Pflicht zur Bereitstellung von Aktualisierungen („Updatepflicht“) bei Software: Seit dem 1.1.22 haben wir ein EU-weit normiertes Verbraucher-Softwarerecht. Mit diesem Softwarerecht kommt ein besonderes Novum: die gesetzliche Vorgabe einer Updatepflicht für Software.
Zum Jahreswechsel 2022 trat ein neues, auf Digitalisierung ausgerichtetes Kaufrecht in Kraft, das erhebliche Neuerungen mit sich bringt. Zu diesem neuen Kaufrecht 2022 bieten wir eine Beitrags-Serie in unserem Blog, die zum Jahresende 2021 von Fachanwalt für IT-Recht Jens Ferner verfasst wurde:
Teil 1: Überblick und neues Kaufrecht
Teil 2: Sicherheit
Teil 3: Digitale Produkte + Waren mit digitalen Elementen
Teil 4: die Aktualisierungspflicht
Durchbrechung alter Prinzipien
Die Aktualisierungspflicht ist primär unter einem Aspekt von besonderem Interesse: Beim einmaligen Austausch von Leistungen, etwa beim „Softwarekauf“, war bisher der Moment der Übergabe, der sogenannte Zeitpunkt des Gefahrübergangs, ausschlaggebend. Wenn die Sache mangelfrei war bei Gefahrübergang, waren spätere Veränderungen (grundsätzlich) nicht von Interesse.
Dies ändert sich nun: Auch wenn ursprünglich vertragsgemäß geleistet wurde und erst später, durch eine Änderung der Gesamtumstände, eine vertragsgemäße Nutzung der Software oder Sache nicht mehr möglich ist, kann die Sache im Nachhinein mangelhaft werden und Pflicht auslösen. Im Gesetz ist es in § 327f Abs.1 BGB so formuliert, dass sicherzustellen ist, dass dem Verbraucher während des maßgeblichen Zeitraums Aktualisierungen, die für den Erhalt der Vertragsmäßigkeit des digitalen Produkts erforderlich sind, bereitgestellt werden und der Verbraucher über diese Aktualisierungen informiert wird (so auch § 475b Abs.2 Nr.2 BGB bei Waren mit digitalen Elementen).
Es fällt auf, dass damit ein Kernargument der Abwicklung in Form eines Kaufvertrages infrage gestellt wird, nämlich dass man eine einmalige Pflicht hat und nach dem Gefahrübergang, abgesehen von Gewährleistungsfragen, keine weitere Arbeit einplanen muss. Wie noch aufzuzeigen ist, macht es zukünftig wirtschaftlich mehr Sinn, verstärkt auf aaS-Angebote zu setzen und das Werk- und Kaufvertragsrecht zu verdrängen.
Aktualisierung und Änderung – zwei Seiten der gleichen Münze
Während der Fokus derzeit vorwiegend auf der Aktualisierungspflicht liegt, muss auch ein weiterer Aspekt bewusst sein: Den Unternehmer trifft unter Umständen die Pflicht, Aktualisierungen anzubieten; spiegelbildlich dazu ist mit § 327r BGB allerdings nunmehr geregelt, dass der Unternehmer Änderungen an digitalen Produkten, die dauerhaft bereitgestellt sind, nur unter engen Vorgaben und nach einem bestimmten Prozedere vornehmen kann.
Das bedeutet, zukünftig bewegt man sich als Anbieter digitaler Produkte zwischen zwei Positionen: Einerseits muss man Änderungen in Form von Aktualisierungen dort vornehmen, wo die vertragsgemäße Funktionsfähigkeit des digitalen Produkts gefährdet ist; andererseits darf man Änderungen nur noch nach einem gesetzlichen Fahrplan vornehmen, soweit dies vertraglich vereinbart ist und ein triftiger Grund vorliegt, wobei sich hier schon Streit abzeichnet, ob im Vertrag das Vorliegen eines triftigen Grundes nur allgemein benannt sein muss – oder die triftigen Gründe bereits vorab benannt sein müssen.
