Die Veröffentlichung behördlicher Sicherheitsbewertungen kann für Softwareanbieter existenzbedrohend sein. Doch nicht jede Warnung rechtfertigt einen vorbeugenden gerichtlichen Eingriff – das zeigt ein aktueller Beschluss des Verwaltungsgerichts Köln (1 L 3105/25) vom 2. Dezember 2025, den ich auch hier auf LinkedIn thematisiere.
Die 1. Kammer entschied, dass ein Softwarehersteller nicht ohne Weiteres die Unterlassung einer geplanten behördlichen Produktbewertung verlangen kann, auch wenn diese negative Auswirkungen auf den Markt haben könnte. Der Fall wirft mal wieder grundsätzliche Fragen zum Thema auf: Wann ist vorbeugender Rechtsschutz gegen staatliches Informationshandeln zulässig? Und wo liegen die Grenzen zwischen legitimer Verbraucheraufklärung und unzumutbaren wirtschaftlichen Nachteilen für Unternehmen?
Bitte beachten Sie: In der hier noch zu berücksichtigenden alten Rechtslage waren behördliche Warnungen dieser Art im Kern in §7 BSIG (aF) – seit Dezember 2025, mit der Umsetzung der NIS2-Richtlinie, hat der Gesetzgeber dies ausdrücklich in § 13 BSIG normiert, wobei neu “Informationen über Verstöße besonders wichtiger Einrichtungen oder wichtiger Einrichtungen” hinzugekommen sind. Daran ist zukünftig eine behördliche Warnung in dem Kontext zu messen.
Beachten Sie auch, dass die Entscheidung – unter Bezug auf meine Besprechung – bei „heise online“ aufgegriffen wurde.
Warnung ohne Prangerwirkung?
Die Antragstellerin, ein Anbieter von Sicherheitssoftware, wandte sich gegen die geplante Veröffentlichung eines Abschlussberichts im Rahmen des Projekts „E.W.“ des Bundesamts für Sicherheit in der Informationstechnik (BSI). Der Bericht bewertete ihre Produkte als „auffällig“ und attestierte ihnen mangelnde Erfüllung üblicher Sicherheitserwartungen. Obwohl keine explizite Nutzungswarnung ausgesprochen wurde, fürchtete das Unternehmen irreversible Reputationsschäden und Marktverzerrungen. Es beantragte daher beim Verwaltungsgericht Köln, die Veröffentlichung zu untersagen – noch bevor der Bericht überhaupt erschien.
Das Gericht lehnte den Antrag ab und stellte das Verfahren ein, nachdem sich die Hauptsache erledigt hatte. Die Kosten wurden der Antragstellerin auferlegt, da ihr Begehren voraussichtlich keinen Erfolg gehabt hätte.
Wann ist vorbeugender Rechtsschutz statthaft?
Das Verwaltungsgericht Köln betonte im Einklang mit der gefestigten Rechtsauffassung, dass vorbeugender Rechtsschutz nach § 123 Abs. 1 VwGO die Ausnahme bleibt. Grundsätzlich setzt die Verwaltungsgerichtsordnung auf nachträglichen Rechtsschutz, um die Gewaltenteilung zu wahren. Ein Eingriff in behördliches Handeln vor dessen Vollzug ist nur dann gerechtfertigt, wenn dem Betroffenen das Abwarten nicht zugemutet werden kann – etwa weil irreversible Fakten geschaffen würden.
Hier fehlte es an einem solchen qualifizierten Rechtsschutzbedürfnis. Zwar konnte die Veröffentlichung die Marktbedingungen beeinflussen, doch handelte es sich um einen abstrakten Diskussionsbeitrag, nicht um eine gezielte Warnung im Sinne des § 7 BSIG. Entscheidend war, dass der Bericht keine direkte Nutzungsempfehlung enthielt und zudem in einem größeren Kontext (als Teil eines Projektberichts) veröffentlicht werden sollte. Die potenziellen Nachteile für den Softwareanbieter waren daher nicht als irreparabel einzustufen.
Interessant dabei: Das Gericht verwies darauf, dass verlorenes Vertrauen durch Gegendarstellungen – etwa Presseerklärungen oder aktualisierte Bewertungen – wiederhergestellt werden könne. Anders als bei lebensmittelrechtlichen Warnungen, die gesundheitliche Bedenken wecken, sei eine Revisionsmöglichkeit bei sicherheitstechnischen Einschätzungen gegeben.
Abwägung: Verbraucherschutz vs. unternehmerische Interessen
Interessant ist weiter dann auch die Differenzierung zwischen irreversiblen und reparablen Nachteilen. Während lebensmittelrechtliche Warnungen oft unwiderruflich wirken (etwa wegen ausgelöstem Ekelgefühl), sind technische Produktbewertungen dynamischer: Neue Tests oder Stellungnahmen können frühere Einschätzungen relativieren. Das Gericht sah daher keine unzumutbare Härte für den Softwareanbieter, zumal der Bericht nicht prominent platziert, sondern über mehrere Klicks abrufbar sein sollte. Auch die Hilfsanträge der Antragstellerin, die eine Anpassung der Berichtsfassung verlangten, scheiterten. Das Gericht forderte hierfür ein besonderes Rechtsschutzbedürfnis, das nicht glaubhaft gemacht wurde. Die bloße Befürchtung wirtschaftlicher Einbußen reicht nicht aus, um vorbeugenden Rechtsschutz zu begründen.
