Software wird heute nicht mehr einmalig ausgeliefert und dann „fertig“ genutzt, sondern lebt von dauernden Updates – genau an dieser Schnittstelle zwischen Technik und Recht setzen meine beiden aktuellen juristischen Fachaufsätze an, die ich hier kurz vorstellen möchte. Denn die juristische Landschaft hat sich verändert und wo wir vor kurzem noch diskutieren mussten, ob und wann Softwareupdates überhaupt zwingend sind, mehrt sich inzwischen die Liste, woraus sich Pflichten zu Updates ergeben – während nicht jedes Update auch ein Update im juristischen Sinne ist, denn Veränderungen an Software können sogar verboten sein.
Hinweis: Die vertragliche Seite der Softwareupdates habe ich sowohl hier als auch hier im Detail vorgestellt.
Was ist eigentlich ein „Update“?
Im Beitrag „Rechtliche Grundlagen von Softwareupdates und -upgrades“ (AnwZert ITR 16/2025 Anm. 3) arbeite ich im allgemeinen Vertragsrecht heraus, wie sich die Aktualisierungspflichten nach den §§ 327f, 327r BGB und für Waren mit digitalen Elementen nach § 475b BGB konkret auswirken. Dabei zeige ich, warum die Unterscheidung zwischen bloßer Aktualisierung zur Erhaltung der Vertragsmäßigkeit und spürbarer Änderung des digitalen Produkts rechtlich zentral ist – und weshalb diese Differenzierung in der Vertragsgestaltung ausdrücklich antizipiert werden muss.
Wer Software- und SaaS-Verträge entwirft, kommt an präzise formulierten Update- und Änderungsklauseln mit konkret benannten „triftigen Gründen“ nicht vorbei, wenn diese Klauseln AGB-rechtlich Bestand haben sollen. Diese Klauseln müssen sich im allgemeinen Vertragsrecht mit den Zwängen zu Updates auseinandersetzen, von denen zumindest folgende bekannt sein sollten:
- Verbraucherrecht: EU‑Richtlinie 2019/770 und ihre Umsetzung in §§ 327f, 327e, 475b BGB verpflichten Anbieter, Funktions‑ und Sicherheitsupdates bereitzustellen, soweit zur Vertragsmäßigkeit digitaler Produkte und Waren mit digitalen Elementen erforderlich.
- Kauf‑/Vertragsrecht: In B2B‑Konstellationen ergeben sich Updatepflichten vor allem aus vertraglichen Abreden und der Pflicht, die geschuldete Beschaffenheit und Nutzungsmöglichkeit des Werks/Produkts zu erhalten (ergänzend zu den verbraucherrechtlichen Normen).
- IT‑Sicherheitsrecht: NIS2 und das neue BSI‑Recht verlangen von betroffenen Unternehmen ein kontinuierliches Schwachstellen‑ und Patch‑Management als Teil eines angemessenen Sicherheitsniveaus.
- Cyber Resilience Act (CRA): Hersteller von „Produkten mit digitalen Elementen“ müssen während der vorgesehenen Nutzungsdauer Sicherheitsupdates bereitstellen, Vulnerability‑Management betreiben und eine Update‑Policy einschließlich Kommunikation zu verfügbaren Updates vorhalten.
- Ökodesign/Produktsicherheit: Ökodesign‑ und produktsicherheitsrechtliche Vorgaben können für bestimmte Gerätekategorien faktisch eine Pflicht zu Softwareupdates begründen, um Energieeffizienz, Ressourcenschonung und Konformität während der Lebensdauer sicherzustellen, insbesondere bei vernetzten Geräten und IoT‑Produkten.
