Verbraucherschützer: Hersteller sollten zu Sicherheitsupdates verpflichtet werden
Wenn vernetzte Geräte Mängel oder Sicherheitslücken haben, sollten Verbraucherinnen und Verbraucher ihre Rechte kennen. Doch in der Praxis ist es schwierig, diese auch durchzusetzen. Im Interview schildert Julian Gallasch vom Bundesverband der Verbraucherzentralen Handlungsmöglichkeiten und Forderungen von Verbraucherschützern.
Viele Technologien im vernetzten Zuhause sind so gestaltet, dass sie selbsttätig aktiv werden. Zum Beispiel wird ein Türschloss entriegelt, wenn man nach Hause kommt. Wer haftet bei Fehlern – zum Beispiel, wenn die Tür fälschlich geöffnet wird?
Julian Gallasch ist Referent im Team Recht und Handel des Verbraucherzentrale Bundesverbands und befasst sich mit Rechtsfragen der Digitalisierung.
In Betracht kommen zwei Ansprechpartner: Der Verkäufer und der Hersteller von Smart-Home-Produkten. In einigen Fällen ist der Verkäufer zugleich auch der Hersteller. Für eine vertragliche Haftung des Verkäufers wäre es in diesem Fall erforderlich, dass die Tür durch einen Mangel in der Software fälschlicherweise geöffnet wird. Dieser Mangel müsste bereits beim Kauf vorgelegen haben und nicht erst durch das Zusammenspiel mit weiteren IT-Komponenten nachträglich entstanden sein.
Gerade im Smart-Home-Bereich haben wir es im Wesentlichen mit Beweisschwierigkeiten zu tun. Zum einen lassen sich bei technisch komplexen Geräten Softwarefehler als Ursache für einen konkreten Schaden ohne aufwändige Sachverständigengutachten nur schwer nachweisen. Zum anderen werden Geräte unterschiedlicher Hersteller – die möglicherweise auch von unterschiedlichen Händlern gekauft wurden – miteinander vernetzt. Es bleibt daher oft unklar, wer der richtige Ansprechpartner für etwaige Schadensersatzansprüche ist.
Käufer müssen Fehler in komplexen Systemen beweisen
Dadurch wird es für Verbraucher erschwert oder sogar ganz vereitelt, berechtigte Ansprüche auch tatsächlich durchzusetzen. Diese Beweisschwierigkeiten bestehen nicht nur bei der vertraglichen Haftung des Verkäufers, sondern auch bei unmittelbaren Ansprüchen gegen den Hersteller eines fehlerhaften Geräts, das heißt im Rahmen des allgemeinen Delikts- und Produkthaftungsrecht.
Und was folgt daraus?
Der Gesetzgeber ist aufgefordert, vorhandene Haftungslücken zu schließen und muss dafür sorgen, dass Ansprüche auch tatsächlich durchgesetzt werden können. Wir benötigen klare Haftungsregeln, damit für die Hersteller ein Anreiz besteht, Sicherheitslücken schnell zu schließen.
Insbesondere sollte die Beweislast für Sicherheitsmängel im Falle eines Schadens so verteilt werden, dass Verbraucher diese angesichts der technischen Komplexität tatsächlich erfüllen können. Eine weitgehende Beweislastumkehr sowohl in der vertraglichen wie auch in der deliktischen Haftung würde hier weiterhelfen. Dann wäre nicht der Verbraucher in der Verantwortung, den Nachweis für einen entsprechenden Mangel oder Produktfehler zu führen, sondern der Verkäufer beziehungsweise Hersteller des Produkts.
Bei Kauf: Software-Updates nicht verpflichtend
Einem Angreifer kann es beispielsweise auch gelingen, ein Gerät im vernetzten Zuhause zu kapern, weil es unsicher ist. Müssen die Anbieter da nicht für sichere Produkte sorgen, etwa durch Updates?
In der Tat ist das Thema Sicherheitsupdates aus unserer Sicht ein zentraler Punkt. Vernetzte Haushaltsgeräte wie Kühlschränke oder Waschmaschinen sind oftmals über viele Jahre im Einsatz, ohne dass diese mit entsprechenden Updates versorgt werden. Die Gefahr, dass diese etwa aufgrund von Sicherheitslücken übernommen und zu Botnetzen zusammengeschaltet werden, ist durchaus real, wie die Vergangenheit gezeigt hat.
