Kategorien
Technologierecht & IT-Recht

Bei Verkauf technischer Geräte kein Hinweis auf bestehende Sicherheitslücken nötig

Beim Oberlandesgericht Köln (6 U 100/19) ging es um die Frage, ob beim Verkauf von Smartphones auf im Rahmen des Betriebssystems bestehende Sicherheitslücken und fehlende Sicherheitsupdates hingewiesen werden muss.

Die Entscheidung ist Wichtig, inhaltlich durchaus richtig – und offenbart durchaus kritisch zu hinterfragende Probleme im Umgang mit der Cybersicherheit.

Passend dazu: Verkäufer muss nicht auf bald bevorstehenden Modellwechsel hinweisen

Sachverhalt: Uralt-Handy mit veralteter Software verkauft

Es ging darum, dass am 26.07.2016 in einem Elektronik-Grossmarkt ein Android-basiertes Mobiltelefon zu einem Preis von 99,00 € angeboten wurde. Dieses verfügte über das (werkseitig aufgespielte) Betriebssystem Android in der Version 4.4.2 Kitkat. Weder in der Produktbeschreibung auf einem aufgestellten Verkaufsschild, noch sonst wie, erfolgten Angaben zu etwaigen Sicherheitslücken und Softwareupdates für die im streitgegenständlichen Produkt verwendete Betriebssoftware. Und die wären durchaus sinnvoll gewesen.

So war das BSI mit einer Untersuchung beauftragt worden, wobei das Untersuchungsergebnis in einer Stellungnahme zusammengefasst wurde, die sich nach gerichtlichem Sachverhalt wie Folgt darstellte:

Hiernach wies das Gerät D – nachdem vergeblich nach etwaigen Updates gesucht worden war – 15 der 28 getesteten Sicherheitslücken auf. Das BSI gelangte zu dem Urteil, man sei „in Fachkreisen einig, dass diese Version [d.h. Android 4.4] (ohne Sicherheitspatches) mit schweren, nicht behebbaren Sicherheitsmängeln behaftet ist und damit für den Nutzer ein eklatantes Sicherheitsrisiko darstellt.“


Entscheidung des Gerichts: Keine Hinweispflicht auf mangelnde Updates

Im Allgemeinen wird die hier vorgestellte Entscheidung darauf herunter gebrochen, dass es keine Hinweispflicht auf mangelnde Updates für Verkäufer gibt – das ist zwar durchaus richtig, allerdings muss man den Gesamtzusammenhang sehen.

Vorliegend ging es alleine um einen wettbewerbsrechtlichen Unterlassungsanspruch, mit dem geltend gemacht wird, dass ein Unternehmen sich nicht entsprechend der UWG-Spielregeln verhält, etwa in dem Verbraucher getäuscht werden, was auch durch ein Unterlassen geschehen kann, etwa wenn bestimmte für den Verbraucher relevante Entscheidungskriterien verheimlicht werden. Dieser Ansatz der Verbraucherschützer ist aus meiner Sicht durchaus nachvollziehbar.

Keine Irreführung durch Unterlassen

Die Frage ist, ob ein Verkäufer, der wortlos ein neues Gerät verkauft, das aber eine veraltete Softwareversion beinhaltet, eine Irreführung durch Unterlassen begeht. Mit § 5a Abs. 2 Satz 1 UWG handelt dabei unlauter, wer im konkreten Fall unter Berücksichtigung aller Umstände

  • dem Verbraucher eine wesentliche Information vorenthält (wobei, hier relevant, auch das Verheimlichen wesentlicher Informationen erfasst ist),
  • die dieser je nach den Umständen benötigt, um eine informierte geschäftliche Entscheidung zu treffen, und
  • deren Vorenthalten geeignet ist, ihn zu einer geschäftlichen Entscheidung zu veranlassen, die er anderenfalls nicht getroffen hätte.

Es konzentriert sich damit am Ende auf zwei Fragen: Handelt es sich überhaupt um eine wesentliche Information und liegt ein Vorenthalten im Sinne des UWG vor?

