Infrastruktur wie Server und Netzwerk-Technik. Insbesondere sollte das installierte Betriebssystem und der Schutz vor Malware dem aktuellen Stand der Technik entsprechen. Auch hier sind die Betreiber in der Verantwortung. Die Ergreifung dieser Maßnahmen ist auch deshalb wichtig, weil die zuständigen Datenschutzaufsichtsbehörden bei Datenschutzverstößen seit 2018 sehr hohe Strafen verhängen können. Darüber hinaus tendieren die Gerichte inzwischen zunehmend dazu, auch bereits bei geringeren Datenschutzverletzungen einen Schadensersatz zuzusprechen.
Im medizinischen Umfeld kommt als „Salz in der Suppe“ noch der § 203 StGB zur Verletzung von Privatgeheimnissen in Spiel. Berufliche Geheimnisträger wie z. B. Ärzte müssen dafür Sorge tragen, dass Gehilfen, mit denen sie Geheimnisse teilen, ebenfalls auf § 203 StGB in Ausübung ihrer Tätigkeit verpflichtet sind. Hier ist eine entsprechende vertragliche Absicherung gegenüber mitwirkenden Dienstleistern notwendig.
Der besonderen Verantwortung sollten Betreiber von Gesundheits-IT mit hoher Aufmerksamkeit und klugen Konzepten begegnen, ein Aussitzen oder Ausblenden der Thematik kann fatale Folgen haben.
* Pflichtfeld: Bitte füllen Sie alle mit * markierten Felder aus.
** Tracking Einwilligung: Ich bin damit einverstanden, dass die medavis GmbH bezogen auf den Newsletter mein Nutzugsverhalten auswerten darf (z.B. welche Inhalte angeklickt werden), um mir interessenbezogene Inhalte über den Newsletter anbieten zu können. Weitere Informationen finden Sie in unserer Datenschutzerklärung. Ich kann diese Einwilligung jederzeit mit Wirkung für die Zukunft per E-Mail an marketing@medavis.de oder über den einen Link in jeder E-Mail, die ich erhalte, widerrufen.
