IT-Sicherheit als Faktor der Produkthaftung

Rechtsanwalt & Fachanwalt für Informationstechnologierecht Jens Ferner: Ihr Anwalt in Alsdorf für die Region Aachen, Heinsberg & Düren im gesamten IT-Recht & Datenschutzrecht. Zu meiner Kerntätigkeit gehören als Fachanwalt für IT-Recht das Softwarerecht, Domainrecht, IT-Vertragsrecht, sowie mit Bezügen zur IT das Urheberrecht und Markenrecht.

Besprechungstermin vereinbaren: 02404-92100 | Anwalt für IT-Recht

Beachten Sie, dass wir ausnahmslos keine Beratung per Mail anbieten und dass wir nicht tätig sind, wenn sich Gerichtsstand oder Auftraggeber ausserhalb der Regionen Aachen, Heinsberg, Düren, Düsseldorf oder Köln befinden.

Auf Spiegel-Online ist ein bemerkenswerter Beitrag zu lesen, der sich mit der IT-Sicherheit von Herzschrittmachern beschäftigt. Dort wird angesprochen, dass die IT-Sicherheit von Herzschrittmachern auf den Prüfstand gehört, insbesondere eingebaute Software offen gelegt sein sollte und ein Zugriff von außen abgesichert sein muss.

Das Thema ist ideal geeignet, um eine zunehmende Problematik zu verdeutlichen, denn hier geht es um ein äusserst sensibles Produkt an extrem gefährlicher Stelle – und offenkundig ist nicht einmal in diesem Bereich IT-Sicherheit ein Thema. Dabei haben Unternehmen auch in juristischer Hinsicht sehr gute Gründe, sich mit der IT-Sicherheit zu beschäftigen, die in Zukunft über die Produkthaftung eine ganz enorme Rolle spielen wird.

Entwicklung hin zur Produkthaftung

Ich habe mitunter den Eindruck, dem Thema IT-Sicherheit wird im Wirtschaftsleben eine Bedeutung beigemessen in etwa auf dem Niveau des Datenschutzes: Alle reden drüber, jeder sagt „wichtig“, am Ende ist es aber ein ungeliebter Störfaktor. Dies ändert sich allmählich, etwa durch den aktuell gegangenen Weg eines ersten IT-Sicherheitsgesetzes, doch auch hier scheint der Fokus mehr auf Absicherung vor Terrorismus zu liegen als in dem Gedanken der Stärkung der Sicherheit allgemein.

Aus juristischer Sicht ist das bemerkenswert, denn die Frage der IT-Sicherheit ist kein „Gimmick“ bei Produkten und vor allem auch keine Frage der einfachen Gewährleistung. Vielmehr ist in einer Welt des „Internets der Dinge“ zu sehen, dass Produkt und IT zusammenwachsen, somit Fragen der Produkthaftung in den Fokus rücken die bei IT bisher eher außen vor waren. Zur Erinnerung: Die Produkthaftung führt dazu, dass es zwischen Hersteller und Endkunden zu einer Gefährdungshaftung des Herstellers kommt, losgelöst von der Frage ob überhaupt vertragliche Beziehungen bestehen. §1 Abs.1 Produkthaftungsgesetz beschreibt das so:

Wird durch den Fehler eines Produkts jemand getötet, sein Körper oder seine Gesundheit verletzt oder eine Sache beschädigt, so ist der Hersteller des Produkts verpflichtet, dem Geschädigten den daraus entstehenden Schaden zu ersetzen.

Man merkt den engen Anwendungsbereich, der im Hinblick auf viele Softwareprodukte wenig relevant erscheint. Auch wenn mit der Rechtsprechung zumindest bei Standardsoftware die Produkthaftung eröffnet ist.  Doch man muss auch kein Wahrsager sein, um zu sehen dass sich das ändert: Moderne Implantate wie Herzschrittmacher sind mit Software versehene Produkte und autonome Kraftfahrzeuge stehen vor der Türe.

