I.
Einleitung ^
Die Digitalisierung führt aber auch zu neuen Haftungsfragen, die im weitesten Sinne meist einen Bezug zum Thema der Datensicherheit aufweisen, sich inhaltlich indessen ebenso auf neue Geschäftsmodelle auswirken. Dass die Prinzipien des Haftungsrechts, die zumindest in Kontinentaleuropa auf dem römischen Recht aufbauen, die neuen Herausforderungen nur schwer zu bewältigen vermögen, erscheint als offensichtlich. Weil digitale Geschäftsmodelle zudem global angeboten werden können, erweisen sich die unterschiedlichen Haftungskonzepte in den grossen Rechtskreisen (z.B. «civil law» und «common law») als nicht unproblematisch.
II.
Neue technologische Entwicklungen ^
Die wesentlichsten technologischen Entwicklungen kristallisieren sich derzeit im Internet of Things (IoT) und den sog. autonomen Systemen (Robotik) heraus; zudem stellen die datenschutzrechtlichen Anforderungen neue Haftungsfragen.4
1.
Internet of Things ^
Das Internet of Things als relativ neue, auf dem Internet aufgebaute Netzwerkstruktur ist ursprünglich für den Geschäftsverkehr konzipiert worden, erfasst aber mehr und mehr auch private Belange. Von grosser praktischer Bedeutung ist insoweit der Gesundheitssektor, der besonders datenintensiv, aber auch datensensitiv ist. Neuere Fitness-Applikationen5 haben bereits zu datenschutzrechtlichen Auseinandersetzungen geführt.6
- Die Fehlfunktion führt ggf. zu Datenverlusten oder zur widerrechtlichen Offenlegung von Daten; rechtlich steht dabei die Einhaltung des Datenschutz- und des Datensicherheitsrechts zur Diskussion.
- Die Fehlfunktion vermag zu physischen Schäden zu führen, etwa zur Explosion angeschlossener Geräte oder zur Beeinträchtigung von Drittprodukten (z.B. Verderben von Lebensmitteln im ausser Betrieb gesetzten Kühlschrank).
Die Vielzahl der (Markt-)Beteiligten in den IoT-Netzstrukturen (Anbieter von Hardware, Software, Wartung, Datenanalyse) erschwert angesichts der oft vorhandenen Abhängigkeiten das Auffinden des bzw. der Verantwortlichen. Beim explodierenden Kühlschrank kann es z.B. der Gerätehersteller, der Netzwerkbetreiber, der Entwickler des Softwareprogramms oder der sich falsch verhaltende Kunde sein. Die Haftungsordnung ist somit einem Mehrebenensystem ausgesetzt, wie sie dem traditionellen Verständnis noch kaum bekannt ist. Bipolare Rechtsverhältnisse treten in den Hintergrund und Verbundelemente zwischen mehreren Marktteilnehmern gewinnen an Bedeutung.
2.
Autonome Systeme ^
3.
Datensicherheitssensitive Märkte ^
III.
Schwächen des heutigen Haftungsrechts ^
1.
Vertragshaftung ^
Zur Diskussion gestellt hat die Europäische Kommission auch neue Regelungen zur Vertragskonformität, weil der Begriff der Schlechterfüllung nicht gut zu digitalen Vertragsinhalten passt.16 Zur Erreichung von Vertragskonformität ist eine genaue vertragliche Umschreibung des Vertragsinhalts bzw. des Zweckes, der mit dem Erwerb des digitalen Inhalts (Dateninformation) angestrebt wird, erforderlich. Der beabsichtigte Verwendungszweck ist hernach der Ausgangspunkt der Konformitätsbeurteilung. Nur im Falle einer ausreichenden Konkretisierung des Vertragsgegenstands lässt sich feststellen, ob der digitale Vertragsinhalt den Erwartungen des Abnehmers entspricht. Die Auslegung hat dabei subjektive und objektive Elemente in Betracht zu ziehen.
Weiter erweisen sich spezifische Regelungen zu den Rechtsbehelfen als notwendig.18 Ist der digitale Vertragsinhalt unbrauchbar und kommt es deshalb zu einer Vertragsaufhebung, ist eine Rückerstattung der Daten in einem standardisierten Format vorzunehmen. Weicht der digitale Vertragsinhalt nicht erheblich von der vertraglichen in Aussicht gestellten Qualität ab, kommt ggf. eine Kaufpreisminderung in Frage. Dennoch ist nicht zu übersehen, dass die quantitative Berechnung des Minderwerts eines digitalen Vertragsinhalts regelmässig Schwierigkeiten verursacht.
