Gibt es einen Anspruch auf Updates: Auf Spiegel-Online ist ein bemerkenswerter Beitrag zu lesen, der sich mit der IT-Sicherheit von Herzschrittmachern beschäftigt. Dort wird angesprochen, dass die IT-Sicherheit von Herzschrittmachern auf den Prüfstand gehört, insbesondere eingebaute Software offen gelegt sein sollte und ein Zugriff von außen abgesichert sein muss.
Das Thema ist ideal geeignet, um eine zunehmende Problematik zu verdeutlichen, denn hier geht es um ein äusserst sensibles Produkt an extrem gefährlicher Stelle – und offenkundig ist nicht einmal in diesem Bereich IT-Sicherheit ein Thema. Dabei haben Unternehmen auch in juristischer Hinsicht sehr gute Gründe, sich mit der IT-Sicherheit zu beschäftigen, die in Zukunft über die Produkthaftung eine ganz enorme Rolle spielen wird.
Entwicklung der IT-Sicherheit hin zur Produkthaftung
Ich habe mitunter den Eindruck, dem Thema IT-Sicherheit wird im Wirtschaftsleben eine Bedeutung beigemessen in etwa auf dem Niveau des Datenschutzes: Alle reden drüber, jeder sagt „wichtig“, am Ende ist es aber ein ungeliebter Störfaktor. Dies ändert sich allmählich, etwa durch den aktuell gegangenen Weg eines ersten IT-Sicherheitsgesetzes, doch auch hier scheint der Fokus mehr auf Absicherung vor Terrorismus zu liegen als in dem Gedanken der Stärkung der Sicherheit allgemein.
Aus juristischer Sicht ist das bemerkenswert, denn die Frage der IT-Sicherheit ist kein „Gimmick“ bei Produkten und vor allem auch keine Frage der einfachen Gewährleistung. Vielmehr ist in einer Welt des „Internets der Dinge“ zu sehen, dass Produkt und IT zusammenwachsen, somit Fragen der Produkthaftung in den Fokus rücken die bei IT bisher eher außen vor waren. Zur Erinnerung: Die Produkthaftung führt dazu, dass es zwischen Hersteller und Endkunden zu einer Gefährdungshaftung des Herstellers kommt, losgelöst von der Frage ob überhaupt vertragliche Beziehungen bestehen. §1 Abs.1 Produkthaftungsgesetz beschreibt das so:
Wird durch den Fehler eines Produkts jemand getötet, sein Körper oder seine Gesundheit verletzt oder eine Sache beschädigt, so ist der Hersteller des Produkts verpflichtet, dem Geschädigten den daraus entstehenden Schaden zu ersetzen.
Man merkt den engen Anwendungsbereich, der im Hinblick auf viele Softwareprodukte wenig relevant erscheint. Auch wenn mit der Rechtsprechung zumindest bei Standardsoftware die Produkthaftung eröffnet ist. Doch man muss auch kein Wahrsager sein, um zu sehen dass sich das ändert: Moderne Implantate wie Herzschrittmacher sind mit Software versehene Produkte und autonome Kraftfahrzeuge stehen vor der Türe.
Der weite Fehlerbegriff im Produkthaftungsrecht wird sich auswirken
Es ist weiter daran zu erinnern, dass sich der EUGH zum Fehlerbegriff bei Produkten geäußert hat und hier einen wertenden weiten Fehlerbegriff geschaffen hat. Kurzum formuliert bedeutet dies: Je bedeutsamer ein Produkt für den Verwender ist, umso eher ist ein Fehler schon dann anzunehmen, wenn bei der Produktreihe ein nur potenzieller Fehler vorliegt, der konkret noch gar nicht bei diesem einen Produkt festgestellt wurde. Passend: In dieser Entscheidung ging es um Herzschrittmacher. Man könnte auch sagen, dass bei lebensbedrohlichen Produkten schon der konkrete Verdacht eines Fehlers wie ein Fehler zu behandeln ist.