Mit dem neuen § 13 BSIG wird das BSI künftig deutlich häufiger und breiter warnen dürfen – nicht mehr nur vor konkreten „Sicherheitslücken“, sondern vor Schwachstellen und anderen Sicherheitsrisiken, verbunden mit der Möglichkeit, Hersteller ausdrücklich zu benennen. Diese öffentlichen Produkt- und Sicherheitswarnungen greifen nach der Rechtsprechung zwar faktisch in die Berufsfreiheit ein, lassen sich aber mit dem Schutz der Allgemeinheit rechtfertigen – die wirtschaftlichen Folgen für das betroffene Unternehmen zählen dabei nicht als pauschales Gegenargument.
Neu ist nun auch dass das BSI – ähnlich wie Aufsichtsbehörden unter der DSGVO – auch Bußgelder namentlich kommunizieren darf, sodass auf eine ruinös wirkende Produktwarnung später eine öffentlichkeitswirksame Sanktionsmitteilung folgen kann. Wenn diese Kommunikationskaskade bei Cybervorfällen und Datenlecks Hand in Hand mit Datenschutzaufsichtsbehörden läuft, droht Unternehmen im Ernstfall ein koordinierter Reputationsschaden, von der technischen Krise bis hin zur öffentlichen Prangerwirkung. Cybersicherheit ist damit endgültig kein reines Technikthema mehr, sondern ein juristisch-technisch-kommunikatives Risiko, auf das sich die Wirtschaft kommunikativ, organisatorisch und rechtlich vorbereiten muss – sonst wird die nächste BSI-Warnung zur unternehmerischen Existenzfrage.
Klare Grenzen für vorbeugende Klagen gegen behördliche Informationen
Die Entscheidung macht deutlich, dass Unternehmen nicht grundsätzlich gegen geplante behördliche Maßnahmen vorgehen können. Sie müssen vielmehr konkret darlegen, warum eine spätere Korrektur nicht ausreicht. Dieser Gedanke dürfte auch auf den neuen § 13 BSIG übertragbar sein, sodass auch in Zukunft gelten dürfte: Wer sich gegen staatliche Produktbewertungen wehren will, muss nachweisen, dass die Veröffentlichung unwiederbringliche Schäden verursacht, beispielsweise durch eine gezielte Prangerwirkung oder unwiderlegbare Falschdarstellungen. Der Fall zeigt zudem, dass Gerichte behördliche Informationspolitik nicht vorschnell blockieren, solange diese im Rahmen des gesetzlichen Auftrags bleibt. Für Softwareanbieter bleibt damit möglicherweise nur der Weg über nachträgliche Richtigstellungen oder Gegenkampagnen, was durchaus kritisch gesehen werden darf.
Ob diese Rechtsprechung auch auf andere Bereiche, wie etwa KI-Sicherheitsbewertungen oder Datenschutzwarnungen, übertragbar ist, bleibt abzuwarten. Mit der Formulierung des § 13 BSIG ist dies jedoch naheliegend. Das OVG NRW hat in diesem Zusammenhang bereits herausgearbeitet, dass sich der Gesetzgeber bewusst dagegen entschieden hat, den Begriff der Sicherheitslücke auf Fehlkonfigurationen der Hard- oder Software zu beschränken. Die entsprechende Empfehlung im Gesetzgebungsverfahren hat er nicht aufgegriffen. Angesichts der Vielgestaltigkeit möglicher Risiken für die Sicherheit in der Informationstechnik ist es aus Sicht des OVG auch verfassungsrechtlich unbedenklich, dass der Gesetzgeber den Begriff der Sicherheitslücke als Tatbestandsvoraussetzung für eine amtliche Warnung weit gefasst hat, um bislang unvorhersehbare Fallgestaltungen abzudecken. Die Bedrohungsszenarien für die Sicherheit in der Informationstechnologie sind vielgestaltig und äußerst dynamisch.
Der Staat darf damit über das BSI jedenfalls dann informieren, wenn er nicht gezielt das Marktverhalten steuert. Unternehmen müssen hingegen akzeptieren, dass nicht jede kritische Äußerung gerichtlich verhindert werden kann. Die Balance zwischen Verbraucherschutz und unternehmerischer Freiheit bleibt somit eine Frage des Einzelfalls.
Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.
Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.
- Verbot verkleideter Telekommunikationsanlagen und der „Smarte Futterautomat“ - 15. Januar 2026
- Terrorgram-Studie zu “Teenage Terrorists” - 14. Januar 2026
- Phishing-Angriff auf Apple Pay: Bank muss mangels starker Kundenauthentifizierung erstatten - 14. Januar 2026