Auch hier fehlt es derzeit an ausreichenden gesetzlichen Regelungen, damit sicherheitsrelevante Software-Updates tatsächlich für die gesamte tatsächliche Nutzungsdauer eines Produkts zur Verfügung gestellt werden. Beim klassischen Kauf eines Geräts, also der einmaligen Bereitstellung eines Produkts, greift zwar grundsätzlich die sogenannte kaufrechtliche Gewährleistung. Schwerwiegende Sicherheitslücken stellen dann einen Mangel dar, sodass jedenfalls in den ersten zwei Jahren ab dem Kauf theoretisch Ansprüche auf Nachbesserung bestehen. Die Praxis zeigt jedoch, dass oftmals auch innerhalb dieses Zeitraums keine Updates bereitgestellt werden. Dabei ist er für viele Produkte ohnehin deutlich zu kurz.
Oftmals erwerben Verbraucher aber nicht nur ein Gerät, sondern schließen gleich auch einen Vertrag über die Steuerung mittels der vom Anbieter bereitgestellten Infrastruktur ab, zum Beispiel dessen Server oder eine Smartphone-App. Meist geht es um einen konkreten Zeitraum gegen die Zahlung eines monatlichen Entgelts. Der Anbieter ist in solchen Fällen dafür verantwortlich, dass die von ihm bereitgestellten Dienste über die gesamte Vertragslaufzeit sicher funktionieren. Das schließt auch die Bereitstellung von Updates ein, sollte während der Vertragslaufzeit etwa eine Sicherheitslücke bekannt werden.
Wenn ich ein Produkt gekauft habe, das nicht ausreichend gesichert ist, kann ich mich auch an den Hersteller wenden?
Gegenüber dem Hersteller besteht – mit Ausnahme der Fälle, in denen ein Hersteller das Produkt gleichzeitig auch vertreibt – kein Vertragsverhältnis. Hier sind wir im Bereich des Produkthaftungs- und Produktsicherheitsrechts. Eine konkrete gesetzliche Verpflichtung zur Bereitstellung von Softwareupdates für Sicherheitslücken gibt es hier derzeit nicht.
Wichtig ist auch, dass Hersteller haften, wenn durch Sicherheitslücken in Software ein Schaden auf Seiten der Verbraucher entsteht. Das derzeit geltende Produkthaftungsrecht ist aus unserer Sicht nicht in der Lage, in einer hochkomplexen Welt von miteinander vernetzten Geräten für einen ausreichenden Schutz der Verbraucher zu sorgen. Es basiert in Deutschland auf einer europäischen Richtlinie, die vor dreißig Jahren verabschiedet wurde. An komplexe Szenarien wie den Einsatz von Software in alltäglichen Geräten dachte damals niemand.
Forderungen der Verbraucherschützer
Deswegen muss aus unserer Sicht auch die Produkthaftung überarbeitet werden. Die Europäische Kommission evaluiert derzeit den Bedarf bei diesem Thema. Es ist aber noch völlig offen, was daraus konkret entsteht.
Haben Sie dazu konkrete Vorschläge oder Forderungen?
Ein besonderes Problem liegt hier in der erschwerten Nachweisbarkeit von Fehlern. Derzeit müssen Sie als Verbraucher nachweisen, dass ein bestimmter Fehler besteht und für einen konkreten Schaden kausal geworden ist. Bei Sicherheitsproblemen in einer Software ist das für Verbraucher jedoch schwierig. Hier sollten Standards definiert und Normen erarbeitet werden, die einen solchen Nachweis einfacher machen würden.
Eine weitere Forderung betrifft die bereits angesprochenen Updates. Heute sind Verbraucher häufig auf die Kulanz des Herstellers angewiesen, Sicherheitsupdates bereitzustellen. Solche Updates werden aber in der Regel nur sehr verspätet oder überhaupt nicht zur Verfügung gestellt. Das muss gesetzlich geregelt werden. Hierfür bietet sich etwa die Richtlinie über digitale Inhalte an, die derzeit auf europäischer Ebene verhandelt wird. Dort sollte festgelegt werden, dass Sicherheitsupdates über einen festgelegten Zeitraum zwingend und kostenlos zur Verfügung gestellt werden müssen.