Weiter Fehlerbegriff wird sich auswirken

Es ist weiter daran zu erinnern, dass sich der EUGH zum Fehlerbegriff bei Produkten geäußert hat und hier einen wertenden weiten Fehlerbegriff geschaffen hat. Kurzum formuliert bedeutet dies: Je bedeutsamer ein Produkt für den Verwender ist, umso eher ist ein Fehler schon dann anzunehmen, wenn bei der Produktreihe ein nur potenzieller Fehler vorliegt, der konkret noch gar nicht bei diesem einen Produkt festgestellt wurde. Passend: In dieser Entscheidung ging es um Herzschrittmacher. Man könnte auch sagen, dass bei lebensbedrohlichen Produkten schon der konkrete Verdacht eines Fehlers wie ein Fehler zu behandeln ist.

Dies hat konkrete Auswirkungen dort, wo unmittelbar Auswirkungen für das Leben von Betroffenen bestehen, sowohl bei inneren elektronischen Implantaten als auch bei autonomen Fahrzeugen. Denn wo schon ein potentieller Fehler einer Baureihe als faktischer Fehler des einzelnen Produkts zu behandeln ist, da bestehen bei konkreten Verdachtsmomenten eines Fehlers schon Haftungsfragen.

Haftung des Vorstands

Wer solche Produkte auf den Markt bringt, der muss die eigene Haftung neu denken: Zum einen drängt sich schon geradezu auf, dass die Schwelle zur Haftung früher beginnt. Darüber hinaus wird sich die Rechtsprechung mit einer alten Frage beschäftigen müssen, nämlich wie sich für den Vorstand zivilrechtliche Pflichten auf die strafrechtlichen Pflichten auswirken. Der BGH hatte in seiner bekannten Lederspray-Fall-Entscheidung – aus meiner Sicht – deutlich gemacht, dass hier eine Wechselwirkung besteht, die Pflichten gleichwohl aber losgelöst voneinander zu bestimmen sind. Jedenfalls bei lebensbedrohlichen Massenprodukten dürfte der BGH die Augen aber kaum vor dem weiten Fehlerbegriff des EUGH verschliessen können. Der Raum für eine eigene Strafbarkeit des Vorstands im Rahmen der Produkthaftung könnte sich hier erheblich vergrößern.

IT-Sicherheit stärken

Unternehmen dürfen in den entsprechenden Bereich nicht passiv abwarten sondern müssen IT-Sicherheit als zukünftiges strafrechtliches Problem begreifen. Wenn im Spiegel-Artikel etwa angemahnt wird, dass Software für sensible Geräte wie Herzschrittmacher nicht als Closed-Source-Software sondern als Opensource-Software gepflegt werden sollte, ist dies ein nachvollziehbarer Ansatz. Offene Software, die frei geprüft werden kann und öffentlich begutachtet wird wäre ein ernstzunehmender Schritt zur strafrechtlichen Entlastung von Vorständen, während Closed-Spource-Software die Haftung des Vorstands gar noch erhöhen dürfte.

Produkthaftung als Thema der Zukunft

Dort wo es um Leben und körperliche Integrität geht dürfte IT-Sicherheit über die Produkthaftung strafrechtliche Relevanz genießen und sich zur Motivation für Vorstände entwickeln, hier Energie zu investieren. Dort wo es um Sachschäden geht wird sich noch zeigen müssen, ob die Produkthaftung das schärfere Werkzeug im Vergleich zur Gewährleistung werden wird. Hierfür finden sich im „Internet der Dinge“ auch durchausSzenarien: Wenn etwa auf Grund einer bekannten und nicht gepflegten Sicherheitslücke massenhaft Kühlschränke durch einen Hack-Angriff lahmgelegt werden und hierdurch massenhaft Lebensmittel verderben, ein Auto böswillig ferngelenkt wird oder Heizungsanlagen Schaden nehmen durch eine von außen böswillig herbeigeführte Fehlsteuerung. Diese Fälle wären über die übliche Gewährleistung eher schwerfällig zu lösen, die Produkthaftung macht es für Verbraucher durchaus etwas leichter.