Kein Vorenthalten von Informationen

Eine Information wird dem Verbraucher im Sinne des Wettbewerbsrechts vorenthalten, wenn sie zum Geschäfts- und Verantwortungsbereich des Unternehmers gehört oder dieser sie sich mit zumutbarem Aufwand beschaffen kann und der Verbraucher sie nicht oder nicht so erhält, dass er sie bei seiner geschäftlichen Entscheidung berücksichtigen kann (das OLG Köln verweist insoweit auf BGH, I ZR 232/16). Abzustellen ist bei der Bewertung “auf den Standard an Fachkenntnissen, die im Tätigkeitsbereich des Werbenden üblich sind, deren Kenntnis von ihm nach Treu und Glauben unter Berücksichtigung der anständigen Gepflogenheiten im Wettbewerb zu erwarten sind”.

Das OLG vertritt dabei die Auffassung, dass der hier betreffende Elektronik-Fachmarkt nicht in der Lage wäre, sich die Informationen über Sicherheitslücken für jedes einzelne von ihr angebotene Smartphone-Modell mit zumutbarem Aufwand zu verschaffen.


An dieser Stelle nun zeigt sich, dass man im Wettbewerbsrecht unterwegs ist, weswegen ich die Entscheidung nicht überbewerten möchte: Das Gericht ist an den Klageantrag gebunden. Und der ging hier ausdrücklich in die Richtung, zu verbieten

  • “Verbrauchern internetfähige Mobiltelefone (Smartphones), deren Betriebssystem (hier Android 4.4 kitkat) die folgenden Sicherheitslücken (…) zum Kauf anzubieten, ohne über diese Sicherheitslücken zu informieren”
  • “Verbrauchern internetfähige Mobiltelefone (Smartphones) zum Kauf anzubieten ohne darüber zu informieren, dass für die jeweiligen Betriebssysteme des Smartphones durch den Hersteller keine Sicherheitsupdates für die Betriebssysteme zur Verfügung gestellt werden, wenn dies geschieht wie nachfolgend eingeblendet:”

Es geht also um Sicherheitslücken der jeweiligen Mobiltelefone, nicht um grundsätzliche Erwägungen hinsichtlich des eingesetzten Android-Systems. Wenn man hier als Händler nun eine Vielzahl von Handys zur Verfügung stellen möchte, wird das kaum mehr zu erfüllen sein – und da gleich das gesamte Handy betroffen ist, muss man nicht nur Infos zum Betriebssystem und zur Kombination Betriebssystem/konkretes Mobiltelefon sammeln. Wie das gehen soll für einen schlichten Verkäufer ist schwierig und das OLG weist dann durchaus nachvollziehbar darauf hin, dass ein Verkäufer dann am Ende

Sicherheitslücken eines Smartphones nur durch Tests selbst feststellen kann, die sich auf den jeweiligen Typ des Smartphones beziehen müssen. Unstreitig haben Smartphones, die das gleiche Betriebssystem und den gleichen Entwicklungsstand dieses Betriebssystems nutzen, nicht immer die gleichen Sicherheitslücken, was sich auch aus dem Testkauf des Klägers zeigt.

Das ist der Punkt: Der Antrag betraf nicht die schlichte Tatsache, dass hier ein Handy mit einem vollkommen veralteten Betriebssystem verkauft wurde, worauf man durchaus hinweisen könnte. Denn die Liste mit Android-Betriebssystem-Updates im Allgemeinen ist frei zugänglich und hier sieht man bereits, dass das installierte 4.4.2 zum Zeitpunkt des Kaufs fast 3 Jahre alt war und problemlos ein 4.4.4 verfügbar sein müsste; ganz zu schweigen davon, dass man insgesamt bereits im Android 7er Zweig angekommen war. Und es wäre weder zu viel verlangt, noch unzumutbar für einen Verkäufer, durch einen Aushang bei den ohnehin systematisch nach System sortierten Smartphones im Verkauf dem Käufer vorher die Möglichkeit zu geben, sich direkt vor Ort zu informieren, dass es vielleicht auf Ebene des Betriebsystems “hapern” könnte. Aber: Das war hier nicht der Antrag!