Wenn vernetzte Geräte Mängel oder Sicherheitslücken haben, sollten Verbraucherinnen und Verbraucher ihre Rechte kennen. Doch in der Praxis ist es schwierig, diese auch durchzusetzen. Im Interview schildert Julian Gallasch vom Bundesverband der Verbraucherzentralen Handlungsmöglichkeiten und Forderungen von Verbraucherschützern.
Viele Technologien im vernetzten Zuhause sind so gestaltet, dass sie selbsttätig aktiv werden. Zum Beispiel wird ein Türschloss entriegelt, wenn man nach Hause kommt. Wer haftet bei Fehlern – zum Beispiel, wenn die Tür fälschlich geöffnet wird?
In Betracht kommen zwei Ansprechpartner: Der Verkäufer und der Hersteller von Smart-Home-Produkten. In einigen Fällen ist der Verkäufer zugleich auch der Hersteller. Für eine vertragliche Haftung des Verkäufers wäre es in diesem Fall erforderlich, dass die Tür durch einen Mangel in der Software fälschlicherweise geöffnet wird. Dieser Mangel müsste bereits beim Kauf vorgelegen haben und nicht erst durch das Zusammenspiel mit weiteren IT-Komponenten nachträglich entstanden sein.
Gerade im Smart-Home-Bereich haben wir es im Wesentlichen mit Beweisschwierigkeiten zu tun. Zum einen lassen sich bei technisch komplexen Geräten Softwarefehler als Ursache für einen konkreten Schaden ohne aufwändige Sachverständigengutachten nur schwer nachweisen. Zum anderen werden Geräte unterschiedlicher Hersteller – die möglicherweise auch von unterschiedlichen Händlern gekauft wurden – miteinander vernetzt. Es bleibt daher oft unklar, wer der richtige Ansprechpartner für etwaige Schadensersatzansprüche ist.
Käufer müssen Fehler in komplexen Systemen beweisen
Dadurch wird es für Verbraucher erschwert oder sogar ganz vereitelt, berechtigte Ansprüche auch tatsächlich durchzusetzen. Diese Beweisschwierigkeiten bestehen nicht nur bei der vertraglichen Haftung des Verkäufers, sondern auch bei unmittelbaren Ansprüchen gegen den Hersteller eines fehlerhaften Geräts, das heißt im Rahmen des allgemeinen Delikts- und Produkthaftungsrecht.
Und was folgt daraus?
Der Gesetzgeber ist aufgefordert, vorhandene Haftungslücken zu schließen und muss dafür sorgen, dass Ansprüche auch tatsächlich durchgesetzt werden können. Wir benötigen klare Haftungsregeln, damit für die Hersteller ein Anreiz besteht, Sicherheitslücken schnell zu schließen.
Insbesondere sollte die Beweislast für Sicherheitsmängel im Falle eines Schadens so verteilt werden, dass Verbraucher diese angesichts der technischen Komplexität tatsächlich erfüllen können. Eine weitgehende Beweislastumkehr sowohl in der vertraglichen wie auch in der deliktischen Haftung würde hier weiterhelfen. Dann wäre nicht der Verbraucher in der Verantwortung, den Nachweis für einen entsprechenden Mangel oder Produktfehler zu führen, sondern der Verkäufer beziehungsweise Hersteller des Produkts.
Bei Kauf: Software-Updates nicht verpflichtend
Einem Angreifer kann es beispielsweise auch gelingen, ein Gerät im vernetzten Zuhause zu kapern, weil es unsicher ist. Müssen die Anbieter da nicht für sichere Produkte sorgen, etwa durch Updates?
In der Tat ist das Thema Sicherheitsupdates aus unserer Sicht ein zentraler Punkt. Vernetzte Haushaltsgeräte wie Kühlschränke oder Waschmaschinen sind oftmals über viele Jahre im Einsatz, ohne dass diese mit entsprechenden Updates versorgt werden. Die Gefahr, dass diese etwa aufgrund von Sicherheitslücken übernommen und zu Botnetzen zusammengeschaltet werden, ist durchaus real, wie die Vergangenheit gezeigt hat.
