Reuschlaw

Update erfor­der­lich? – der Stand der Tech­nik bei Software

Die tech­ni­sche Ent­wick­lung schrei­tet – der­zeit vor allem durch die zuneh­men­de Digi­ta­li­sie­rung – unauf­hör­lich vor­an. Aus die­sem Grund ist regel­mä­ßig eine tech­ni­kof­fe­ne Gestal­tung von Geset­zen, aber auch Ver­trä­gen erfor­der­lich, um stets mit der aktu­el­len tech­ni­schen Ent­wick­lung mit­hal­ten zu kön­nen (so schon das BVerfG im berühm­ten Kalkar-Beschluss vom 08.08.1978, Az. 2 BvL 8/77). Statt einen bestimm­ten Zustand der Tech­nik in einem Gesetz oder Ver­trag vor­zu­schrei­ben, erfolgt des­we­gen in der Regel eine abs­trak­te Bezeich­nung des erfor­der­li­chen bzw. gewünsch­ten tech­ni­schen Zustands.

Die drei Regeln der Tech­nik und ihre recht­li­che Bedeutung

Für die abs­trak­te Bezeich­nung der tech­ni­schen Anfor­de­run­gen haben sich drei Niveaus herausgebildet:

  • “Aner­kann­te Regeln der Tech­nik”, mit denen tech­ni­sche Fest­le­gun­gen (u.a. DIN-Normen oder VDI-Richtlinien) bezeich­net wer­den, die von einer Mehr­heit der Fach­leu­te als Wie­der­ga­be des Stands der Tech­nik­ge­stal­tung ange­se­hen wer­den. Ist von den aner­kann­ten Regeln der Tech­nik die Rede, soll damit meist ein tech­ni­sches Min­dest­maß gewähr­leis­tet werden.
  • Eine Stu­fe dar­über befin­det sich der “Stand der Tech­nik”, mit dem die gesi­cher­ten Erkennt­nis­se von Wis­sen­schaft, Tech­nik und Erfah­rung umschrie­ben wer­den. Wird der Stand der Tech­nik vor­aus­ge­setzt, ist somit nicht die bes­te ver­füg­ba­re Tech­nik zu ver­wen­den, son­dern nur sol­che, die bereits eine gewis­se Erpro­bung durch­lau­fen hat. Im Gegen­satz zu den aner­kann­ten Regeln der Tech­nik ist jedoch gera­de nicht erfor­der­lich, dass sich die Regeln bei einer Mehr­heit der Fach­leu­te durch­ge­setzt haben oder die­se in Nor­men kon­kre­ti­siert sind. Vor­ge­schrie­ben ist der Stand der Tech­nik etwa im Daten­schutz­recht (vgl. Art. 32 Abs. 1 DSGVO, aber auch im Medi­zin­pro­dukt­e­recht (vgl. MDR, Anhang 1, Nr. 1) und in einer Viel­zahl wei­te­rer gesetz­li­cher Vor­ga­ben. Dane­ben wird auf den Stand der Tech­nik häu­fig zur Bestim­mung von Sach­män­geln zurück­ge­grif­fen und auch im Rah­men der Umset­zung der Digitale-Inhalte-Richtlinie wird der Stand der Tech­nik maß­ge­bend sein.
  • Eine wei­te­re Stu­fe dar­über befin­det sich der “Stand von Wis­sen­schaft und Tech­nik”, der tech­ni­sche Spit­zen­leis­tun­gen beschreibt und ins­be­son­de­re im Pro­dukt­haf­tungs­recht von Bedeu­tung ist (vgl. BGH, Urteil vom 16.06.2009, Az. VI ZR 107/08).

Der Stand der Tech­nik bei Software

Ob ein Her­stel­ler nun den “Stand der Tech­nik” oder ein ande­res tech­ni­sches Niveau beach­ten muss, hängt einer­seits von den ein­schlä­gi­gen Geset­zen und ande­rer­seits von den bestehen­den ver­trag­li­chen Ver­ein­ba­run­gen ab. Aus die­sem Grund soll­ten Her­stel­ler von Soft­ware bzw. von Pro­duk­ten, die Soft­ware ent­hal­ten, stets genau prü­fen, wozu sie recht­lich und ver­trag­lich ver­pflich­tet sind. Abhän­gig vom erfor­der­li­chen tech­ni­schen Niveau sind dann die bereits auf­ge­zeig­ten tech­ni­schen Regeln zu befol­gen. Hier besteht bei Soft­ware grund­sätz­lich kein Unter­schied zu phy­si­schen Produkten.

Auf wel­chen Zeit­punkt kommt es an?

Ent­schei­dend für die Fra­ge, ob eine Soft­ware oder ein Pro­dukt dem Stand der Tech­nik ent­spricht, ist natür­lich der Zeit­punkt der Beur­tei­lung. Die­ser ist eben­falls abhän­gig von den ein­schlä­gi­gen Geset­zen bzw. den ver­trag­li­chen Ver­ein­ba­run­gen. Im Daten­schutz­recht ist der Stand der Tech­nik bei­spiels­wei­se stets wäh­rend des gesam­ten Ver­ar­bei­tungs­vor­gangs zu gewähr­leis­ten und dem­nach auf Basis einer Risi­ko­be­ur­tei­lung fort­lau­fend anzupassen.

