Produktwarnungen wegen Sicherheitslücken nehmen zu

Stefan Hessel

Zu den informelleren, aber gleichwohl belastenden Formen staatlicher Eingriffe gehören amtliche Warnungen. Für Unternehmen können Warnungen vor ihren Produkten, die mit der Autorität staatlicher Stellen ausgesprochen werden, erhebliche Folgen haben. Der Image- und Umsatzverlust kann beträchtlich sein. Nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer Virenschutzsoftware gewarnt hatte, sprach die Behörde nun erstmals eine Produktwarnung vor einem Funk-Türschloss und damit vor einem Hardware-Produkt aus. Hersteller sollten diese Entwicklung zum Anlass nehmen, sich auf entsprechende Szenarien vorzubereiten.

Insbesondere bei digitalen Produkten nimmt die Zahl an Warnungen immer weiter zu. Zu Beginn des Jahres sorgte eine Warnung des BSI vor der russischen Antivirensoftware Kaspersky für Aufsehen. Daneben fühlen sich auch die Datenschutzaufsichtsbehörden immer wieder dazu aufgerufen, abstrakt vor Produkten zu warnen, die tatsächlich oder bloß vermeintlich nicht datenschutzkonform einsetzbar sind. Da es sich bei diesen Warnungen um Grundrechtseingriffe handelt, ist jeweils eine hinreichend bestimmte Ermächtigungsgrundlage erforderlich. Anders als die Datenschutzaufsichtsbehörden verfügt das BSI mit § 7 BSIG über eine entsprechende Ermächtigungsgrundlage. Diese sieht unter anderem vor, dass das BSI vor einer Warnung die Hersteller betroffener Produkte zu informieren hat. Dennoch ist die Befugnis zu Warnungen nicht grenzenlos. Bei Vorliegen der Tatbestandsvoraussetzungen liegt eine Warnung im Ermessen der Behörde. Dieses wird nur ordnungsgemäß ausgeübt, wenn die Warnung sachlich korrekt und verhältnismäßig ist. Des Weiteren darf die Warnung nicht gleichheitswidrig sein. Aus dem allgemeinen Gleichheitssatz des Grundgesetzes folgt, dass eine Auswahl nicht willkürlich erfolgen darf. Die Frage, warum vor bestimmten Produkten öffentlich gewarnt und vor anderen nicht, muss nachvollziehbar beantwortet werden können.

Fazit

Für Unternehmen folgt daraus dreierlei. Erstens verdeutlichen die zunehmenden Warnungen, dass Unternehmen Cybersicherheit ernst nehmen müssen und bei digitalen Produkten im Produktdesign einen geschützten Kanal für Sicherheitsupdates vorsehen sollten. Durch ein rechtzeitiges Update lassen sich Warnungen ggf. noch abwenden. Zweitens sollten Unternehmen intern einen Prozess zum Umgang mit Produktwarnungen definieren und klären, welche Fachabteilungen im Ernstfall zu beteiligen sind. Neben der Produktentwicklung und der Rechtsabteilung ist hier insbesondere an die Öffentlichkeitsarbeit zu denken. Drittens sollten Unternehmen im Ernstfall die Rechtmäßigkeit der Warnungen prüfen – auch die Rechtsgrundlage des § 7 BSI ist nicht grenzenlos. Bei Überschreiten der rechtlichen Befugnisse stehen Unternehmen Unterlassungs- und Schadensersatzansprüche zu.

[September 2022]