Auch hier fehlt es derzeit an ausreichenden gesetzlichen Regelungen, damit sicherheitsrelevante Software-Updates tatsächlich für die gesamte tatsächliche Nutzungsdauer eines Produkts zur Verfügung gestellt werden. Beim klassischen Kauf eines Geräts, also der einmaligen Bereitstellung eines Produkts, greift zwar grundsätzlich die sogenannte kaufrechtliche Gewährleistung. Schwerwiegende Sicherheitslücken stellen dann einen Mangel dar, sodass jedenfalls in den ersten zwei Jahren ab dem Kauf theoretisch Ansprüche auf Nachbesserung bestehen. Die Praxis zeigt jedoch, dass oftmals auch innerhalb dieses Zeitraums keine Updates bereitgestellt werden. Dabei ist er für viele Produkte ohnehin deutlich zu kurz.
Oftmals erwerben Verbraucher aber nicht nur ein Gerät, sondern schließen gleich auch einen Vertrag über die Steuerung mittels der vom Anbieter bereitgestellten Infrastruktur ab, zum Beispiel dessen Server oder eine Smartphone-App. Meist geht es um einen konkreten Zeitraum gegen die Zahlung eines monatlichen Entgelts. Der Anbieter ist in solchen Fällen dafür verantwortlich, dass die von ihm bereitgestellten Dienste über die gesamte Vertragslaufzeit sicher funktionieren. Das schließt auch die Bereitstellung von Updates ein, sollte während der Vertragslaufzeit etwa eine Sicherheitslücke bekannt werden.
Wenn ich ein Produkt gekauft habe, das nicht ausreichend gesichert ist, kann ich mich auch an den Hersteller wenden?
Gegenüber dem Hersteller besteht – mit Ausnahme der Fälle, in denen ein Hersteller das Produkt gleichzeitig auch vertreibt – kein Vertragsverhältnis. Hier sind wir im Bereich des Produkthaftungs- und Produktsicherheitsrechts. Eine konkrete gesetzliche Verpflichtung zur Bereitstellung von Softwareupdates für Sicherheitslücken gibt es hier derzeit nicht.
Wichtig ist auch, dass Hersteller haften, wenn durch Sicherheitslücken in Software ein Schaden auf Seiten der Verbraucher entsteht. Das derzeit geltende Produkthaftungsrecht ist aus unserer Sicht nicht in der Lage, in einer hochkomplexen Welt von miteinander vernetzten Geräten für einen ausreichenden Schutz der Verbraucher zu sorgen. Es basiert in Deutschland auf einer europäischen Richtlinie, die vor dreißig Jahren verabschiedet wurde. An komplexe Szenarien wie den Einsatz von Software in alltäglichen Geräten dachte damals niemand.
Forderungen der Verbraucherschützer
Deswegen muss aus unserer Sicht auch die Produkthaftung überarbeitet werden. Die Europäische Kommission evaluiert derzeit den Bedarf bei diesem Thema. Es ist aber noch völlig offen, was daraus konkret entsteht.
Haben Sie dazu konkrete Vorschläge oder Forderungen?
Ein besonderes Problem liegt hier in der erschwerten Nachweisbarkeit von Fehlern. Derzeit müssen Sie als Verbraucher nachweisen, dass ein bestimmter Fehler besteht und für einen konkreten Schaden kausal geworden ist. Bei Sicherheitsproblemen in einer Software ist das für Verbraucher jedoch schwierig. Hier sollten Standards definiert und Normen erarbeitet werden, die einen solchen Nachweis einfacher machen würden.
Eine weitere Forderung betrifft die bereits angesprochenen Updates. Heute sind Verbraucher häufig auf die Kulanz des Herstellers angewiesen, Sicherheitsupdates bereitzustellen. Solche Updates werden aber in der Regel nur sehr verspätet oder überhaupt nicht zur Verfügung gestellt. Das muss gesetzlich geregelt werden. Hierfür bietet sich etwa die Richtlinie über digitale Inhalte an, die derzeit auf europäischer Ebene verhandelt wird. Dort sollte festgelegt werden, dass Sicherheitsupdates über einen festgelegten Zeitraum zwingend und kostenlos zur Verfügung gestellt werden müssen.