Produkthaftung

Hier möchten wir einmal die Rechtslage nach den regeln der Produkthaftung ganz beispielhaft an einem konkreten Fall, nämlich einer Sicherheitslücke in einem Betriebssystem aufzeigen:

Ausgangslage:
IT-Sicherheit ist bei zahlreichen Produkten der IT-Branche und in den letzten Jahren auch im Bereich von Mobilfunkgeräten zu einem entscheidenden Faktor in der Wertschöpfungskette geworden. Es liegt auf der Hand, dass versagende EDV-Systeme, insbesondere Betriebssysteme, angesichts der heutigen weitgehend computergestützten Wirtschaft enorme volkswirtschaftliche Schäden anrichten können. Fast wöchentliche Meldungen über neu entdeckte Sicherheitslücken in Softwareprogrammen und neue Varianten von Würmern oder Viren werfen die Frage nach der Pflichtenlage und Haftung der Softwarehersteller auf, insbesondere hinsichtlich des „Supports” in Form der Bereitstellung so genannter Sicherheitspatches.

Rechtliche Überlegungen
Fraglich ist in derartigen Fällen immer, ob das Eigentum des Handynutzers verletzt wird, bleibt doch die eigentliche Hardware nach wie vor einsatzfähig. Hier muss zwischen den Daten, die infolge eines Angriffs Dritter auf Grund einer Sicherheitslücke verloren gehen, und dem Ausfall des Mobilfunkgerätes bzw. der Software als solcher mit den entsprechenden Folgen für den Betrieb unterschieden werden: Im Grundsatz erfasst das nach § 823 Abs. 1 BGB geschützte Eigentum auch die Integrität von Daten, da schon die Funktionalität und innere Ordnung des Eigentums, zum Beispiel einer Sammlung von Bildern, auch ohne Substanzschädigung geschützt wird, so dass auch der „Festplattenspeicher“ auf dem Eigentum den Eigentumsschutz des BGB genießt.

Fehlerhaftes Produkt
Schwierig zu beantworten ist die Frage, wann ein IT-Produkt fehlerhaft ist und erst gar nicht in den Verkehr hätte gebracht werden dürfen bzw. Handlungspflichten des Herstellers nach Inverkehrbringen auslöst. Grundsätzlich ist der Hersteller verpflichtet, sein Produkt nach dem jeweiligen Stand der Technik fehlerfrei herzustellen (BGH DB 1972, 1335; BGH NJW 1981, 1603). Soweit ein Produkt Sicherheitslücken aufweist, ist der Zeitpunkt der Kenntnis des Herstellers von der Sicherheitslücke maßgeblich: Kennt er diese bereits vor dem Inverkehrbringen des Produkts, darf er das fehlerhafte Produkt erst gar nicht zum Verkauf bringen. Erfährt er erst später von der Sicherheitslücke, muss er die Nutzer des Produkts in geeigneter Weise warnen.

Erstaunlicherweise hat sich diese Erkenntnis im Mobilfunkbereich noch nicht weiter durchgesetzt. Ich selbst habe die Erfahrung gemacht, dass neue Geräte auch in Kenntnis von bestehenden Sicherheitslücken in Android ohne Warnhinweise vertrieben werden und das nachweislich mit Geräten, welche erst nach dem Bekanntwerden von Sicherheitslücken wie Stagefright 2.0 erschienen sind. Hier hilft vielleicht ein Blick auf andere IT-Branchen. In der Praxis veröffentlichen Hersteller von Standardsoftware regelmäßig Sicherheitspatches, um bekannt gewordenen Sicherheitslücken zu beheben. Eine grundsätzliche Pflicht zu derartigen Nachbesserungen besteht allein aus § 823 BGB allerdings nicht, theoretisch würde eine Rücknahme des fehlerhaften Produktes genügen, was natürlich erhebliche Kosten für die Rücknahme der jeweiligen Geräte bedeuten würde.

Vertragliche Ansprüche
Wird die Informationstechnik bzw. Handy unmittelbar vom Hersteller erworben, was insbesondere beim Erwerb von hauseigenen Hersteller Webshops der Fall sein kann, kommen gegen den Hersteller wie Smartphonehersteller auch vertragliche Ansprüche in Betracht, wenn die Informationstechnik Sicherheitslücken aufweist. Ob und welche Gewährleistungsansprüche bestehen, hängt davon ab, welcher Vertragstyp vorliegt. Beim Handel mit Smartphones wird regelmäßig ein Kaufvertrag geschlossen. Beim Kaufvertrag hängen Gewährleistungsansprüche davon ab, welche Beschaffenheit vereinbart wurde. Regelmäßig ist zugrunde zu legen, ob der Kaufgegenstand für den vertraglich vorausgesetzten Zweck oder den gewöhnlichen Gebrauch geeignet ist. Maßgeblich ist hierfür die Funktionsfähigkeit, Korrektheit und das Fehlen von Schadensneigungen.

Produktsicherheit und Produkthaftung
In Betracht kommt zunächst ein Konstruktionsfehler, wenn bei der Inverkehrgabe des Produkts – in Abgrenzung zum Entwicklungsfehler, der keine Haftung begründet – nicht der Stand von Wissenschaft und Technik berücksichtigt wurde, da der gesamten Serie der Geräte derselbe Softwarefehler anhaftet. Vergleichbar der Produktbeobachtungspflicht ist der Hersteller jedoch gehalten, alle allgemein oder ihm speziell zugänglichen Erkenntnisquellen auszuschöpfen.

