Update erforderlich? – der Stand der Technik bei Software

Philipp Reusch

Die technische Entwicklung schreitet – derzeit vor allem durch die zunehmende Digitalisierung – unaufhörlich voran. Aus diesem Grund ist regelmäßig eine technikoffene Gestaltung von Gesetzen, aber auch Verträgen erforderlich, um stets mit der aktuellen technischen Entwicklung mithalten zu können (so schon das BVerfG im berühmten Kalkar-Beschluss vom 08.08.1978, Az. 2 BvL 8/77). Statt einen bestimmten Zustand der Technik in einem Gesetz oder Vertrag vorzuschreiben, erfolgt deswegen in der Regel eine abstrakte Bezeichnung des erforderlichen bzw. gewünschten technischen Zustands.

Die drei Regeln der Technik und ihre rechtliche Bedeutung

Für die abstrakte Bezeichnung der technischen Anforderungen haben sich drei Niveaus herausgebildet:

  • "Anerkannte Regeln der Technik", mit denen technische Festlegungen (u.a. DIN-Normen oder VDI-Richtlinien) bezeichnet werden, die von einer Mehrheit der Fachleute als Wiedergabe des Stands der Technikgestaltung angesehen werden. Ist von den anerkannten Regeln der Technik die Rede, soll damit meist ein technisches Mindestmaß gewährleistet werden.
  • Eine Stufe darüber befindet sich der "Stand der Technik", mit dem die gesicherten Erkenntnisse von Wissenschaft, Technik und Erfahrung umschrieben werden. Wird der Stand der Technik vorausgesetzt, ist somit nicht die beste verfügbare Technik zu verwenden, sondern nur solche, die bereits eine gewisse Erprobung durchlaufen hat. Im Gegensatz zu den anerkannten Regeln der Technik ist jedoch gerade nicht erforderlich, dass sich die Regeln bei einer Mehrheit der Fachleute durchgesetzt haben oder diese in Normen konkretisiert sind. Vorgeschrieben ist der Stand der Technik etwa im Datenschutzrecht (vgl. Art. 32 Abs. 1 DSGVO, aber auch im Medizinprodukterecht (vgl. MDR, Anhang 1, Nr. 1) und in einer Vielzahl weiterer gesetzlicher Vorgaben. Daneben wird auf den Stand der Technik häufig zur Bestimmung von Sachmängeln zurückgegriffen und auch im Rahmen der Umsetzung der Digitale-Inhalte-Richtlinie wird der Stand der Technik maßgebend sein.
  • Eine weitere Stufe darüber befindet sich der "Stand von Wissenschaft und Technik", der technische Spitzenleistungen beschreibt und insbesondere im Produkthaftungsrecht von Bedeutung ist (vgl. BGH, Urteil vom 16.06.2009, Az. VI ZR 107/08).

Der Stand der Technik bei Software

Ob ein Hersteller nun den "Stand der Technik" oder ein anderes technisches Niveau beachten muss, hängt einerseits von den einschlägigen Gesetzen und andererseits von den bestehenden vertraglichen Vereinbarungen ab. Aus diesem Grund sollten Hersteller von Software bzw. von Produkten, die Software enthalten, stets genau prüfen, wozu sie rechtlich und vertraglich verpflichtet sind. Abhängig vom erforderlichen technischen Niveau sind dann die bereits aufgezeigten technischen Regeln zu befolgen. Hier besteht bei Software grundsätzlich kein Unterschied zu physischen Produkten.

Auf welchen Zeitpunkt kommt es an?

Entscheidend für die Frage, ob eine Software oder ein Produkt dem Stand der Technik entspricht, ist natürlich der Zeitpunkt der Beurteilung. Dieser ist ebenfalls abhängig von den einschlägigen Gesetzen bzw. den vertraglichen Vereinbarungen. Im Datenschutzrecht ist der Stand der Technik beispielsweise stets während des gesamten Verarbeitungsvorgangs zu gewährleisten und demnach auf Basis einer Risikobeurteilung fortlaufend anzupassen.