Dies hat konkrete Auswirkungen dort, wo unmittelbar Auswirkungen für das Leben von Betroffenen bestehen, sowohl bei inneren elektronischen Implantaten als auch bei autonomen Fahrzeugen. Denn wo schon ein potentieller Fehler einer Baureihe als faktischer Fehler des einzelnen Produkts zu behandeln ist, da bestehen bei konkreten Verdachtsmomenten eines Fehlers schon Haftungsfragen.
Pflicht zu Softwareupdates mit dem Produkthaftungsrecht?
Auch wenn es attraktiv klingt eine Pflicht für Software-Updates über die Produkthaftung zu konstruieren, so ist dies nicht zwingend. Denn der Hersteller ist durchaus privilegiert: Er hat zum einen die Wahlfreiheit zwischen der Aussprache einer Warnung und dann eben der Reaktion dergestalt, dass ein Update zur Verfügung gestellt wird. Weniger aber nur deswegen, weil die Software – das Produkt – bereits veräussert wurde: So enden die Sicherungspflichten des Warenherstellers nicht mit dem Inverkehrbringen des Produkts. Er ist vielmehr verpflichtet, auch nach diesem Zeitpunkt alles zu tun, was ihm nach den Umständen zumutbar ist, um Gefahren abzuwenden, die sein Produkt erzeugen kann:
Er muss es auf noch nicht bekannte schädliche Eigenschaften hin beobachten und sich über seine sonstigen, eine Gefahrenlage schaffenden Verwendungsfolgen informie- ren (vgl. Senatsurteile BGHZ 80, 199, 202 f.; 99, 167, 172 ff.). Hieraus können sich insbesondere Reaktionspflichten zur Warnung vor etwaigen Produktgefah- ren ergeben, wobei Inhalt und Umfang einer Warnung und auch ihr Zeitpunkt wesentlich durch das jeweils gefährdete Rechtsgut bestimmt werden und vor allem von der Größe der Gefahr abhängig sind (Senatsurteil BGHZ 80, 186, 191 f.). Erst recht treffen den Hersteller solche Pflichten, sobald er erkennt oder für möglich hält, dass sein Produkt einen ihm anzulastenden Konstruktionsfeh- ler aufweist (vgl. LG Frankfurt/M., VersR 2007, 1575f.; Foerste, in: v. Westphalen, Produkthaftungshandbuch, 2. Aufl., § 24, Rn. 243; G. Hager, JZ 1990, 397, 405; Dietborn/Müller, BB 2007, 2358, 2359).
BGH, VI ZR 170/07
Aber die Sicherungspflichten des Herstellers sind nach Inverkehrbringen seines Produkts eben nicht notwendig auf die Warnung vor etwaigen Gefahren beschränkt und können mit der Rechtsprechung des BGH insbesondere dann weiter gehen, wenn
- Grund zu der Annahme besteht, dass die Warnung, selbst wenn sie hinreichend deutlich und detailliert erfolgt, den Benutzern des Produkts nicht ausreichend ermöglicht, die Gefahren einzuschätzen und ihr Verhalten darauf einzurichten (BGH, VI ZR 170/07);
- die Warnung zwar ausreichende Gefahrkenntnis bei den Benutzern eines Produkts herstellt, aber Grund zu der Annahme besteht, diese würden sich – auch bewusst – über die Warnung hinwegsetzen und dadurch Dritte gefährden (BGH, VI ZR 170/07);
Eine über eine Warnung oder einen Rückruf hinausgehende Pflicht des Herstellers, ein durch bereits im Verkehr befindliche fehlerhafte Produkte bestehendes Sicherheitsrisiko durch Nachrüstung oder Reparatur auf seine Kosten zu beseitigen würde mit dem BGH voraussetzen, dass eine solche Maßnahme im konkreten Fall erforderlich ist, um Produktgefahren, die durch § 823 Abs. 1 BGB geschützten Rechtsgütern der Benutzer oder unbeteiligter Dritter drohen, effektiv abzuwehren. Aber der BGH geht den Weg, dass es alleine um die Gefahrenabwehr geht, und hat insoweit klargestellt, dass ein Nachrüsten gerade nicht zwingend ist sondern auch die Hilfe zur eigenen Nachrüstung ausreicht – oder der Aufruf, die Benutzung ganz einzustellen:
Zur Abwendung von Gefahren, die Dritten durch die Nutzung von Produkten bekannter oder zumindest ermittelbarer Abnehmer drohen, kann es auch in Fällen erheblicher Gefahren vielfach genügen, dass der Hersteller die betreffenden Abnehmer über die Notwendigkeit einer Nachrüstung oder Reparatur umfassend informiert und ihnen, soweit erforderlich, seine Hilfe anbietet, um sie in die Lage zu versetzen, die erforderlichen Maßnahmen in geeigneter Weise auf ihre Kosten durchzuführen (…) Je nach Lage des Falles kann auch eine Aufforderung zur Nichtbenutzung oder Stilllegung gefährlicher Produkte (…), gegebenenfalls in Verbindung mit öffentlichen Warnungen und der Einschaltung der zuständigen Behörden (…), als geeignete Maßnahme zum Schutz vor drohenden Gefahren in Betracht kommen und ausreichend sein
BGH, VI ZR 170/07
Im Ergebnis kommt man damit zu dem Schluss, dass jedenfalls mit der bisherigen Rechtsprechung des BGH wohl kein grundsätzlicher Anspruch auf Lieferung von Updates besteht. Der „Witz“ ist dabei die stringente Anwendung der Logik des BGH: Um einen Anspruch geltend zu machen muss von der Gefahr wissen, die von dem Produkt ausgeht, um diese vorzutragen. Sobald die Gefahr aber derart konkret genug bekannt ist, kann der Benutzer im Regelfall die Benutzung einstellen.
Eine Ausnahme ergibt sich dann für die Dinge, deren Benutzung man nicht einfach so einstellen kann – zum Überleben notwendige medizinische Geräte werden darunter fallen (das Medizinproduktegesetz verweist insoweit auf das Produkthaftungsrecht). Insoweit mag sich keine grundsätzlich Pflicht für Updates mit dem Produkthaftungsrecht ergeben, wohl aber bei lebenswichtigen Gegenständen, die man weder einfach austauschen noch deren Benutzung man einstellen kann.
Ansatzpunkt Strafrecht: Haftung des Vorstands
Wer Produkte auf den Markt bringt, der muss die eigene strafrechtliche Haftung neu denken: Zum einen drängt sich schon geradezu auf, dass die Schwelle zur Haftung früher beginnt. Darüber hinaus wird sich die Rechtsprechung mit einer alten Frage beschäftigen müssen, nämlich wie sich für den Vorstand zivilrechtliche Pflichten auf die strafrechtlichen Pflichten auswirken. Der BGH hatte in seiner bekannten Lederspray-Fall-Entscheidung – aus meiner Sicht – deutlich gemacht, dass hier eine Wechselwirkung besteht, die Pflichten gleichwohl aber losgelöst voneinander zu bestimmen sind. Jedenfalls bei lebensbedrohlichen Massenprodukten dürfte der BGH die Augen aber kaum vor dem weiten Fehlerbegriff des EUGH verschliessen können. Der Raum für eine eigene Strafbarkeit des Vorstands im Rahmen der Produkthaftung könnte sich hier erheblich vergrößern.:
Unternehmen dürfen in den entsprechenden Bereich nicht passiv abwarten sondern müssen IT-Sicherheit als zukünftiges strafrechtliches Problem begreifen. Wenn im Spiegel-Artikel etwa angemahnt wird, dass Software für sensible Geräte wie Herzschrittmacher nicht als Closed-Source-Software sondern als Opensource-Software gepflegt werden sollte, ist dies ein nachvollziehbarer Ansatz. Offene Software, die frei geprüft werden kann und öffentlich begutachtet wird wäre ein ernstzunehmender Schritt zur strafrechtlichen Entlastung von Vorständen, während Closed-Spource-Software die Haftung des Vorstands gar noch erhöhen dürfte.