Die auf der Blockchain abgewickelten Smart Contracts stellen mit Bezug auf die Ausgestaltung von Rechtsbehelfen regelmässig neue Herausforderungen. Weil Intermediäre auf der Blockchain fehlen, muss der (selbst-ausführende) Programmcode einen Konfliktmechanismus vorsehen, damit im Falle einer Abweichung vom Leistungsprogramm eine Vertragsanpassung stattfinden kann.19 Über ein Orakel (Verbindung zur Offline-Welt) lässt sich z.B. die Mitwirkung einer Schlichtungs- oder Schiedsgerichtsstelle vorsehen. Die technischen Details für eine Bewältigung der Probleme, die im Falle einer fehlenden Vertragskonformität eintreten, sind erst in der Entwicklung begriffen. Wie Streitschlichtungsverfahren abzuwickeln sind, und welche Folgen sich für ein gescheitertes Vertragsverhältnis bzw. die Rechte und Pflichten der Vertragsparteien ergeben, bedarf noch der weiterführenden Klärung.
2.
Deliktshaftung ^
Die Deliktshaftung (Art. 41 OR) kommt im Falle der Verursachung eines voraussehbaren Schadens, gestützt auf ein absichtliches oder fahrlässiges Verhalten, zum Zuge. Regelmässig vorausgesetzt ist die Verletzung einer (standardisierten) Sorgfaltspflicht, doch besteht insoweit die Problematik, dass Anbieter verschiedener Elemente (Hardware, Software, usw.) unterschiedliche Anforderungen zu erfüllen haben (z.B. mit Blick auf die Datenbearbeitung und -aufbewahrung, die anwendbaren Applikationen oder die eingesetzten Apps und Sensoren).20
Im hochtechnologischen Kontext ist zudem die Besonderheit zu beachten, dass für den Anbieter eines Produkts oder einer Dienstleistung oft nur schwer abschätzbar ist, welche Dritte durch eine Fehlfunktion geschädigt werden könnten. Die Einschätzung des Risikobereichs gestützt auf die übliche Sorgfaltspflicht erweist sich somit als sehr komplex. Diese Beurteilung trifft für IoT-Produkte und autonome Systeme gleichermassen zu. Die Hauptschwierigkeit im Vergleich zu traditionellen Rechtsgeschäften liegt somit in der angesprochenen (Rz. 8) komplexen Mehrebenenstruktur, die sich situativ ändern kann und für die geschädigte Person oft auch nicht klar durchschaubar ist.21
3.1.
Produktehaftung ^
Gestützt auf die Richtlinie 85/347 kennen die Länder der EU seit den späten 80er Jahren gesetzliche Vorgaben zur Produktehaftung.23 Die Schweiz ist mit dem Produktehaftpflichtgesetz (PrHG; SR 221.112.944) von 1993 gefolgt. Bei der Produktehaftung handelt es sich um eine verschuldensunabhängige Kausalhaftung, die auf die üblichen Sicherheitserwartungen abstellt.24
3.2.
Produktesicherheitshaftung ^
4.1.
Providerhaftung ^
4.2.
Datenschutzhaftung ^
Die Einhaltung dieser Pflichten ist mit v.a. in der EU hohen, wenn zwar gestützt auf unterschiedliche Faktoren zu berechnenden, Bussen strafbewehrt (Art. 83 DSGVO; Art. 54/55 E-DSG). Die Bussen sollen einen wirksamen Beitrag dazu leisten, dass die Datenbearbeiter künftig die datenschutzrechtlichen Pflichten ernst nehmen; wie im Wettbewerbsrecht gehen die entsprechenden Geldleistungen aber an den Staat, nicht an die von einem Rechtsverstoss betroffenen Personen.
4.3.
