Vertragliche Auswirkungen behördlicher Warnung vor Virenschutzsoftware

Das BSI warnte vor dem Einsatz von Kaspersky-Virenschutz-Software – doch welche vertraglichen Auswirkungen hat diese Warnung auf laufende Verträge? Eine Antwort liegt nun bei

Das Landgericht München I hat am 13. Dezember 2023 im Urteil (Az. 29 O 1152/23) zentrale Fragen zur mietvertraglichen Überlassung von Software, zur Definition von Mängeln bei Software, zur Auswirkung von öffentlich-rechtlichen Sanktionen auf die Nutzung von Software und zum Wegfall der Geschäftsgrundlage behandelt. Das Urteil bietet eine erstmalige umfassende rechtliche Analyse und Argumentation zu diesen komplexen Themen.

Sachverhalt

Die Klägerin, ein IT-Lösungshaus, schloss mit der Beklagten, einem Distributor, Verträge über die Überlassung und Pflege von Virenschutzsoftware der Firma K. L. ab. Diese Verträge beinhalteten eine Laufzeit von 24 bzw. 48 Monaten und betrafen die Softwareprodukte „K. Endpoint Security for Business – Select European Edition“ und „K. Security for Mail Server – European Edition“ sowie den Pflegeleistungsservice „K. Maintenance Service – Plus“.

Im Zuge der Vertragsdurchführung zahlte die Klägerin die gesamte Vertragsvergütung im Voraus an die Beklagte. Die Beklagte lieferte daraufhin die Software an die Klägerin, die diese wiederum an ihre Endkunden weiterverkaufte. Die Verträge basierten auf den Allgemeinen Geschäftsbedingungen (AGB) der Beklagten, die unter anderem die Zustimmung zu den Lizenzbedingungen des Software-Herstellers K. L. GmbH verlangten.

BSI-Warnung und Sanktionen

Am 15. März 2022 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnung bezüglich der Nutzung der Virenschutzsoftware des Unternehmens K. L. GmbH. Das BSI empfahl den Austausch der Software aufgrund von Sicherheitsbedenken, die sich aus der Möglichkeit von Spionageaktivitäten durch die russische Regierung ergaben.

Kurz darauf, am 8. April 2022, wurde die Verordnung (EU) Nr. 833/2014 durch die Verordnung (EU) 2022/576 geändert, die öffentliche Aufträge und Konzessionen mit russischen Staatsangehörigen und in Russland ansässigen Organisationen unter bestimmten Umständen verbot. Dies betraf auch die Verträge der Klägerin mit ihren Endkunden.

Vertragskündigung und Rechtsstreit

Aufgrund der BSI-Warnung und der EU-Sanktionen kündigten die Endkunden der Klägerin ihre Verträge zur Nutzung der K. L. GmbH Virenschutzsoftware. Die Klägerin schloss daraufhin Vergleichsvereinbarungen mit den Endkunden und erhielt teilweise Erstattungen. Am 6. Oktober 2022 kündigte die Klägerin auch die Verträge mit der Beklagten und forderte die Rückzahlung des anteiligen Entgelts für die restliche Vertragslaufzeit.


Auswirkungen der Warnung auf laufende Verträge

Zeitlich begrenzte Überlassung von Standardsoftware und Einräumung von Nutzungsrechten hinsichtlich Mietvertragsrecht

Das LG München I entschied, dass auf die zeitlich begrenzte Überlassung von Standardsoftware und die Einräumung von Nutzungsrechten Mietvertragsrecht anzuwenden ist, wenn die vereinbarte Pflege der Software von untergeordneter Bedeutung ist:

  • Mietvertragsrecht: Die Software wurde der Klägerin nicht speziell erstellt, sondern für einen bestimmten Zeitraum überlassen. Daher handelt es sich um einen Mietvertrag und nicht um einen Kauf- oder .
  • Pflegeleistung: Die Pflege der Software ist von untergeordneter Bedeutung und steht in Abhängigkeit zum mietvertraglichen Element. Dies bestätigte sich durch den geringen Leistungsumfang der Pflege im Vergleich zur Software selbst.

Warnung des BSI kein Softwaremangel

Das LG München I entschied, dass ein Mangel einer Virenschutzsoftware gemäß § 536 Abs. 1 S. 1 BGB nicht vorliegt, wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnung in Bezug auf die Nutzung dieser Software ausspricht, weil die Software für Spionageaktivitäten missbraucht werden könnte:

  • Technischer Mangel: Ein technischer Mangel der Software lag nicht vor. Die Sicherheitsbedenken des BSI bezogen sich nicht auf technische Fehler, sondern auf potenzielle Missbrauchsmöglichkeiten durch den russischen Staat.
  • Äußere Umstände: Die BSI-Warnung betraf äußere Umstände, die mit der Mietsache zusammenhängen, jedoch nicht deren Tauglichkeit zum vertragsgemäßen Gebrauch beeinträchtigen. Es lag keine konkrete Gefahr oder ein Verbot der Nutzung vor, lediglich der Verdacht eines möglichen Missbrauchs.