Ansatzpunkt: Vertragsrecht
Vertragliche Ansprüche sind immer zu thematisieren: Enthält eine Software Sicherheitslücken, dann ist sie mangelhaft. Hier besteht somit ein Gewährleistungsanspruch – allerdings natürlich nur im Rahmen der regelmäßig 2jährigen Gewährleistungsfrist. Weiterhin müsste der Fehler bereits bei Gefahrübergang vorgelegen haben; sollte eine Unsicherheit erst durch nach Gefahrübergang (weiter)entwickelte Angriffstechnik entstanden sein dürfte es sich schwerlich um einen Gewährleistungsfall handeln. Dass dann gerade bei massenhaft vertriebener Standardsoftware Verkäufer und Hersteller auseinanderfallen macht es nicht dankbarer. Hier auf diesem Weg Updatepflichten zu konstatieren erscheint eher schwierig nach aktueller Gesetzeslage.
Ansatzpunkt: Wettbewerbsrecht
Einen sehr interessanten Ansatz bietet der Gedanke, über das Wettbewerbsrecht zu gehen. Raue hat in NJW 2017, 1841 diesen Vorschlag gemacht im Hinblick auf die durch Schadsoftware betroffene Entscheidungsfreiheit des Verbrauchers nach §4a UWG. Dazu verweist er auf die Rechtsprechung des BGH, da Der Bundesgerichtshof schon früh entschieden hat:
Wer durch sein Handeln im geschäftlichen Verkehr die ernsthafte Gefahr begründet, dass Dritte durch das Wettbewerbsrecht geschützte Interessen von Marktteilnehmern verletzen, ist aufgrund einer wettbewerbsrechtlichen Verkehrspflicht dazu verpflichtet, diese Gefahr im Rahmen des Möglichen und Zumutbaren zu begrenzen. Wer in dieser Weise gegen eine wettbewerbsrechtliche Verkehrspflicht verstößt, ist Täter einer unlauteren Wettbewerbshandlung.
BGH, I ZR 18/04
Dabei schadet es auch nicht, dass etwa Angriffe auf IT-Systeme verhaltensgesteuert sind, man also scheinbar eine Haftung für vorsätzliches Verhalten Dritte schafft. Der BGH meint dazu: „Der Annahme wettbewerbsrechtlicher Verkehrspflichten steht nicht entgegen, dass diese auf die Abwehr der Beeinträchtigung wettbewerbsrechtlich geschützter Interessen von Marktteilnehmern gerichtet sind und damit auf die Abwendung eines Verhaltens.“ Dies ist konsequent, denn anders herum wird der Schuh draus – Vorwurf ist nämlich, dass auf Grund eigener Verkehrssicherungspflichtverletzungen erst das schadhafte Verhalten Dritter möglich wird. Vorliegend wird das Verbreiten von Schadsoftware und das Versenden von SPAM mit dem Gedanken von Raue nun möglich, weil die Software nicht hinreichend gesichert ist, um somit dann einen lauterkeitsrechtlichen Anspruch zu eröffnen.
Das klingt gut, ich sehe es aber kritisch – jedenfalls bei Standard-Software und IT-Systemen. Die hier herangezogene Entscheidung des BGH „Jugendgefährdende Medien bei eBay“ bezog sich auf einen Internetdienst, von dem eine Kontrolle der vorgehaltenen Angebote verlangt wurde. Abgesehen davon, dass es also um einen dauerhaft angebotenen Dienst geht, von dem man eine laufende Kontrolle erwarten kann ist daran zu denken, dass mit der Richtlinie 2000/31/EG eine Überwachung auch noch bereits vorgeschrieben war.
