Wie lange muss ein Produkt aktuell gehalten werden? – Hersteller- und Verkäuferpflichten bei softwarebezogenen IT-Sicherheitsupdates

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 22.10.2019

Dr. Dennis-Kenji Kipker/Michael Walkusz

Tagtäglich werden neue Schwachstellen in IT entdeckt, und damit stellt sich die Frage, wer dafür verantwortlich ist – dies vor allem für den Hersteller und den Verkäufer unter dem Gesichtspunkt, wie lange und in welchem Umfang er für seine Produkte und Dienste IT-Sicherheitsupdates vorhalten muss. Der folgende Beitrag illustriert die gegenwärtige gesetzliche Lage unter Bezugnahme auf das Vertrags- und Haftungsrecht im B2B-Bereich vornehmlich aus der Herstellerperspektive.

I. Vertragstypologisierung und vertragliche Pflichtenkreise

Die vertraglichen Beziehungen von der Entwicklung bis hin zum Vertrieb eines IT-Produkts sind in ein komplexes Netzwerk eingebettet, das nicht nur Hersteller und Endkunden, sondern auch Intermediäre einbeziehen kann. Daraus ergibt sich für den Entstehungsprozess eines Produkts kein linearer Weg, sondern eine Vielzahl unterschiedlichster Beziehungen und Pflichtenkreise. Unabhängig vom gewählten Vertragstypus und auch von der Art des IT-Produkts – d.h. ob es sich lediglich um eine Software handelt, oder aber um ein Embedded System als untrennbare Verknüpfung von Soft- und Hardware – hat jeder Vertragsbeteiligte denknotwendigerweise eine mangelfreie Leistung zu erbringen. Die entscheidende Frage ist damit, wann bei einem Softwareprodukt von einem Mangel im Rechtssinne ausgegangen werden kann. Da an den Mangel je nach Vertragstypus jeweils unterschiedliche Pflichten angeknüpft werden können, ist zunächst eine Vertragstypologisierung vorzunehmen.

1. Pflichten aus dem Kauf- und Werkvertragsrecht

Das Kauf- oder Werkvertragsrecht ist grundsätzlich dann anwendbar, wenn für das zu liefernde oder herzustellende Produkt auf einen punktuellen Leistungszeitpunkt abgestellt wird. In Ermangelung einer ausdrücklichen Vereinbarung oder einer vertraglich vorausgesetzten Verwendung richtet sich die Mangelhaftigkeit der Software regelmäßig nach §§ 434 Abs. 1 S. 2 Nr. 2, 633 Abs. 2 S. 2 Nr. 2 BGB. Demnach muss eine Beschaffenheit gegeben sein, die bei Sachen der gleichen Art üblich ist. Maßstab ist hier die Verkehrsauffassung eines durchschnittlichen Kunden, die auch an das Produkt anzulegende Sicherheitsanforderungen umfasst. Der Begriff der „Sicherheit in der Informationstechnik“ und derjenige der „Sicherheitslücke“ sind in § 2 Abs. 2 und Abs. 6 BSIG legaldefiniert. Eine Sicherheitslücke liegt demgemäß dann vor, wenn ein informationstechnisches System Eigenschaften aufweist, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang verschaffen oder die Funktion beeinflussen können. Zwar entstammt diese Definition dem Anwendungsbereich Kritischer Infrastrukturen, dies ist jedoch unschädlich, da technisch-organisatorische IT-Sicherheitsziele branchenübergreifend zu definieren sind.

Für IT-Produkte insbesondere problematisch ist der Fall, dass für eine gesetzliche Gewährleistung der Mangel bereits bei Gefahrübergang vorgelegen haben muss, charakteristisch für IT-Sicherheitsprobleme aber ist, dass eine Software zum Zeitpunkt ihrer Fertigstellung zumeist dem „Stand der Technik“ gemäß in Verkehr gebracht wurde, sich aber im Laufe der Zeit infolge neuer Erkenntnisse aufgrund der technischen Entwicklung selbst überholt. Die in diesem Zusammenhang teils vertretene juristische Zurechnung eines irgendwie gearteten zukünftigen Mangels auf den Zeitpunkt des Gefahrübergangs bzw. der Abnahme ist rechtlich nicht ohne Weiteres vertretbar, da eine bloße Mangelvorhersehbarkeit nicht mit einem tatsächlichen Mangel gleich zu setzen ist. Überdies wäre eine solche zukünftige IT-Sicherheitslücke auch nicht hinreichend konkret, um einen Handlungsbedarf schon bei Produktentwicklung zu begründen.