Keine wesentliche Information

Das OLG sieht in den mangelnden Sicherheitsupdates keine wesentliche Information, auch wenn es das Informationsbedürfnis des Verbrauchers zuerst betont:

Hierbei ist zu berücksichtigen, dass die Information über das Vorliegen von Sicherheitslücken für den Verbraucher von großer Bedeutung ist. Denn tatsächlich können durch Sicherheitslücken Daten des Verbrauchers bei der Nutzung des Smartphones erlangt werden, was eine erhebliche der Verletzung der Privatsphäre des Verbrauchers bedeuten kann. Auch können die erlangten Daten zu betrügerischen Zwecken missbraucht und der Verbraucher hierdurch massiv geschädigt werden. Dies zeigt auch die von dem Kläger vorgelegte Umfrage, nach der sich 92% der Befragten Informationen über Sicherheitsupdates wünschen.

Gleichwohl lehnt das OLG eine wesentliche Information, und damit die Notwendigkeit der Information, ab – und bietet ein Sammelsurium der Probleme, die wir derzeit in diesem Land im Bereich Cybersicherheit haben:

  • Sicherheitslücken beeinträchtigen nach Sichtweise des OLG nicht die Verkehrsfähigkeit des Smartphones: “Denn es ist allgemein bekannt, dass jedes Betriebssystem Sicherheitslücken aufweist, die teilweise nicht bekannt sind”. Verkannt wird dabei bereits, dass irgendwelche in Zukunft auftretenden, derzeit unbekannten, Sicherheitslücken etwas vollkommen anderes sind als ein hoffnungslos veraltetes System, für das massenhaft Exploits bereits im Umlauf sind.
  • Die Voraussetzungen für die Annahme eines Mangels seien nicht erfüllt, weil der Verbraucher – siehe soeben – von Sicherheitslücken ausgeht. Was die grundsätzliche Kenntnis von der Möglichkeit von Sicherheitsmängeln mit dem Verkauf eines eklatant veralteten Systems zu tun hat erschliesst sich mir nicht. Mir ist auch neu, dass eine grundsätzliche Fehlermöglichkeit bei Software plötzlich den Weg zum Gewährleistungsrecht verschliesst, gerade das Gegenteil ist der Fall.
  • Allerdings gab es wohl auch einen Lapsus in der Klage, laut Urteil wurde nicht vorgetragen , “dass das Betriebssystem nicht dazu geeignet ist, die vorgesehen Leistungen zu erbringen”. Das war natürlich Murks, hier hätte man besser Vortragen müssen: Wenn etwa in der Version 4.4.4 ein Bug beseitigt wurde, der Man-in-the-Middle-Attacken bis dahin ermöglichte und im übrigen erst in 4.4.3 ständige Verbindungsabbrüche beseitigt wurden, hätte man durchaus die Brücke im klageweise gemachten Vortrag schlagen können zwischen “mangelnde Sicherheitsupdates” und “Sachmangel”. Schade …
  • Kein Vorwurf an das Gericht, vielmehr an den Gesetzgeber sind die zutreffenden Ausführungen des OLG, dass die Information, dass für das konkrete Modell des Smartphones keine Sicherheitsupdates mehr erfolgen werden, für den Verkäufer gar nicht möglich ist, da diese dem Verkäufer zum Zeitpunkt des Verkaufs in der Regel nicht bekannt sein wird und man hier auf die Mithilfe des Herstellers angewiesen wäre. Es ist vielmehr Vorwurf an den Gesetzgeber, dass wir uns längst daran gewöhnt haben, vom Fernseher bis zum PKW, wertvolle Alltagsgegenstände zu kaufen, die quasi ab Kauf sehr oft schon keine Softwareupdates mehr erhalten. Es muss die Pflicht existieren, dass dass Geräte für eine Mindestzeit mit Sicherheitsupdates versorgt werden und dass ein Verbraucher auf einen Blick erkennen kann, ob ein Gerät vom Hersteller noch versorgt wird oder nicht. Diese Pflicht läge auch genuin bei den Herstellern und eben nicht bei den Verkäufern.