Im Kauf­recht sieht es anders aus. Hier ist bei der Fra­ge, ob ein Man­gel vor­liegt, stets auf den Zeit­punkt des Gefahr­über­gangs abzu­stel­len. Das führt bei Soft­ware zu der span­nen­den – und bis­her nicht abschlie­ßend geklär­ten – Fra­ge, ob die Soft­ware erst mit dem Ent­de­cken einer Schwach­stel­le man­gel­haft wird oder der Man­gel bereits im fak­ti­schen Vor­han­den­sein der Vor­aus­set­zun­gen für eine Schwach­stel­le besteht.

Unse­rer Ansicht nach liegt ein Man­gel bei Gefahr­über­gang ledig­lich dann vor, wenn die Schwach­stel­le in der Soft­ware vor­her­seh­bar war. Dies soll der Fall sein, wenn die Schwach­stel­le nicht auf neu­en Angriffs­tech­ni­ken oder bis­her unbe­kann­ten tech­ni­schen Ver­fah­ren beruht. In ver­trag­li­chen Ver­ein­ba­run­gen fin­det sich häu­fig auch die Pflicht, den Stand der Tech­nik kon­ti­nu­ier­lich über die gesam­te Ver­trags­lauf­zeit bzw. den Nut­zungs­zeit­raum einer Soft­ware oder eines Pro­dukts zu gewährleisten.

Wann sind Updates erforderlich?

Aus Her­stel­ler­sicht müs­sen Soft­ware­up­dates bereit­ge­stellt wer­den, wenn hier­zu eine gesetz­li­che oder ver­trag­li­che Ver­pflich­tung besteht. Ob dies der Fall ist, hängt ähn­lich wie der Beur­tei­lungs­zeit­punkt für den Stand der Tech­nik von den ein­schlä­gi­gen Geset­zen bzw. den ver­trag­li­chen Ver­ein­ba­run­gen ab. Wäh­rend im Daten­schutz­recht stets auf den Ver­ar­bei­tungs­vor­gang abzu­stel­len wäre, ist im Kauf­recht, sofern ein Man­gel vor­liegt, grund­sätz­lich der Gewähr­leis­tungs­zeit­raum ent­schei­dend. Kauf­recht­li­che Gewähr­leis­tungs­an­sprü­che begrün­den jedoch kei­nen Anspruch auf Updates gegen Her­stel­ler, da eine Män­gel­ge­währ­leis­tung grund­sätz­lich auch auf ande­rem Wege erfol­gen kann. Ob eine Update­ver­pflich­tung sich aus einer ver­trag­li­chen Neben­pflicht ergibt, wird immer dis­ku­tiert. Das LG Köln hat­te mit Urteil vom 16.10.1997 (Az. 83 O 26–97) hier­zu ent­schie­den, dass eine ent­spre­chen­de Pflicht zur Bereit­stel­lung von Updates gegen Ent­gelt für den gesam­ten Lebens­zy­klus eines Geräts bestehe. Ände­run­gen an die­sen Grund­sät­zen wird die Umset­zung der Digitale-Inhalte-Richtlinie bewir­ken. So sehen die der­zei­ti­gen Plä­ne des Bun­des­jus­tiz­mi­nis­te­ri­ums mit der Schaf­fung eines neu­en § 327 f Abs. 1 BGB vor, dass digi­ta­le Pro­duk­te für einen gewis­sen Zeit­raum mit Aktua­li­sie­run­gen zu ver­sor­gen sind. Updates wären dann durch den Her­stel­ler so lan­ge zur Ver­fü­gung zu stel­len, wie es der Ver­brau­cher “auf­grund der Art und des Zwecks des digi­ta­len Pro­dukts und unter Berück­sich­ti­gung der Umstän­de und der Art des Ver­trags erwar­ten kann”. Im Gegen­satz zum Ver­trags­recht beinhal­tet das Pro­dukt­haf­tungs­recht – zumin­dest bis­her – per se kei­ne Ver­pflich­tung zur Bereit­stel­lung von Updates.

Pra­xis­emp­feh­lung

Sowohl die Fra­ge, wel­ches tech­ni­sche Niveau bei Soft­ware zu berück­sich­tig­ten ist, als auch die Fra­ge, ob und in wel­chem Umfang Updates zur Ver­fü­gung gestellt wer­den müs­sen, ist recht­lich kom­plex. Die Kom­ple­xi­tät dürf­te dabei in den kom­men­den Jah­ren, insb. wegen einer zuneh­men­den Ver­dich­tung recht­li­cher Vor­ga­ben zur IT-Sicherheit, wei­ter zuneh­men. Her­stel­ler von Soft­ware sind daher gut bera­ten, früh­zei­tig und umfas­send zu klä­ren, wel­che gesetz­li­chen und ver­trag­li­chen Ver­pflich­tun­gen sie bei ihrer Soft­ware beach­ten müs­sen. Dar­über hin­aus muss auch ein kon­ti­nu­ier­li­ches Moni­to­ring der recht­li­chen Vor­ga­ben einer­seits, aber auch der IT-Sicherheit der Soft­ware ande­rer­seits eta­bliert werden.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.