Netzwerkinfrastrukturhaftung ^
Im Jahre 2016 hat die EU die «Network and Information Security»-Richtlinie 2016/1148 erlassen.37 Diese bis 2018 umzusetzende Richtlinie sieht vor, dass eine ganze Reihe von Massnahmen zu treffen ist, welche die Sicherheit der Netzwerkinfrastrukturen verbessern, vor allem mit Blick auf Störungsanfälligkeiten als auch mit Blick auf Attacken verschiedenster Art durch Dritte (Cybersicherheit). Zwar sind die ursprünglich vorgeschlagenen Vorgaben der EU-Kommission in der Endfassung teilweise etwas abgeschwächt worden, doch ist nach Verankerung der Grundsätze im nationalen Recht doch mit einem verbesserten Cybersicherheitsniveau zu rechnen.38
Die fernmelderechtlichen Rahmenbedingungen in der Schweiz gehen wesentlich weniger weit als die «Network and Information Security»-Richtlinie; aus diesem Grunde stellt sich für den Gesetzgeber die Frage, inwieweit die Grundsätze im schweizerischen Recht autonom nachzuvollziehen sind. Die im Moment in Überarbeitung sich befindende Cybersecurity-Strategie des Bundes wäre ein geeigneter Anlass, auch spezifische regulatorische Handlungsanforderungen mit Bezug auf eine Netzwerkinfrastrukturhaftung in Betracht zu ziehen.
IV.
Neue Haftungskonzepte ^
1.
Sorgfaltspflichten und Verantwortlichkeitszuordnung ^
2.
Risikomanagement-Modelle ^
3.
Freiwillige und zwingende Versicherungslösungen ^
V.
Ausblick ^
Rolf H. Weber, em. Professor für Wirtschaftsrecht an der Universität Zürich und Rechtsanwalt in Zürich (Bratschi Wiederkehr Buob AG).
- 1 European Commission, A Digital Single Market Strategy for Europe, Communication of 6 May 2015, COM (2015) 192 final.
- 2 Rolf H. Weber, Competitiveness and Innovation in the Digital Single Market, European Cybersecurity Journal 2006, 72 ff.
- 3 European Commission, Buidling a European Data Economy, Communication of 10 January 2017, COM (2017) 9 final.
- 4 Rolf H. Weber, Liability in the Internet of Things, erscheint in Journal of European Consumer and Market Law 2017, Heft 5 (Oktober 2017); weitere Hinweise auf diesen Beitrag unterbleiben hernach.
- 5 Vgl. etwa fitbit, https://www.fitbit.com/de (alle Websites zuletzt besucht am 7. September 2017), or Google NEST, https://nest.com.
- 6 College Bescherming Persoonsgegevens, An Investigation Nike+ Running App, 2015, https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/conclusions_dpa_investigation_nike_running_app.pdf; see also Nike+, http://www.nikeplus.com.br/.
- 7 Vgl. schon Rolf H. Weber/Romana Weber, Internet of Things, Zürich 2010, 64 f.
- 8 Ausführlich Melinda Florina Lohmann/Markus Müller-Chen, Selbstlernende Fahrzeuge – eine Haftungsanalyse, SZW 2017, 48 ff.
- 9 Zu den technologischen Aspekten vgl. Arun K. Ramakrishnan/Davy Preuveneers/Yolanda Berbers, Enabling self-learning in dynamic and open IoT environments, Procedia Computer Science 32 (2014), 207 ff.; vgl. auch die verschiedenen Beiträge im Sonderheft «Roboterrecht», AJP 2017, 135 ff.
- 10 Vgl. auch Lohmann/Müller-Chen (Fn. 8), 50 ff.
- 11 Rolf H. Weber/Dominic N. Staiger, New Liabilty Patterns in the Digital Era, in: T. Synodinou/Ph. Jongleux/Chr. Marcou/Th. Prastitou-Merdi (eds.), EU Internet Law, Regulation and Enforcement, Berlin 2017, Kap. 9 (erscheint im September 2017); weitere Hinweise auf diesen Beitrag unterbleiben hernach.
- 12 Vgl. auch Andrea Bertolini, Robots as Products: The Case for a Realistic Analysis of Robotic Applications and Liability Rules, LIT 5/2 (2013), 217 ff.
- 13 Vgl. Rolf H. Weber/Dominic N. Staiger, Cloud Computing: A cluster of complex liability issues, Web JCLI 20/1 (2014), 1 ff.
- 14 Ausführlich dazu Rolf H. Weber/Annette Willi, IT-Sicherheit und Recht, Zürich 2006, 68 ff.
- 15 Richtlinienentwurf zu den Contracts for the Supply of Digital Content, COM (2015) 635 final.
- 16 Vgl. Aurelia Colombi Ciacchi/Esther van Schagen, Conformity under the Draft Digital Content Directive: Regulatory Challenges and Gaps, in: R. Schulze/D. Staudenmayer/S. Lohsse (eds.), Contracts for the Supply of Digital Content: Regulatory Challenges and Gaps, Baden-Baden 2017, 99 ff.