Im Kaufrecht sieht es anders aus. Hier ist bei der Frage, ob ein Mangel vorliegt, stets auf den Zeitpunkt des Gefahrübergangs abzustellen. Das führt bei Software zu der spannenden – und bisher nicht abschließend geklärten – Frage, ob die Software erst mit dem Entdecken einer Schwachstelle mangelhaft wird oder der Mangel bereits im faktischen Vorhandensein der Voraussetzungen für eine Schwachstelle besteht.

Unserer Ansicht nach liegt ein Mangel bei Gefahrübergang lediglich dann vor, wenn die Schwachstelle in der Software vorhersehbar war. Dies soll der Fall sein, wenn die Schwachstelle nicht auf neuen Angriffstechniken oder bisher unbekannten technischen Verfahren beruht. In vertraglichen Vereinbarungen findet sich häufig auch die Pflicht, den Stand der Technik kontinuierlich über die gesamte Vertragslaufzeit bzw. den Nutzungszeitraum einer Software oder eines Produkts zu gewährleisten.

Wann sind Updates erforderlich?

Aus Herstellersicht müssen Softwareupdates bereitgestellt werden, wenn hierzu eine gesetzliche oder vertragliche Verpflichtung besteht. Ob dies der Fall ist, hängt ähnlich wie der Beurteilungszeitpunkt für den Stand der Technik von den einschlägigen Gesetzen bzw. den vertraglichen Vereinbarungen ab. Während im Datenschutzrecht stets auf den Verarbeitungsvorgang abzustellen wäre, ist im Kaufrecht, sofern ein Mangel vorliegt, grundsätzlich der Gewährleistungszeitraum entscheidend. Kaufrechtliche Gewährleistungsansprüche begründen jedoch keinen Anspruch auf Updates gegen Hersteller, da eine Mängelgewährleistung grundsätzlich auch auf anderem Wege erfolgen kann. Ob eine Updateverpflichtung sich aus einer vertraglichen Nebenpflicht ergibt, wird immer diskutiert. Das LG Köln hatte mit Urteil vom 16.10.1997 (Az. 83 O 26–97) hierzu entschieden, dass eine entsprechende Pflicht zur Bereitstellung von Updates gegen Entgelt für den gesamten Lebenszyklus eines Geräts bestehe. Änderungen an diesen Grundsätzen wird die Umsetzung der Digitale-Inhalte-Richtlinie bewirken. So sehen die derzeitigen Pläne des Bundesjustizministeriums mit der Schaffung eines neuen § 327 f Abs. 1 BGB vor, dass digitale Produkte für einen gewissen Zeitraum mit Aktualisierungen zu versorgen sind. Updates wären dann durch den Hersteller so lange zur Verfügung zu stellen, wie es der Verbraucher "aufgrund der Art und des Zwecks des digitalen Produkts und unter Berücksichtigung der Umstände und der Art des Vertrags erwarten kann". Im Gegensatz zum Vertragsrecht beinhaltet das Produkthaftungsrecht – zumindest bisher – per se keine Verpflichtung zur Bereitstellung von Updates.

Praxisempfehlung

Sowohl die Frage, welches technische Niveau bei Software zu berücksichtigten ist, als auch die Frage, ob und in welchem Umfang Updates zur Verfügung gestellt werden müssen, ist rechtlich komplex. Die Komplexität dürfte dabei in den kommenden Jahren, insb. wegen einer zunehmenden Verdichtung rechtlicher Vorgaben zur IT-Sicherheit, weiter zunehmen. Hersteller von Software sind daher gut beraten, frühzeitig und umfassend zu klären, welche gesetzlichen und vertraglichen Verpflichtungen sie bei ihrer Software beachten müssen. Darüber hinaus muss auch ein kontinuierliches Monitoring der rechtlichen Vorgaben einerseits, aber auch der IT-Sicherheit der Software andererseits etabliert werden.

[November 2020]