Schon in den 1990er-Jahren von der Rechtsprechung aufgegriffen wurde aber das Bestehen einer so genannten „nebenvertraglichen Wartungspflicht“ von Software zur Sicherstellung ihrer reibungslosen Funktionsfähigkeit (BGH NJW 1993, 3144; LG Köln NJW-RR 1999, 1285). Der Nutzer, so wurde argumentiert, habe ein berechtigtes daran, das Produkt mit seinem Erwerb auch für einen gewöhnlichen und seiner Preisklasse angemessenen Lebenszyklus nutzen zu können. Auf einen „analogen Sachverhalt“ bezogen, wäre dies mit der Verpflichtung eines Automobilherstellers zu vergleichen, auch über den Herstellungszeitraum hinaus allgemein Ersatzteile zur Instandsetzung anzubieten. Diese haben, wie Softwareupdates, die Funktion, erst nach Gefahrübergang auftretende Unzulänglichkeiten am Produkt zu beseitigen. Zwar ist ein Produkt mit unsicherer Software nicht an sich defekt, da es im Rahmen seiner bestimmungsgemäßen Verwendung noch weiter betrieben werden kann. Jedoch können erhebliche IT-Sicherheitsbedenken bei einem weiteren Betrieb des Produkts den Nutzer durchaus dazu zwingen, dieses nicht mehr zu verwenden, sodass das erhöhte Betriebsrisiko im Endeffekt einem nach Gefahrübergang bzw. Abnahme eingetretenen Defekt gleichkommt. Ein Anspruch auf kostenfreie IT-Sicherheitsupdates der Software besteht gleichwohl nicht – genau so wenig, wie es bei einem Pkw außerhalb der gesetzlichen Gewährleistung einen Anspruch auf kostenfrei zur Verfügung gestellte Ersatzteile gibt. Anderenfalls würde das Betriebsrisiko des Produkts in einem unbilligen Ausmaß auf den Verkäufer bzw. letztlich Hersteller abgewälzt. Fraglich ist außerdem, auf welchen Zeitraum sich die nebenvertragliche Wartungspflicht erstreckt, denn konkrete Zahlen gibt es hierzu nicht. Die Rechtsprechung hat im Jahr 1999 für ein „Verwaltungsprogramm“ bestimmt, dass sich der zeitliche Horizont mindestens auf den Zeitraum erstreckt, innerhalb dessen die Software noch auf dem Markt angeboten wird, und für weitere fünf Jahre, nachdem das Produkt vom Markt genommen wurde (LG Köln NJW-RR 1999, 1285, 1286). Heutzutage würde eine vergleichbare Entscheidung aber wohl zu einer anderen Wertung gelangen, denn Softwareprodukte haben nicht nur einen deutlich größeren wirtschaftlichen Stellenwert als noch vor 20 Jahren, sondern vor allem auch hochpreisige Produkte wie Industrieanlagen oder das Smart Car weisen eine physische Lebensdauer auf, die weit über einer Softwarelebensdauer ohne Updates liegt. Der Zeitraum des angemessenen Nutzens hat sich damit erheblich vergrößert.

2. Pflichten aus Dauerschuldverhältnissen, insbesondere dem Mietrecht

Im Rahmen von aktuellen Vertriebskonzepten wird Software regelmäßig nicht als einmalige Leistung erbracht, sondern oftmals in Form der Softwaremiete als Dauerschuldverhältnis. Software und mit ihr verbundene Hardware-Komponenten sind so mehr und mehr eine Serviceleistung denn ein Kaufgegenstand. „Software as a service“ ist unter dem Gesichtspunkt von Security-Updates dem Grunde nach eine juristisch unproblematische Situation, da das Dauerschuldverhältnis zumindest auch die Pflege des Vertragsgegenstands umfasst. Aus der mietvertraglichen Instandhaltungspflicht des Vermieters aus § 535 Abs. 1 BGB lässt sich ableiten, dass diese auch den Schutz vor Störungen von außen umfasst, sodass er Vorsorgemaßnahmen zu treffen hat, um Eingriffe in die Rechte des Mieters zu vermeiden. Soweit es sich beim Mietgegenstand um IT-Produkte handelt, können hierunter denknotwendigerweise auch IT-Sicherheitslücken fallen, die während der Mietzeit zu beheben sind. Gleiches gilt alternativ für einen Dienstvertrag als allgemeine Instandhaltungsmaßnahme.