Nutzung der Software durch den Mieter aufgrund von öffentlich-rechtlichen Sanktionen

Das LG München I entschied, dass die Erschwernis der Nutzung einer gemieteten Software durch den Mieter aufgrund von öffentlich-rechtlichen Sanktionen keinen Mangel der Mietsache darstellt:

  • Öffentlich-rechtliche Gebrauchshindernisse: Diese begründen nur dann einen , wenn sie auf der konkreten Beschaffenheit der Mietsache beruhen und nicht in persönlichen oder betrieblichen Umständen des Mieters ihre Ursache haben. Die Sanktionen betrafen den Geschäftsbetrieb der Klägerin und nicht die konkrete Beschaffenheit der Software.

Wegfall der Geschäftsgrundlage und Verpflichtung zur Rückzahlung gezahlter Miete

Das LG München I entschied, dass die Nutzung einer mietvertraglich überlassenen Software aufgrund von Sanktionen rechtlich nicht mehr zulässig ist, dies zum Wegfall der Geschäftsgrundlage führen und eine teilweise Rückzahlung der gezahlten Miete erforderlich machen kann:

  • Wegfall der Geschäftsgrundlage: Die Geschäftsgrundlage der Verträge war der Weitervertrieb der Software an die in den Verträgen benannten Endkunden. Durch die Sanktionen war dies nicht mehr möglich.
  • Unzumutbarkeit des Festhaltens am Vertrag: Eine umfassende Abwägung ergab, dass die Klägerin Anspruch auf Rückzahlung der anteilig geleisteten Mietzahlungen hat, da das Festhalten am Vertrag für sie unzumutbar war. Das Gericht passte den Vertrag an, indem es die Mietzahlungen für die restliche Laufzeit halbierte und Vergleichszahlungen berücksichtigte.

Unnütze Software für die man bezahlt?

Woran das Gericht gescheitert ist …

Irgendwie mutet es doch seltsam an: Da warnt eine Bundesbehörde vor dem Einsatz einer Software – aber gleichwohl ist dies kein Mangel? Wie das zusammenpassen soll, versucht das Landgericht zu vermitteln:

Die BSI-Warnung ist kein Sachmangel.

(1) Die BSI Warnung betrifft einen äußeren Umstand der Mietsache, nämlich die Gefahr des Missbrauchs der Zugriffsmöglichkeiten des Herstellers K. auf die Daten und Systeme der Endkunden durch die russische Regierung. Auch äußere Umstände können einen Mangel begründen, sofern diese die Tauglichkeit zum vertragsgemäßen Gebrauch unmittelbar beeinträchtigen und mit der Mietsache zusammenhängen, ihren Grund also nicht nur in den Verhältnissen des Mieters haben (…).

Durch diese äußeren Umstände wird aber die Tauglichkeit zum vertragsgemäßen Gebrauch nicht beeinträchtigt. Durch die Warnung wurde der Gebrauch der Software nicht verboten. Es liegt daher keine behördliche Maßnahme vor, die den Gebrauch verbietet. Es liegt nur der Verdacht des Missbrauchs durch den russischen Staat vor. Der bloße Verdacht kann bereits einen Mangel darstellen, wenn eine konkrete Gefahr für eine gesundheitsschädliche Beschaffenheit besteht (…). Eine solche konkrete Gefahr für einen unberechtigten Datenzugriff durch Russland liegt hier noch nicht vor. Im Salmonellenfall (BGH NJW 1972, 1462) waren bereits bei anderen Proben Salmonellen festgestellt worden, so dass man nicht ausschließen konnte, dass auch die damals streitgegenständliche Ware beeinträchtigt ist. Dies würde entsprechend bedeuten, dass hier bereits schon ein Angriff über die Software erfolgt sein müsste und daher auch bei der von der Klägerin gemieteten Software der Verdacht besteht. Dies ist aber der Warnung nicht zu entnehmen. Auch aus dem Beschluss des OVG (Anlage K 11) ergibt sich dies nicht.

Zu berücksichtigen ist insbesondere auch, dass das BSI zwar den Austausch empfiehlt, aber stets zuvor eine individuelle Bewertung und Abwägung für notwendig hält. Daraus ergibt sich, dass das BSI davon ausgeht, dass die individuelle Analyse auch ergeben könnte, dass eine Weiterverwendung von K. möglich ist. Schon nach der BSI Warnung ist die K.-Software also nicht aufgrund der Bedenken zwingend unverwendbar. Damit ist sie aufgrund der Warnung auch nicht unvermietbar.

