·
01.04.2022
Recht

Sind Sicherheitslücken für Hackerangriffe ein Mangel, für den der Softwareanbieter haftbar gemacht werden kann?

Öffentlichkeitswirksame Cyberangriffe wie „Locky“ oder „Emotet“ machen die Gefahren und Bedrohungsszenarien für softwarebasierte Produkte in aller Deutlichkeit sichtbar. IT-Sicherheit ist ein Thema, dass seit vielen Jahren auch PROMOS consult umtreibt. Rechtsanwalt Stephan Wiedorfer geht in seinem Beitrag der Frage nach, wer für Sicherheitslücken durch Hackerangriffe haftbar gemacht werden kann.
Gewährleistungspflichten für IT-Sicherheitslücken von Softwarelösungen

Bis zum 31. Dezember 2021 ließ sich diese Frage kurz und einfach beantworten: Nein!


So führte beispielsweise die Verbraucherzentrale NRW noch im Jahr 2019 einen Prozess vor dem OLG Köln gegen eine große Elektrohandelskette, da diese ein Handy mit einem veralteten Betriebssystem „Android“ vertrieben hat, bei dem eine technische Prüfung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ergab, dass es diverse Sicherheitslücken aufweist und die Nutzung damit ein erhebliches Sicherheitsrisiko darstellt. Hinzu kam, dass Sicherheitsupdates für dieses veraltete Betriebssystem zum Kaufzeitpunkt nicht mehr zur Verfügung standen. Das OLG Köln hat mit Entscheidung vom 30. Dezember 2019 (Az. 6 U 100/19) dennoch ausgeurteilt, dass Sicherheitslücken jedenfalls nicht die Verkehrsfähigkeit des verkauften Smartphones beeinträchtigen und auch die Funktionsfähigkeit des Betriebssystems selbst durch diese Sicherheitslücke nicht beeinträchtigt ist. Da das Betriebssystem demnach in der Lage sei, die vorgesehenen Leistungen zu erbringen, liege auch kein Mangel vor.


Mit Wirkung zum 1. Januar 2022 sind jedoch zahlreiche, erhebliche Änderungen im Kaufrecht in Kraft getreten, die Auswirkungen insbesondere auch auf sog. digitale Kaufgegenstände haben. Grund hierfür sind die EU-Richtlinien 2019/771 (Warenkaufrichtlinie, WKRL) einerseits und die Richtlinie (EU) 2019/770 über digitale Inhalte und digitale Dienstleistungen (DID-RL) andererseits, die die nationalen Gesetzgeber der Europäischen Union zur Anpassung zahlreicher Vorschriften zwangen, in der Bundesrepublik Deutschland insbesondere im Bürgerlichen Gesetzbuch (BGB).


Diese Anpassungen führen zu einer erheblichen Stärkung der Gewährleistungsrechte von Verbrauchern, insbesondere beim Kauf von Waren mit digitalen Elementen oder digitalen Produkten. Dies beginnt bereits damit, dass im Gesetz nun erstmals von „Waren mit digitalen Elementen“ die Rede ist. Gemeint sind damit Waren, die mit einem digitalen Produkt verknüpft sind, also beispielsweise ein SmartTV, sprachgesteuerte Lautsprecherboxen, aber eben auch das klassische Smartphone. In diesem Fall ist also das digitale Element erforderlich, damit die verkaufte Ware überhaupt funktioniert.

Informationstechnologie und Immobilien (IT&I) Ausgabe Nr. 37 / Mai 2024

Aktuelles aus IT und Immobilien – jetzt abonnieren!


Erhalten Sie regelmäßig spannende News zu aktuellen IT-Trends und wichtigen Themen aus der Immobilienwirtschaft. Wir versorgen Sie mit wertvollen Insights, praxisnahen Tipps und den neuesten Entwicklungen – direkt in Ihrem Posteingang. Melden Sie sich jetzt für unseren Newsletter an und verpassen Sie keine wichtigen Updates mehr!

Und für diese Waren mit digitalen Elementen bestimmt § 475b BGB nunmehr, dass den Unternehmer eine „Aktualisierungspflicht“ hinsichtlich des digitalen Elements trifft, also eine Verpflichtung zu Updates. Diese Verpflichtung endet dabei auch nicht etwa mit dem Kauf, sondern besteht weiter, nämlich für den Zeitraum, in dem der Verbraucher Aktualisierungen aufgrund der Art und des Zwecks der Sache erwarten kann. Maßgeblich für die Länge dieses Zeitraums sind beispielsweise Werbeaussagen, der Kaufpreis oder die Materialien, die zur Herstellung der Ware verwendet wurden. Die verkaufte Ware mit dem digitalen Element muss also nicht nur zum Zeitpunkt des Kaufvertragsabschlusses und der Übergabe an den Käufer aktuell sein, sondern auch noch einen ausreichend langen Zeitraum nach dem Kauf aktuell gehalten werden. Im eingangs geschilderten Fall des OLG Köln läge demnach also unter Berücksichtigung der neuen Rechtslage zweifelsohne ein Mangel vor, der zu Gewährleistungsansprüchen des Käufers führt, da das verwendete Betriebssystem nicht (mehr) aktualisiert wurde.