Die Aktualisierungspflicht digitaler Produkte
Was bedeutet die Aktualisierungspflicht also nun? Kern der Vorgabe ist § 327f BGB, der eine selbstständige Verpflichtung vorsieht. Soweit dies zugleich als
objektive Beschaffenheit (Sachmangel) unter § 327e III Nr.5 BGB erwähnt wird, will der Gesetzgeber dies ausdrücklich nur „der Vollständigkeit halber“ verstanden wissen, hier soll es also keine Auslegungsproblematik geben.
Geschuldet sind nur solche Aktualisierungen, die zum Erhalt der Vertragsmäßigkeit auch erforderlich sind. Damit wird auf die subjektiven und objektiven Anforderungen nach § 327e BGB abgestellt. Objektive Anforderungen können sich dabei auch aus technischen Normen ergeben. Ferner können Aktualisierungen auch erforderlich sein, um die Merkmale der
Kompatibilität, Interoperabilität und Sicherheit zu erfüllen.
Die „Sicherheitsaktualisierungen“ sind dabei in § 327f I S.2 BGB besonders hervorgehoben. Auch wenn Sicherheitsmängel oder sicherheitsrelevante Softwarefehler auftreten, die keine Auswirkungen auf die Funktionsfähigkeit der Sache haben, besteht eine Aktualisierungspflicht zur Behebung des Sicherheitsmangels. Da auf die vom Verbraucher zu erwartende Sicherheit
abgestellt wird, geht es um keine (sowieso unmögliche) absolute Sicherheit, sondern die nach technischem Stand zu erwartende Sicherheit.
Übrigens sollte man am besten von Aktualisierungspflicht sprechen: Dem Gesetz ist es egal, ob man Updates, Patches oder Upgrades anbietet.
Professionelles IT-Vertragsrecht
Unser Fachanwalt für IT-Recht berät und vertritt Unternehmen in IT-Vertragsangelegenheiten, insbesondere in Bezug auf Künstliche Intelligenz und Cloud-Dienste, um rechtliche Risiken zu minimieren und die Einhaltung relevanter Vorschriften zu gewährleisten.
Wie lange muss man Aktualisierungen anbieten?
Der maßgebliche Zeitraum, in dem der Unternehmer zur Bereitstellung der Aktualisierungen verpflichtet ist, wird in § 327f I S. 3 BGB festgelegt, hier ist nach Dauer der Bereitstellung zu unterscheiden:
- im Fall einer dauerhaften Bereitstellung erstreckt sich die Pflicht auf den gesamten Bereitstellungszeitraum;
- In Fällen einmaliger Bereitstellungen beziehungsweise bei einer Reihe einzelner Bereitstellungen geht es dagegen um jenen Zeitraum, den der Verbraucher aufgrund der Art und des Zwecks der digitalen Produkte und unter Berücksichtigung der Umstände und der Art des Vertrags erwarten kann.
Die Länge des Zeitraums, für den die Bereitstellung von Aktualisierungen geschuldet wird, wird im Gesetz also nicht festgezurrt! Die berechtigte Erwartungshaltung des Verbrauchers ist anhand eines objektiven Maßstabes (vergleiche dazu Erwägungsgrund 46 der Richtlinie) zu beurteilen. Dieser Zeitraum ist weder mit Gesetzeswortlaut noch Begründung auf die Dauer der Gewährleistungsfrist beschränkt und kann ausdrücklich über diese hinausreichen (siehe Erwägungsgrund 47 der Richtlinie).
Beispiel: Wenn die erwartbare Nutzungsdauer einer Software für Windows10 so lange ist, dass nach Erscheinen von Windows10 deren Einsatz noch vom Verbraucher erwartet wird, hat man ggf.. durch Aktualisierungen deren Nutzbarkeit sicherzustellen.
Für die Dauer, innerhalb der der Verbraucher Aktualisierungen erwarten kann, sind je nach den Umständen des Einzelfalls verschiedene Aspekte maßgeblich: Wenn das digitale Produkt in einer Sache enthalten oder mit dieser verbunden ist, hat die übliche Nutzungs- und Verwendungsdauer der Sache einen maßgeblichen Einfluss auf die Dauer des Zeitraums, für den der Verbraucher berechtigterweise Aktualisierungen erwarten kann:
- So darf der Verbraucher mit dem Gesetzgeber zum Beispiel bei komplexen Steuerungsanlagen für Smart-Home-Anwendungen erwarten, dass Aktualisierungen für vertraglich vereinbarte Zusatzfunktionen (zum Beispiel die Steuerung einer Heizung über eine mobile Anwendung) während der objektiv üblichen Nutzungsdauer der Heizungsanlage bereitgestellt werden. Dasselbe dürfte bei in einem Kraftfahrzeug integrierten Geräten wie Navigationssystemen oder Unterhaltungselektronik gelten.
