Sind Sicherheitslücken für Hackerangriffe ein Mangel, für den der Softwareanbieter haftbar gemacht werden kann?

Bis zum 31. Dezember 2021 ließ sich diese Frage kurz und einfach beantworten: Nein!

So führte beispielsweise die Verbraucherzentrale NRW noch im Jahr 2019 einen Prozess vor dem OLG Köln gegen eine große Elektrohandelskette, da diese ein Handy mit einem veralteten Betriebssystem „Android“ vertrieben hat, bei dem eine technische Prüfung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ergab, dass es diverse Sicherheitslücken aufweist und die Nutzung damit ein erhebliches Sicherheitsrisiko darstellt. Hinzu kam, dass Sicherheitsupdates für dieses veraltete Betriebssystem zum Kaufzeitpunkt nicht mehr zur Verfügung standen. Das OLG Köln hat mit Entscheidung vom 30. Dezember 2019 (Az. 6 U 100/19) dennoch ausgeurteilt, dass Sicherheitslücken jedenfalls nicht die Verkehrsfähigkeit des verkauften Smartphones beeinträchtigen und auch die Funktionsfähigkeit des Betriebssystems selbst durch diese Sicherheitslücke nicht beeinträchtigt ist. Da das Betriebssystem demnach in der Lage sei, die vorgesehenen Leistungen zu erbringen, liege auch kein Mangel vor.

Mit Wirkung zum 1. Januar 2022 sind jedoch zahlreiche, erhebliche Änderungen im Kaufrecht in Kraft getreten, die Auswirkungen insbesondere auch auf sog. digitale Kaufgegenstände haben. Grund hierfür sind die EU-Richtlinien 2019/771 (Warenkaufrichtlinie, WKRL) einerseits und die Richtlinie (EU) 2019/770 über digitale Inhalte und digitale Dienstleistungen (DID-RL) andererseits, die die nationalen Gesetzgeber der Europäischen Union zur Anpassung zahlreicher Vorschriften zwangen, in der Bundesrepublik Deutschland insbesondere im Bürgerlichen Gesetzbuch (BGB).

Diese Anpassungen führen zu einer erheblichen Stärkung der Gewährleistungsrechte von Verbrauchern, insbesondere beim Kauf von Waren mit digitalen Elementen oder digitalen Produkten. Dies beginnt bereits damit, dass im Gesetz nun erstmals von „Waren mit digitalen Elementen“ die Rede ist. Gemeint sind damit Waren, die mit einem digitalen Produkt verknüpft sind, also beispielsweise ein SmartTV, sprachgesteuerte Lautsprecherboxen, aber eben auch das klassische Smartphone. In diesem Fall ist also das digitale Element erforderlich, damit die verkaufte Ware überhaupt funktioniert.

Und für diese Waren mit digitalen Elementen bestimmt § 475b BGB nunmehr, dass den Unternehmer eine „Aktualisierungspflicht“ hinsichtlich des digitalen Elements trifft, also eine Verpflichtung zu Updates. Diese Verpflichtung endet dabei auch nicht etwa mit dem Kauf, sondern besteht weiter, nämlich für den Zeitraum, in dem der Verbraucher Aktualisierungen aufgrund der Art und des Zwecks der Sache erwarten kann. Maßgeblich für die Länge dieses Zeitraums sind beispielsweise Werbeaussagen, der Kaufpreis oder die Materialien, die zur Herstellung der Ware verwendet wurden. Die verkaufte Ware mit dem digitalen Element muss also nicht nur zum Zeitpunkt des Kaufvertragsabschlusses und der Übergabe an den Käufer aktuell sein, sondern auch noch einen ausreichend langen Zeitraum nach dem Kauf aktuell gehalten werden. Im eingangs geschilderten Fall des OLG Köln läge demnach also unter Berücksichtigung der neuen Rechtslage zweifelsohne ein Mangel vor, der zu Gewährleistungsansprüchen des Käufers führt, da das verwendete Betriebssystem nicht (mehr) aktualisiert wurde.

Weitergehend regelt die neue Vorschrift des § 327e Abs. 3 Nr. 2 BGB für Verbraucherverträge, dass das digitale Produkt darüber hinaus auch die erforderliche „Sicherheit“ aufweisen muss, da es andernfalls mangelhaft ist. Zwar ist in diesem Zusammenhang der Begriff der Sicherheit im Gesetz nicht näher definiert worden, letztlich wird man darunter jedoch sowohl die IT-Sicherheit als auch die Produktsicherheit selbst verstehen müssen.

Dies führt folglich dazu, dass der Verbraucher als Käufer berechtigt ist, Gewährleistungsansprüche gegen den Verkäufer geltend zu machen, wenn diese Sicherheit im verkauften Produkt nicht gewährleistet ist.

Obwohl diese umfassende Gesetzesänderung letztlich auf Vorgaben der Europäischen Union zum Verbraucherschutz zurückzuführen ist, hat der erweiterte Mangelbegriff Auswirkungen auch auf Unternehmen. Denn das Gesetz regelt allgemein in § 434 Abs. 3 Satz 2 BGB, dass die fehlende „Sicherheit“ des Produkts einen Sachmangel darstellt, unabhängig davon, ob die Sache an einen Verbraucher oder einen Unternehmer verkauft wurde.

Wie bereits erwähnt, führt die Aktualisierungspflicht gegenüber Verbrauchern für den Verkäufer dazu – in Abweichung vom bisherigen Kaufrecht – auch weit nach Übergabe der Kaufsache dafür zu sorgen, dass Sicherheitslücken ausgeräumt werden, indem das digitale Element, also die verbaute Software, aktualisiert wird. Zwar hat der Verbraucher dabei keinen unmittelbaren Anspruch auf eine Aktualisierung. Sollte der Verkäufer diese Aktualisierung aber unterlassen, stellt dies letztlich einen Mangel dar, sodass der Käufer auch weit nach Vertragsabschluss umfangreiche Mängelrechte geltend machen und beispielsweise auch vom Vertrag zurücktreten kann. Demnach sind Sicherheitslücken der Software also derzeit Umstände, für die der Verkäufer haftbar gemacht werden kann.

Viele Detailfragen der neuen Rechtslage werden sich dabei erst im Laufe der Zeit klären, wenn die Gerichte Gelegenheit hatten, entsprechende Fallkonstellationen zu überprüfen und die neue Rechtslage anzuwenden. Das letzte Wort wird dabei zunehmend der EuGH haben, nachdem es sich um Unionsrecht handelt. Bedauerlicherweise hat der Gesetzgeber bei dieser Gelegenheit nicht gleich eigenes Softwarerecht geschaffen. Denn schon jetzt zeichnet sich ab, dass es Abgrenzungsschwierigkeiten zwischen Verträgen mit Verbrauchern einerseits und solchen mit Unternehmern andererseits geben wird, da viele der neuen Spezialregelungen nur bei Verbraucherverträgen gelten.