Man mag lauterkeitsrechtliche Konsequenzen über das UWG ziehen, die bieten sich für mich aber nur in zwei Konstellationen sinnvoll an:
- Bei dauerhaft angebotenen Diensten, etwa Internet-Lösungen und/oder Miet-Software;
- Hinsichtlich individuell vertriebener Software ohne Laufzeitvereinbarung nur Bezogen auf den Zeitpunkt des Vertriebs. Wenn also eine bekanntlich unsichere Software weiter vertrieben wird mag man hier über Unterlassungsansprüche aus dem UWG nachdenken.
Dabei können diese Ansprüche dann auch von Verbraucherschutzverbänden geltend gemacht werden, was nochmals ein scharfes Schwert wäre und die Attraktivität dieser Lösung durchaus unterstreicht.
Ansatzpunkt: Produktsicherheitsrecht
Hier möchte ich kurz auf Wiebe in NJW 2019, S.625 Bezug nehmen, der nachvollziehbar zu dem Ergebnis kommt, dass man zwar eine Pflicht zu Updates aus den Verkehrssicherungspflichten ableiten kann – konkret vorgesehen ist sie aber nicht und man muss ganz erhebliche rechtliche Probleme bei der Durchsetzung erkennen, da die Darlegung der Schadenskette bedenklich erscheint.
Produkthaftung als Thema der Zukunft – Anspruch auf Updates?
Dort wo es um Leben und körperliche Integrität geht dürfte IT-Sicherheit über die Produkthaftung strafrechtliche Relevanz genießen und sich zur Motivation für Vorstände entwickeln, hier Energie zu investieren. Dort wo es um Sachschäden geht wird sich noch zeigen müssen, ob die Produkthaftung das schärfere Werkzeug im Vergleich zur Gewährleistung werden wird, was ich skeptisch sehe.
Hierfür finden sich im „Internet der Dinge“ aber auch durchaus Szenarien: Wenn etwa auf Grund einer bekannten und nicht gepflegten Sicherheitslücke massenhaft Kühlschränke durch einen Hack-Angriff lahmgelegt werden und hierdurch massenhaft Lebensmittel verderben, ein Auto böswillig ferngelenkt wird oder Heizungsanlagen Schaden nehmen durch eine von außen böswillig herbeigeführte Fehlsteuerung. Diese Fälle wären über die übliche Gewährleistung eher schwerfällig zu lösen, die Produkthaftung macht es für Verbraucher durchaus etwas leichter. Ansonsten verbliebe der Weg über das Lauterkeitsrecht, der sich in einzelnen Fällen ebenfalls anbieten kann. Das Produktsicherheitsrecht bietet dafür bisher keine ernsthaften Fälle.
Anmerkung: Dem Ruf, dass der Gesetzgeber sich dem Thema „Softwaresicherheit“ widmet kann ich im Ergebnis nur zustimmen. Dabei muss ich mit zunehmender Verwunderung feststellen, wie selten in den Jahren meiner Tätigkeit im Softwarerecht etwa Beiträge in den jedenfalls von mir gelesenen Fachzeitschriften speziell zur Thematik Softwaremängel erscheinen. Gerade die Thematik der Verpflichtung zu Updates wurde eher selten aufgegriffen (hier außen vor blieb noch ein Beitrag in der MMR von Schrader/Engstler,MMR 2018, 356, „Anspruch auf Bereitstellung von Software-Updates“).
- Rückzug aus der Cloud: Kosten, Herausforderungen und rechtliche Aspekte der Re-Migration - 2. November 2024
- Schlag gegen die Plattformen „Flight RCS“ und „Dstat.CC“. - 2. November 2024
- Sophos‘ „Pacific Rim“-Bericht zu chinesischen Cyberangriffsstrategien - 2. November 2024