- Auch können Aussagen in der Werbung, die zur Herstellung der Kaufsache verwendeten Materialien und der Preis herangezogen werden. Gibt es für Sachen der jeweiligen Art Erkenntnisse über deren übliche Nutzungs- und Verwendungsdauer („life-cycle“), dürften auch diese ein wesentliches Auslegungskriterium sein.
- Andere denkbare Kriterien, welche bei der Bestimmung der berechtigten Verbrauchererwartung zu berücksichtigen sein können, sind die Frage, inwiefern die Sache weiterhin vertrieben wird oder der Umfang des ohne die Aktualisierung drohenden Risikos. Insbesondere in Bezug auf Sicherheitsupdates wird sich die Erwartung des Verbrauchers regelmäßig auf einen Zeitraum erstrecken, der über den Zeitraum hinausgeht, in dem der Unternehmer für Vertragswidrigkeiten haftet. In anderen Fällen, beispielsweise bei Sachen mit digitalen Elementen, deren Zweck zeitlich befristet ist dürfte die Pflicht des Unternehmers, Aktualisierungen bereitzustellen, regelmäßig auf diesen Zeitraum beschränkt sein.
Zu beachten ist, dass es keinen (durchsetzbaren) Primäranspruch auf Leistung in Form von Bereitstellung von Aktualisierungen gibt, sondern nur eine Pflicht des Unternehmers – die sich dann im Gewährleistungsrecht auswirkt! Der Verbraucher kann also nicht darauf klagen, eine Aktualisierung zu erhalten, wenn diese ausbleiben, stehen dem Verbraucher aber Rechte bis hin zur Vertragsbeendigung zu.
Hinweis: Mit § 327h BGB ist eine abweichende Vereinbarung ausdrücklich möglich, aber nur unter den in den anderen Teilen bereits beschriebenen hohen Formvorschriften (und der entsprechenden Rechtsunsicherheit) steht.
Nichterfüllung der Aktualisierungspflicht
Wie wirkt sich ein Verstoß gegen die Aktualisierungspflicht aus? Nun bleibt es zwar bei dem Grundsatz, dass der Gefahrübergang, der für die Bestimmung der
Mangelfreiheit maßgebliche Zeitpunkt ist. Mit dem Aktualisierungserfordernis gibt es aber jetzt eine Ausnahme von diesem Grundsatz.
Deswegen steht in den objektiven Anforderungen (in Titel 2a und im
Verbrauchsgüterkauf!), dass Aktualisierungen Teil der Beschaffenheit sind – und damit die Mangelfreiheit „fortwirkt“ über die Bereitstellung hinaus. Die Folge ist: Die Nichterfüllung der Updatepflicht führt – im Nachhinein! – zu einem Mangel bei einem ursprünglich mangelfreien Produkt.
Der Gesetzgeber führt zur Begründung übrigens aus, dass zum einen zu berücksichtigen ist, dass sich das digitale Umfeld derartiger Sachen fortlaufend ändert. Deswegen seien Aktualisierungen ein notwendiges Instrument, das sicherstellt, dass die Sache genauso funktioniert wie zum Zeitpunkt der Lieferung. Zudem sind Sachen mit digitalen Elementen im Gegensatz zu herkömmlichen Sachen auch nach Lieferung nicht vollständig außerhalb der Sphäre des Unternehmers, da in der Regel der Unternehmer oder der Hersteller Fernzugriffsmöglichkeiten auf die Sache haben und so aus der Entfernung das digitale Element ändern oder aktualisieren können.
Die Nichterfüllung der Aktualisierungspflicht führt also zu einem Produktmangel, womit der Weg über das Mangelrecht eröffnet ist, sowohl bei digitalen Produkten (§§327e, 327f i.V.m. §327l BGB) als auch bei Waren mit digitalen Elementen (§475b i.V.m. §439 BGB). Die Folge dieser nachträglich eingetretenen Mangelhaftigkeit ist, dass eine Nacherfüllung im Raum steht (wo ja mitunter keine Fristsetzung oder gesonderte Aufforderung notwendig ist, siehe §§475d I, 327i I S.2 BGB) und nach „angemessener Frist“ dann Vertragsbeendigung,
Minderung, Schadensersatz.