Fazit: Keine überbordenden Pflichten für Verkäufer – aber auch wenig Sicherheit für alle

Das Thema ist noch lange nicht durch, irgendwann wird ohnehin der Gesetzgeber reagieren müssen. Vollkommen außen vor war hier beispielsweise, dass es eben nicht nur um den einzelnen Käufer gehen darf, sondern dass hier aus sicherheitstechnischer Sicht eine tickende Zeitbombe verkauft wurde – dabei ist davon auszugehen, dass so ein Gerät gerade von jemandem gekauft wird, der seinerseits (zu) wenig Erfahrung hat. Was das Gefährdungspotential noch mal potenziert. Dieser Aspekt der Gefährdung der Allgemeinheit durch den Verkauf unsicherer Geräte wurde gar nicht geprüft bei der Frage des vorliegend einer wesentlichen Information. Schon insofern empfinde ich die Entscheidung als unbefriedigend.

Ich denke aber auch, dass der Ansatz schon verfehlt war: Es ist nicht Aufgabe des Verkäufers, darauf hinzuweisen (und vorher mühselig tatgenau zu ermitteln) welche Geräte noch Updates erhalten und welche nicht. Dieser Aufwand wäre nicht zumutbar, anders als etwa ein Hinweis auf bereits ausgemusterte reine Auslaufmodelle. Ich kann mir aber durchaus vorstellen, dass ein Klageantrag, gerichtet auf die Aufklärung der Betriebsystemlinien im Allgemeinen, durchaus erfolgreicher sein könnte.

Eine ganz andere Frage wäre im Übrigen, wie zivilrechtlich damit umzugehen ist – hier ging es ja nur um das Wettbewerbsrecht: Ein Verkäufer, konkret auf die Problematik angesprochen, muss z.B. die Wahrheit sagen wenn er keine Ahnung hat zur Sicherheitslage des konkreten Produkts. Genauso wird man erwarten dürfen, dass eine Information dazu, welches Betriebssystem gerade aktuell ist, gegeben werden kann (gleich ob Android, iOS oder Windows) – und wenn hier getäuscht wird, stehen zivilrechtliche Ansprüche im Raum.
Spätestens wenn es nicht nur um einen Verkauf geht, sondern zum Beispiel – auch nur nebenvertraglich – eine Beratung geschuldet ist (etwa wenn ein Unternehmer einen IT-Ausstatter bittet, Personal und Büro auszurüsten – läge ein eklatanter Mangel vor, wenn hier ohne entsprechende Hinweise auf veraltete Software gesetzt wird.

Rechtsanwalt & Strafverteidiger bei Anwaltskanzlei Ferner Alsdorf
Im Raum Aachen & Heinsberg als Strafverteidiger und Fachanwalt für IT-Recht Ihr Ansprechpartner im gesamten Strafrecht mit den Schwerpunkten Strafverteidigung & Cybercrime und Persönlichkeitsrecht. Weiterhin im Ordnungswidrigkeitenrecht, speziell bei Bußgeldern von Bundesbehörden. Er arbeitet zusammen mit Fachanwalt für Strafrecht Dieter Ferner, dem Kanzleigründer, der im Strafrecht und Verkehrsrecht tätig ist.
Termin vereinbaren: 02404-92100 | kontakt@kanzlei-ferner.de | Notruf für dringende Fälle
Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht | Termin: 02404 92100 - Strafverteidger-Notruf: 02404 95998727
Letzte Artikel von Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht | Termin: 02404 92100 - Strafverteidger-Notruf: 02404 95998727 (Alle anzeigen)

Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht | Termin: 02404 92100 - Strafverteidger-Notruf: 02404 95998727

Von Rechtsanwalt Jens Ferner: Strafverteidiger & Fachanwalt für IT-Recht | Termin: 02404 92100 - Strafverteidger-Notruf: 02404 95998727

Im Raum Aachen & Heinsberg als Strafverteidiger und Fachanwalt für IT-Recht Ihr Ansprechpartner im gesamten Strafrecht mit den Schwerpunkten Strafverteidigung & Cybercrime sowie Arbeitsrecht und Persönlichkeitsrecht. Weiterhin im Ordnungswidrigkeitenrecht, speziell bei Bußgeldern von Bundesbehörden. Er arbeitet zusammen mit Fachanwalt für Strafrecht Dieter Ferner, dem Kanzleigründer, der im Strafrecht und Verkehrsrecht tätig ist.