Wer die Warnmeldung kennt, dürfte sich ein wenig wundern, da dort ja ausdrücklich geschrieben wurde:

Virenschutzsoftware des Unternehmens Kaspersky sollte durch alternative Produkte ersetzt werden

Ich musste ein wenig suchen, um zu merken, dass das Landgericht wohl die allgemeinen Migrationshinweise nach dem Motto „Nicht einfach löschen, sondern den Sysadmin einbeziehen“ als ein allgemeines „Ersetzt mal bitte, ihr müsst aber nicht“ verstanden hat:

Vertragliche Auswirkungen behördlicher Warnung vor Virenschutzsoftware - Rechtsanwalt Ferner

Diese Einschätzung verwundert in mehrfacher Hinsicht: Zum einen hat es das BSI klipp und klargemacht, in einem Satz geschrieben „sollte“. Dass man als Jurist hier sprachliche Probleme hat bei einer derart klaren Formulierung, wohl aber dann über Gebühr allgemeine Migrationshinweise (miss-)versteht überrascht. Andererseits wird zudem ein Schuh draus: Nach einer solch unmissverständlichen Warnung und Aufforderung, die Software zu ersetzen, sieht sich doch wohl jedes Management Haftungsfragen ausgesetzt, wenn diese Software weiter eingesetzt wird.

Vertragliche Auswirkungen behördlicher Warnung vor Virenschutzsoftware - Rechtsanwalt Ferner

Die Entscheidung macht deutlich, wie wichtig eine klare Wortwahl ist: Das BSI gibt mE nur allgemeine Migrationshinweise für den Fall, dass jemand überhaupt betroffen ist und eine Umstellung dann „erforderlich ist“. Das LG liest in diese ausdrücklich als „allgemein“ bezeichneten Hinweise eine konkrete Einschränkung der ausdrücklichen Handlungsempfehlung „Sollte ausgetauscht werden“ hinein. Die Gelackmeierten sind am Ende die Unternehmen, die die Wahl haben, in jedem Fall zu bezahlen und am Ende zu haften – oder doppelt zu zahlen.

Allerdings muss zugleich offen gesagt werden: Die „Lösung“ ist recht anspruchsvoll. Ich tue mich selbst schwer damit, einen Wegfall einer Geschäftsgrundlage zu sehen. Allerdings müsste man prüfen, ob im Rahmen des hier anzuwendenden Mietrechts nicht die Mietminderung (§536 BGB) zu interessengerechten Ergebnissen führt. Der Schadensersatzanspruch nach §536a BGB jedenfalls dürfte in einer Konstellation wie der vorliegenden am „Vertretenmüssen“ des Distributors scheitern.

Sanktionen?

Insbesondere nach dem Verbot in den USA darf man sich fragen, warum sich eigentlich die EU-Sanktionen nicht stärker auswirken. Das Gericht trifft insoweit mE schon seinerzeit den Kern:

Die Sanktionsverordnung führt nur bei Vergaben von öffentlichen Unternehmen über bestimmten Grenzwerten zu einem Erfüllungsverbot. Sie erfasst nicht unmittelbar die Verträge zwischen der Klägerin und der Beklagten. Sie betrifft den Weitervertrieb durch die Klägerin an die Endkunden. Sie knüpft daher an den Geschäftsbetrieb der Klägerin an und nicht an die konkrete Beschaffenheit der Software.

Der Distributor muss seinerseits prüfen, ob die Sanktionen seinen Vertrieb betreffen, was zu einer Unmöglichkeit der Leistung führen kann. Im Einzelfall könnte übrigens auch ein nur mittelbarer Verstoß durch Kunden des Distributors vorliegen – hier in diesem Fall liegen zu wenig Informationen vor, als dass ich dazu etwas Seriöses schreiben könnte.


Bewertung und Ausblick

Das Urteil des LG München I liefert wichtige Orientierungshilfen zur mietvertraglichen Überlassung von Software, zur Definition von Mängeln und zur Handhabung öffentlich-rechtlicher Gebrauchshindernisse. Es verdeutlicht, dass rechtliche Rahmenbedingungen und externe Umstände erheblichen Einfluss auf die Vertragsparteien haben und eine Anpassung der vertraglichen Vereinbarungen erforderlich machen können, um rechtliche und wirtschaftliche Gerechtigkeit zu gewährleisten.

Die Entscheidung macht eines deutlich: Im Zweifel popeln Gerichte an den Formulierungen behördlicher Warnungen herum. Das verlangt dem BSI ab, spitzfindig auf jedes Wort zu achten. Zugleich aber maximiert man damit das Risiko für die Geschäftsleitung, denn am Ende kann man sich eigentlich nur falsch verhalten: Entweder es entstehen unnötige Kosten oder unnötige Risiken.

Zugleich zeigt sich, dass amtliche Warnungen vor Produkten, gerade im Bereich der IT-Sicherheit, erhebliche zivilrechtliche Auswirkungen haben können. Dieser Aspekt spielt bisher in der Praxis keine erhebliche Rolle, obwohl hier konkrete Fragen der Haftung des Managements betroffen sind. Diese erste Entscheidung sollte Anlass geben, sich in der noch laufenden NIS2-Umsetzung samt kompletter Neugestaltung des BSI-Gesetzes zu diesem Thema Gedanken zu machen. Eine wirklich befriedigende Lösung auf Basis der bisherigen Rechtslage ist jedenfalls weder in Sicht noch hier von dem Landgericht gefunden worden.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.