Achtung: Es steht wohl die Haftung für Mangelfolgeschäden im Raum, wenn durch mangelnde Aktualisierung Schäden an Systemen oder Daten eintreten.
Nun muss unterschieden werden: Bei Waren mit digitalen Elementen greift nur das Kaufrecht mit seinen bekannten Rechtsfolgen; bei digitalen Produkten aber steht nicht mehr Rücktritt sondern die Vertragsbeendigung im Raum (§§327i Nr.2, 327m BGB). Das Problem dabei zeigt sich im Alltag: Wer ein digitales Produkt liefert, aber nicht Hersteller ist, muss mit der Vertragsbeendigung (samt
Kostenerstattung!) leben, wenn der Hersteller (unverschuldet durch Verkäufer!) keine Updates mehr liefert – und sei eine Insolvenz eingetreten.
Vertragsbeendigung bei ausgebliebenen Updates
Die wahre Gefahr zeigt sich erst im Detail, es scheint einen (Denk-)Fehler im Gesetz zu geben! Die Vertragsbeendigung hat bei digitalen Produkten ein tückisches Manko: Es steht eine grundsätzliche Rückzahlung mit § 327o II BGB im Raum.
Bei einer Bereitstellung auf Dauer ist dies in Absatz 3 noch irgendwie sinnvoll geregelt: Dieser ist so zu verstehen, dass für die vertragsgemäße vertragliche Laufzeit der entsprechende Anteil beim Unternehmer verbleibt. Dies ist aber nur bei dauerhafter Bereitstellung so. Bei einmaliger Bereitstellung ist der gesamte Preis bei einer Vertragsbeendigung nach Absatz 2 zu erfüllen.
Folge jedenfalls mit dem Gesetzeswortlaut: wenn ein vertragsgemäßes Produkt einmalig geliefert wird und über Jahre stabil lief, dann aber praktisch kurz vor Toresschluss ein gerade noch so erwartbares Update ausbleibt, rollen auf den Unternehmer von damals Rückforderungen zu.
Die Lösung könnte darin liegen, in diesen Fällen, mit Blick auf die „quasi dauerhafte Verpflichtung der Aktualisierung“ den Absatz 3 entsprechend anzuwenden, weil nur so der vom Gesetzgeber selbst gesehenen Durchbrechung des Moments des Gefahrübergangs begegnet werden kann. Lösung aber offen (dazu auch Riehm/Abold mit deutlicher Kritik in CR 2021, 530, 539, die aber als Lösung vorschlagen, §327 m II BGB „beherzt“ anzuwenden, was m.E. freilich nur in Extremfällen wie im obigen Beispiel eine echte Lösung sein kann)
Installation der Updates
Den Unternehmer trifft lediglich die Pflicht, „sicherzustellen“, dass der Verbraucher nach den Vorgaben der Richtlinie informiert wird und dass ihm die Aktualisierungen bereitgestellt werden. Die Installation selber obliegt letztlich dem Verbraucher.
Wann beziehungsweise wie schnell der Verbraucher über eine neu erschienene Aktualisierung zu informieren ist, hängt von den Umständen des Einzelfalls ab und ist anhand eines objektiven Maßstabs zu bestimmen. Bei digitalen Produkten ist es so geregelt, dass, um eine praktische Wirksamkeit der Aktualisierungspflicht zu gewährleisten, der Unternehmer in einem angemessenen Zeitrahmen nach Auftreten der Vertragswidrigkeit die Aktualisierung bereitstellen und diese auch für einen Zeitraum, der sich an der Dauer der angemessenen Frist nach § 327f II BGB orientiert, bereitgestellt lassen muss. Das Gleiche gilt für die Verpflichtung zur Information des Verbrauchers über die Bereitstellung der Aktualisierung.