Entscheidend ist, ob ein Hersteller bereits bei der Inverkehrgabe die Sicherheitslücken bekannt sein mussten. Die Kenntnis wird auch bereits durch eine einzelne Mitteilung über eine Sicherheitslücke an den Softwarehersteller begründet, selbst wenn sie geheim gehalten wird, da nicht auszuschließen ist, dass andere ebenfalls diese Lücke entdecken und ausnützen. Allerdings ist dem Hersteller ein Anpassungsermessen bei Wandel des Gefahrenbewusstseins und bei neuen technischen Entwicklungen zuzugestehen. Der Hersteller muss den Weg der größeren Vorsicht wählen, wenn Unsicherheiten über die Sicherheitsvorkehrungen und das Ausmaß und Gefahrenpotentials der Sicherheitslücke bestehen. Auch wenn Software ein äußerst komplexes Produkt darstellt, dessen Fehlerbehebung erheblichen Aufwands bedarf, führt dies nicht daran vorbei, dass bekannte Sicherheitsprobleme unverzüglich beseitigt werden müssen, bevor das Produkt auf den Markt gebracht wird.

Der Hersteller darf nicht sehenden Auges Software auch bereits vorhandener Versionen eines Betriebssystems weiterhin in Umlauf bringen, von denen er weiß, dass sie fehlerbehaftet sind und ein Sicherheitsrisiko darstellen, will er sich nicht dem Risiko des Schadensersatzes aussetzen. Ebensowenig kann der Hersteller darauf vertrauen, dass bei der Installation fehlerhafter Software gleichzeitig die nötigen Sicherheitspatches aus dem Internet eingespielt und übertragen werden; denn es ist nicht auszuschließen, dass schon während dieser Zeit der Nutzer Angriffen ausgesetzt ist oder dass die entsprechenden Server der IT-Hersteller nicht erreichbar bzw. überlastet sind.

Fraglich kann daher in diesen Fällen nur sein, wieviel Zeit dem Hersteller eingeräumt werden kann, um die Sicherheitslücke zu beseitigen; hier ist mit Sicherheit zu bedenken, dass z.B. die Handy-Betriebssoftware ein komplexes Produkt darstellt und die Korrektur solcher Lücken nicht z.B. mit der Aktualisierung von Virenscannern verglichen werden kann, da es um das Einpassen neuer Codes in vorhandene Software mit Testläufen und Dokumentation geht. Andererseits kann der Hersteller sich nicht darauf berufen, dass ihm die nötigen Ressourcen zur Anpassung fehlen, da er zumindest in den letzten Jahren angesichts sich häufender Sicherheitslücken allgemein damit rechnen muss, dass neue Probleme auftauchen. Welcher Zeitraum hier angemessen ist, kann danach nur im Einzelfall beurteilt werden.

Nachträgliche Produktbeobachtung
Für bereits vor Bekanntwerden der Sicherheitslücken vertriebene Software ist der Hersteller zur Produktbeobachtung, insbesondere zur Sammlung und Auswertung zugänglicher Fachliteratur und Erkenntnisse über mögliche Defekte der zum Einsatz kommenden Software, und zur Warnung, gegebenenfalls sogar auch zum Rückruf verpflichtet. Gerade aus dem Wissen um die objektive Unvermeidbarkeit von Programmierungsfehlern („Bugs”) erwächst eine Pflicht des Herstellers zur besonders sorgfältigen Produktbeobachtung.

Allerdings ist bei der Pflichtenbestimmung auch zu berücksichtigen, dass öffentliche Warnungen in kontraproduktiver Weise geradezu Dritte herausfordern können, eine IT-Sicherheitslücke zu nutzen, wie dies offenbar bei dem Wurm „Sasser” der Fall war.

Rückruf
Nicht jede bekannte Sicherheitslücke wird eine Pflicht zu einem Rückruf auslösen. Nur dann, wenn erhebliche Folgen für Gesundheit und Eigentum zu befürchten sind und Warnhinweise entsprechende Schäden nicht ohne weiteres verhindern können, kann eine entsprechende Fehlerbehebung durch Rückruf anstelle eines Warnhinweises in Betracht kommen.

-> Einschub: IT-Sicherheitsgesetz (2015)
Seit 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. In dem Gesetz werden zunächst „kritische Infrastrukturen“ definiert, die für die öffentliche Versorgung von bedeutender Rolle sind. Die IT- und TK-Infrastruktur gehört auch dazu, weil sie von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Der Fokus des Gesetzes liegt aber neben Energieversorgern eher auf TK-Providern, denn auf Herstellern von Mobilfunkgeräten.

Ergebnis:
Aus juristischer Sicht kann man nur raten, eine Betriebssoftware nicht weiter in Kenntnis der Sicherheitslücke zu vertreiben. Die Gefahr der Sicherheitslücke sollte weiter analysiert werden, sollten dadurch womöglich Bankdaten der Kunden oder sonstige sensible Daten geklaut werden können, so wächst damit die Verantwortung des Herstellers. Es muss schnellstmöglich ein Sicherheitspatch erstellt und auf den Geräten installiert werden. Auf ein routinemäßiges OTA-Update sollte man sich nicht verlassen und schnellstmöglich die neueste Version mit enthaltenen Patches aufspielen. In jedem Fall sollte man einen Warnhinweis auf der Webseite anbringen und wenn möglich auch in die Verpackung einen entsprechenden Hinweis anbringen. Wegen eines möglicherweise unerlaubten Haftungsausschlusses ist ein solcher Hinweis aber sehr vorsichtig zu formulieren.