Weitergehend regelt die neue Vorschrift des § 327e Abs. 3 Nr. 2 BGB für Verbraucherverträge, dass das digitale Produkt darüber hinaus auch die erforderliche „Sicherheit“ aufweisen muss, da es andernfalls mangelhaft ist. Zwar ist in diesem Zusammenhang der Begriff der Sicherheit im Gesetz nicht näher definiert worden, letztlich wird man darunter jedoch sowohl die IT-Sicherheit als auch die Produktsicherheit selbst verstehen müssen.


Dies führt folglich dazu, dass der Verbraucher als Käufer berechtigt ist, Gewährleistungsansprüche gegen den Verkäufer geltend zu machen, wenn diese Sicherheit im verkauften Produkt nicht gewährleistet ist.


Obwohl diese umfassende Gesetzesänderung letztlich auf Vorgaben der Europäischen Union zum Verbraucherschutz zurückzuführen ist, hat der erweiterte Mangelbegriff Auswirkungen auch auf Unternehmen. Denn das Gesetz regelt allgemein in § 434 Abs. 3 Satz 2 BGB, dass die fehlende „Sicherheit“ des Produkts einen Sachmangel darstellt, unabhängig davon, ob die Sache an einen Verbraucher oder einen Unternehmer verkauft wurde.


Wie bereits erwähnt, führt die Aktualisierungspflicht gegenüber Verbrauchern für den Verkäufer dazu – in Abweichung vom bisherigen Kaufrecht – auch weit nach Übergabe der Kaufsache dafür zu sorgen, dass Sicherheitslücken ausgeräumt werden, indem das digitale Element, also die verbaute Software, aktualisiert wird. Zwar hat der Verbraucher dabei keinen unmittelbaren Anspruch auf eine Aktualisierung. Sollte der Verkäufer diese Aktualisierung aber unterlassen, stellt dies letztlich einen Mangel dar, sodass der Käufer auch weit nach Vertragsabschluss umfangreiche Mängelrechte geltend machen und beispielsweise auch vom Vertrag zurücktreten kann. Demnach sind Sicherheitslücken der Software also derzeit Umstände, für die der Verkäufer haftbar gemacht werden kann.


Viele Detailfragen der neuen Rechtslage werden sich dabei erst im Laufe der Zeit klären, wenn die Gerichte Gelegenheit hatten, entsprechende Fallkonstellationen zu überprüfen und die neue Rechtslage anzuwenden. Das letzte Wort wird dabei zunehmend der EuGH haben, nachdem es sich um Unionsrecht handelt. Bedauerlicherweise hat der Gesetzgeber bei dieser Gelegenheit nicht gleich eigenes Softwarerecht geschaffen. Denn schon jetzt zeichnet sich ab, dass es Abgrenzungsschwierigkeiten zwischen Verträgen mit Verbrauchern einerseits und solchen mit Unternehmern andererseits geben wird, da viele der neuen Spezialregelungen nur bei Verbraucherverträgen gelten.

Zur Person:
Stephan Wiedorfer

Stephan Wiedorfer-Rode

wurde 1967 in München geboren. Er studierte Rechtswissenschaften in München und arbeitete während seines Referendariats sechs Monate in New York bei dem größten deutschen Plattenlabel. Seit 1996 ist er als Rechtsanwalt zugelassen und gründete 1999 seine erste Kanzlei. Schwerpunkt seiner Tätigkeit ist die Beratung auf dem Gebiet des Computer- und Internetrechts einschließlich der prozessualen Durchsetzung entsprechender Ansprüche. Weitere Tätigkeitsgebiete sind das Marken-, Urheber- und Wettbewerbsrecht. Stephan Wiedorfer ist seit dem 4. Februar 2008 Fachanwalt für gewerblichen Rechtsschutz. Er ist Mitglied der Deutschen Vereinigung für gewerblichen Rechtsschutz und Urheberrecht e. V. (GRUR), der Deutschen Gesellschaft für Recht und Informatik e. V. (DGRI) und der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein (DAV-IT).
Bitte warten