II. Haftungsrechtliche Rahmenbedingungen

Insbesondere den Hersteller von IT-Produkten können neben vertraglichen Verpflichtungen auch gesetzliche Sorgfaltspflichten treffen. So ist er gemäß der aus § 823 Abs. 1 BGB abgeleiteten Produktbeobachtungspflicht dazu gehalten, sein Produkt auch nach Inverkehrbringen weiterhin gewissenhaft zu überwachen und unter Umständen Gegenmaßnahmen zur Verhinderung von Schäden zu ergreifen. Dabei haftet er für Schäden, die bei IT-Sicherheitslücken kausal dadurch verursacht werden, dass Dritte gezielt in informatische Funktionsabläufe des Produkts eingreifen, wenn der Hersteller zumutbare Maßnahmen zum Schutz der Rechte und Rechtsgüter des Betroffenen unterlässt. Um einer solchen Haftung zu entgehen, ist er gehalten, entsprechende unternehmerische Sorgfaltspflichten umzusetzen. Dabei gilt grundsätzlich, dass je höher und wahrscheinlicher ein Schadenseintritt ist, umso schnellere und umfassendere Herstellerreaktionen zu empfehlen sind. Die unternehmerische Sorgfalt umfasst auch, dass sich der Hersteller weitreichend, aktiv und selbstständig über mögliche Gefahrquellen für seine Software informiert, beispielsweise über Analysetools, Nutzerfeedback, Behördeninformationen, Herstellernetzwerke, CERTs/PSIRTs, Konferenzen und Fachmagazine, dass er die Nutzer vor IT-sicherheitsbezogenen Gefahrenquellen warnt und dass er gegebenenfalls auch Sicherheitsmangel selbst beseitigt. In Abgrenzung des vertraglichen Äquivalenz- zum haftungsrechtlichen Integritätsinteresse bleibt zu beachten, dass der Hersteller zwar gehalten ist, Gefahren effektiv zu beseitigen, jedoch nicht, für jeden Fall nachzubessern oder gar ein neues Produkt zu liefern. Genauso wenig besteht eine Verpflichtung dahingehend, für jeden Fall kostenlose IT-Sicherheitsupdates anzubieten.

III. Fazit und Ausblick

Auch wenn dies nicht immer deutlich aus dem Gesetz hervorgeht, unterliegen Verkäufer, Hersteller und sonstige Anbieter von IT-Produkten umfassenden Verpflichtungen im Hinblick auf die Aufrechterhaltung der IT-Sicherheit. Im Regelfall keine juristischen Probleme ergeben sich bei Dauerschuldverhältnissen wie der Softwaremiete, da hier für die gesamte Dauer der Produktnutzung eine Instandhaltungspflicht auch für die IT-Sicherheit besteht, soweit im Einzelfall nicht etwas anderes vereinbart wurde. Die kauf- und werkvertragliche Mängelgewährleistung hingegen greift nicht für solche Produkte, die bei Inverkehrgabe einwandfrei gewesen, aber durch die weitere technische Entwicklung IT-unsicher geworden sind. Dennoch sorgt eine nebenvertragliche Wartungspflicht auch für diesen Fall dafür, dass der Hersteller IT-Sicherheitsupdates vorzuhalten hat, die aber nicht kostenlos zu sein haben. Für die außervertragliche Haftung ergeben sich aus der Produktbeobachtungspflicht Sorgfaltsmaßstäbe, um Schäden an den Gütern der Nutzer zu verhindern. Um hier möglichen Schadensersatzansprüchen zu entgehen, muss sich der Hersteller über Gefahrenquellen umfassend informieren, die Kunden bzw. Nutzer über diese warnen und Maßnahmen zur Vermeidung von Rechtsverletzungen treffen, wozu ebenfalls nicht kostenfreie Updates gehören können. Noch problematisch ist mangels Präzedenzfällen der konkrete zeitliche und inhaltliche Umfang der jeweiligen Pflichten – bis hier weitergehende Klarstellung vor allem durch die Rechtsprechung erfolgt, sollten sich Hersteller und Verkäufer an Analogien zu vergleichbaren Produkten und Fällen orientieren.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

2 Kommentare

Kommentare als Feed abonnieren

Art. 8 Abs. 2 Digitale-Inhalte-und-Dienste-Richtlinie (DID-RL)

https://data.consilium.europa.eu/doc/document/PE-26-2019-INIT/de/pdf 

Art. 7 Abs. 3 Warenkauf-Richtlinie (WK-RL)

https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32019L0771&from=EN

verpflichten künftig zu Updates.

Gewährleistungsrechte im On- und Offline-Handel werden harmonisiert

https://www.haufe.de/recht/weitere-rechtsgebiete/allg-zivilrecht/europarecht-gewaehrleistungsrechte-werden-harmonisiert_208_498238.html

5

Kommentar hinzufügen