- 17 Vgl. Rolf H. Weber, Data Protection in the Termination of Contract, in: Schulze/Staudenmayer/Lohsse (Fn. 16), 189 ff.
- 18 Vgl. Martine Behar-Touchais, Remedies in the Proposed Digital Content Directive: An Overview, in: Schulze/Staudenmayer/Lohsse (Fn. 16), 155 ff.
- 19 Vgl. Rolf H. Weber, Blockchain als rechtliche Herausforderung, in: Jusletter IT 18. Mai 2017, Rz. 30 ff.
- 20 Zur Sorgfaltspflicht vgl. hinten IV.1.
- 21 Vgl. vorne II.1 und II.2.
- 22 Die Kontrolle von Allgemeinen Geschäftsbedingungen ist in der Schweiz grundsätzlich auf den Überprüfungsmassstab von Art. 8 UWG beschränkt, der ein hohes Mass an Benachteiligung des schwächeren Verbrauchers voraussetzt; diese Hürde dürfte regelmässig nicht zu überspringen sein, wenn der Anbieter einzelner Leistungsbestandteile seine Haftung für die Elemente eines anderen Leistungsanbieters wegbedingt.
- 23 ABl 1985 L 210/29.
- 24 Art. 55 OR sieht zusätzlich verschiedene Organisationspflichten des Geschäftsherrn vor, die im Einzelfall einer Produzentenhaftung annähern können.
- 25 European Commission, Staff Working Paper to the Communication «Building a European Data Economy», 10 January 2017, SWD (2017) 2 final, 44.
- 26 Vgl. auch Lohmann/Müller-Chen (Fn. 8), 53 ff.
- 27 Der Vollständigkeit halber lässt sich noch anfügen, dass autonome Systeme in der Europäischen Union wohl auch unter die weite Umschreibung des Begriffs «Maschine» in der Maschinen-Richtlinie 2006/42 fallen würden (ABl 2006 L 157/24), doch stellen sich die identischen Probleme wie unter der Produktehaftungs-Richtlinie, weil die von Maschinen erwartete Körperlichkeit bei autonomen Systemen kaum zu begründen ist.
- 28 Zur Diskussion vgl. W. Straub, Software als Produkt, in: Jusletter 18. März 2002.
- 29 Communication (Fn. 3), 14.
- 30 ABl 2001 L 11/4; einen Überblick über die Rechtsprechung gibt der umstrittene Delfi-Fall von 2015 (Delfi AS v. Estonia, ECHR no. 64569, 16. Juni 2015).
- 31 Das Produktesicherheitsgesetz folgt bewusst der Diktion des Produktehaftungsgesetzes; entsprechend ergeben sich parallele Probleme im Kontext des IoT und der autonomen Systeme.
- 32 ABl 2000 L 178/1.
- 33 Rolf H. Weber, E-Commerce und Recht, 2. Aufl. Zürich 2010, 507 ff., 516 ff.
- 34 Urteil des Bundesgerichts 5A_792/2011 vom 14. Januar 2013 (Tribune de Genève).
- 35 Vgl. Bericht des Bundesrates, Die zivilrechtliche Verantwortlichkeit von Providern, 11. Dezember 2015.
- 36 Für einen Überblick vgl. Niko Härting, Datenschutz-Grundverordnung, Köln 2016.
- 37 ABl 2016 L 194/1.
- 38 Für eine detailliertere Darstellung vgl. R.H. Weber/E. Studer, Cybersecurity in the Internet of Things: Legal aspects, Computer Law & Security Review 32 (2016), 715 ff.
- 39 Communication (Fn. 3), 14/15, und Staff Working Paper (Fn. 25), 45. Vgl. jüngst auch Rolf H. Weber, IT-Governance: unverzichtbar für jedes Unternehmen, in: schulthess manager handbuch 2017, Zürich 2017, 37 ff.
- 40 Communication (Fn. 3), 14/15, und Staff Working Paper (Fn. 25), 45.
- 41 Vgl. Weber/Willi (Fn. 14), 188 ff.
- 42 Staff Working Paper (Fn. 25), 45.
- 43 Staff Working Paper (Fn. 25), 45.
- 44 Communication (Fn. 3), 15.
- 45 Vgl. dazu den Hinweis bei Melinda Florina Lohmann, Roboter als Wundertüten – eine zivilrechtliche Haftungsanalyse, AJP 2017, 152, 161.