Keine Informationspflicht über Sicherheitslücken bei Android

Kategorie: Cybersecurity, Produkthaftung Branche: Konsumgüter Autor: Jahr:
Philipp Reusch

Ein Händler, der Android-Smartphones ohne den Hinweis verkauft, dass die Software der Smartphones Sicherheitslücken aufweist und die Bereitstellung von Updates nicht mehr gewährleistet ist, verstößt nicht gegen Informations- und Prüfpflichten, so das Oberlandesgericht Köln (OLG) mit Urteil vom 30.10.2019 – 6 U 100/19.

Der klagende Verbraucherschutzverband hatte zuvor Testkäufe durchgeführt und die Smartphones vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) überprüfen lassen. Eines der Smartphones wies nur eine der geprüften 28 Sicherheitslücken auf, ein anderes jedoch 15. Das stufte das BSI als eklatantes Sicherheitsrisiko ein und wandte sich an den Hersteller, jedoch ohne Erfolg. Der Verband erhob daraufhin Klage gegen den Elektronikmarkt und verlangte Unterlassung des Vertriebs der Smartphones ohne entsprechenden Hinweis.

Nach dem Urteil des OLG Köln besteht ein derartiger Anspruch nicht. Denn der Elektronikmarkt habe seine Pflichten als Händler nicht verletzt. Hinsichtlich der Sicherheitslücken stellte es zwar fest, dass dadurch die Privatsphäre der Käufer gefährdet sei. Denn unter Ausnutzung der Sicherheitslücken könnten Daten der Kunden unbefugt erlangt und zu betrügerischen Zwecken missbraucht werden. Allerdings könne nur durch Tests festgestellt werden, ob die Software eines bestimmten Smartphones eine Sicherheitslücke aufweise. Eine Sicherheitslücke ergebe sich aus der Kombination des verwendeten Betriebssystems und des jeweiligen Handymodells. Somit seien bei demselben Betriebssystem unterschiedliche Sicherheitslücken auf verschiedenen Smartphonemodellen möglich. Der Händler müsste daher jedes Smartphonemodell einzeln testen, um eine Sicherheitslücke aufzudecken. Dies stelle einen unzumutbaren Aufwand für den Händler dar, so das OLG.

Ähnlich verhalte es sich hinsichtlich der Software-Updates. Informationen hierüber lägen dem Händler beim Verkauf in der Regel nicht vor. Die Bereitstellung von Updates obliege grundsätzlich dem Hersteller. Der Händler könne Informationen zu Software-Updates jedoch nur mit unzumutbarem Aufwand erlangen. Denn auch dem Hersteller sei nicht bekannt, ob und wann er ein Software-Update bereitstelle. Dass die Information über bestehende Sicherheitslücken für den Händler unter Umständen vom Hersteller zu erlangen wäre, hat das OLG nicht entschieden.

Es wird auch nicht klar, inwiefern der Händler über ihm bereits bekannte Sicherheitslücken informieren muss. Ebenso wenig trifft das Urteil Aussagen zu den produkthaftungs- und produktsicherheitsrechtlichen Pflichten des Händlers im Rahmen der Marktbeobachtung. Die Begründung des Gerichts, der Hersteller wisse nicht, ob und wann er ein Update veröffentlichen werde, und entsprechende Informationen und ursprüngliche Planungen könnten sich täglich ändern, überzeugt nicht. Das Gericht hat die Revision nicht zugelassen. Das Urteil ist damit rechtskräftig.

[November 2019]