Softwarerecht bei uns
Das Softwarerecht samt Rechtsfragen rund um Open Source ist die große Leidenschaft von Rechtsanwalt Jens Ferner; entsprechend finden Sie auf unserer Seite Unmengen von Informationen rund um Rechtsfragen von Software sowie Beratung zu Softwarerecht und Opensource-Software:
- Rechtsfragen in IT-Projekten
- Rechtsfragen zu Computerspielen
- Cybersicherheit in der Software-Lieferkette und SBOM
- Urheberrechtlicher Schutz von Software und Urheberrecht in der Softwareentwicklung mit Arbeitnehmer
- Copyleft bei Opensource-Software
- Opensource-Software-Compliance und OSS-Rechtsfragen
- Haftung bei Opensource-Software
- Softwareupdates im Vertragsrecht
- CE-Kennzeichen für Software
- Man sollte in jedem Fall unsere Übersichten mit EUGH-Rechtsprechung und BGH-Rechtsprechung zum Thema gebrauchte Software gelesen haben
- GNU GPL und deutsches Recht
- Produkthaftung: Opensource Software sowie kommerzielle Software & KI
- Schutz von KI
- Fortbestand der Unterlizenz nach Untergang der Hauptlizenz
- Haftung für Chatbot
Der Praxisfall: Softwareeingriffe bei Batteriespeichern
In meine Anmerkung „Softwaredrosselung von Batteriespeichern durch Updates“ zu LG Rostock (jurisPR-ITR 2/2026 Anm. 6) erkläre ich, wie Gerichte mit softwarebasierten Eingriffen in bereits installierte Systeme umgehen – konkret mit der nachträglichen Reduzierung der Speicherkapazität eines Batteriespeichers per Update aus Sicherheitsgründen.
Die Entscheidung legt offen, dass ein Sicherheits‑Update schnell selbst zum Sach- bzw. Konformitätsmangel werden kann, wenn es die vereinbarte Leistung dauerhaft verschlechtert oder eine einseitige Fernsteuerbarkeit ohne klare vertragliche Grundlage eröffnet. Zugleich arbeite ich heraus, wie Gewährleistungsrecht, Garantieversprechen und eigentumsrechtliche Erwägungen (Fernzugriff, Fernsperre, Besitzschutz) ineinandergreifen und welche Konsequenzen sich hieraus für Anspruchsdurchsetzung und Vertragsgestaltung ergeben.
Heikles Thema bei der Vertragsgestaltung
Meine beiden Aufsätze machen deutlich, dass Softwareupdates rechtlich weit mehr sind als „Bugfixes“, und dass vertraglich sauber zwischen notwendiger Aktualisierung und inhaltlicher Veränderung des Produkts unterschieden werden muss.
Wer heutige Software‑, Plattform‑ und IoT‑Verträge entwirft, muss Updatepflichten, Änderungsrechte, Sicherheitsanforderungen und Haftungsrisiken integriert denken – andernfalls kann ein vermeintlich harmloses Update den Vertrag in ein Gewährleistungs- oder AGB-Problem verwandeln. Genau an dieser Schnittstelle zwischen Softwaretechnik, Verbraucherschutzrecht und Vertragsgestaltung bin ich seit Jahren tätig und habe die aktuelle Rechtsprechung und Gesetzgebung zu Updates, Upgrades und produktbezogenen Softwareänderungen vertieft aufgearbeitet.
Cybersicherheit bei uns im Blog
Aufgrund unserer Spezialisierung auf Cybersecurity-Rechtsfragen (RA JF ist zertifizierter Experte für Cybersicherheit, SRH) sowie Managerhaftung beschäftigen wir uns regelmäßig in Beiträgen mit dem IT-Sicherheitsrecht:
- NIS2-Umsetzung in Deutschland 2026
- NIS2-Richtlinie und NIS-Richtlinie
- CER-Richtlinie und DORA
- IT-Sicherheitgesetz 2.0 und IT-Sicherheitsgesetz 1.0
- Cybersecurity-Act und Cyber Solidarity Act
- EU-Verordnung zur Informationssicherheit
- BSI-Gesetz als Grundlage der Cybersecurity (derzeit veraltet)
- Haftung der Geschäftsführung für Sicherheitsmängel
- Softwareupdates gesetzlich geregelt
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Bug-Bounty-Programme
- Wirksame Kündigung bei Verstoß gegen Richtlinie zur Informationssicherheit
- Fahrlässige Tötung durch Schadsoftware im Krankenhaus?
- Haftung des Arbeitnehmers für Installation von Ransomware oder Virus
- Ransomware-Angriffe im Alltag
- Vertrag über Penetrationstest
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- Transitorischer Besitz und faktische Verfügungsgewalt beim Finanzagenten - 8. März 2026
- Cyberfähigkeiten von Israel und Iran - 7. März 2026
- Irans Cyberfähigkeiten und Hacker - 7. März 2026