Der Begriff „installieren“ beschreibt die vom Verbraucher durchzuführenden Maßnahmen, welche im Wesentlichen aus dem Kopieren der Aktualisierungsinhalte und dem damit verbundenen Ausführen der vom Unternehmer als notwendig umschriebenen Schritte bestehen.
Die Installation muss dann vom Verbraucher innerhalb einer angemessenen Frist erfolgen, ansonsten ist eine Haftung des Unternehmers ausgeschlossen. Die Bestimmung der Angemessenheit bleibt der Rechtsprechung überlassen. Neben den insbesondere bei Sicherheitsaktualisierungen bestehenden drohenden Gefahren für die digitale Umgebung des Verbrauchers können auch Umstände wie die für die Installation der Aktualisierung benötigte Zeit oder die Auswirkungen auf andere Hard- und Software hierbei eine Rolle spielen.
Was ist mit Unternehmen?
Die hier dargestellten Gesetzesänderungen betreffen nur Verträge mit Verbrauchern – aus meiner Sicht war es dabei ein erhebliches Versagen des Gesetzgebers, sich nur an der Minimalaufgabe der Umsetzung der EU-Richtlinien zu orientieren und nicht gleich ein echtes Softwarerecht mit einem Verbraucherteil zu schaffen. Das Ergebnis ist, dass zum einen erhebliche Abgrenzungsprobleme bestehen: Wo bei aaS-Verträgen bei einem Verbraucher ein digitales Produkt vorliegt, möglicherweise in Form eines digitalen Dienstleistungsvertrages, wird man bei Unternehmen noch klassisches Mietrecht anwenden.
Im Mietrecht wird man ohnehin eine fortlaufende Anpassungspflicht haben, sodass Unternehmen hier nicht schlechter gestellt sind – virulent wird die Problematik dort, wo noch Kauf-/Werkverträge vorliegen. Hier erkennt die Literatur schon seit geraumer Zeit in Grundzügen ein Recht auf Aktualisierungen nicht zuletzt im Fall von Gesetzesänderungen an, das aber mit erheblichen Unsicherheiten behaftet ist (dazu Grundlegend: Kremer, ITRB 2013, 116 und Witzel, CR 2020, 565).
Fazit
Es rollt etwas auf digitale Dienstleister zu – und die meisten dürften es nicht bemerkt haben. Dabei liegen die Tricks in den Feinheiten: So gilt es, zu erkennen, dass die in § 327r BGB geregelte Änderungsbefugnis sich eben nicht nur auf Software bezieht, sondern auf jegliche digitale Dienstleistung. Gleich, ob SEO-Vertrag, Webhosting-Vertrag oder die Buchung einer virtuellen Telefonanlage – dies sind alles digitale Produkte, die nur noch im Rahmen des § 327r BGB nach der Buchung verändert werden dürfen. Und da der § 327r BGB auf den Vertrag abstellt, müssen sämtliche Verträge so angepasst sein, dass man hier das grösstmögliche Potenzial ausnutzen kann, wenn man nicht über Kündigungen arbeiten will.
Bei den Aktualisierungen zeigt sich, dass es mitnichten nur um Sicherheitsaktualisierungen geht: Unternehmer müssen so kalkulieren, dass für die gesamte erwartbare Dauer Aktualisierungen angeboten werden können, um die vertragsgemäße Nutzung aufrechtzuerhalten. Der Charme von aaS-Lösungen dürfte dann sein, dass man hier zwar erst Recht zu einer faktischen dauerhaften Pflege verpflichtet ist, aber durch die fortlaufenden Zahlungen ganz anders kalkuleiren kann. Wer dagegen auf Kauf-/Werkvertragslösungen setzt, dürfte schnell merken, dass die scharfe Konturierung zwischen den Vertragstypen ebenso aufgegeben wurde, wie die klare Systematik, die Mangelhaftigkeit am Gefahrübergang festzumachen. Es liegt viel vertragsrechtliche Arbeit vor allen Beteiligten – und ein Jahrzehnt unkalkulierbarer Rechtsprechung.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
- Steuerhinterziehung und Einziehung im Kontext von Cum-Ex-Geschäften - 2. Dezember 2024
- Abrechnungsbetrug und Scheingestaltungen - 2. Dezember 2024
- Verwertung der dienstlichen Erklärung der Sitzungsvertreterin der Staatsanwaltschaft - 2. Dezember 2024