Das Gesetz unterscheidet objektive und subjektive Kriterien für die Antwort auf die Frage, ob bestimmte Qualitätsmängel einer Sache einen Mangel im Sinne des Gesetzes darstellen und damit auf der Rechtsfolgenseite Ansprüche des Kunden auf Minderung, Schadensersatz, Kündigung etc. auslösen können. Dieser Blog geht der Frage nach, ob Sicherheitslücken einer Anwendung (also Fehlfunktionen, durch die ein Angreifer -den Rechner unter Kontrolle bringen kann, -überhaupt Zugriff erhalten kann oder -Daten entwenden kann), als Mängel qualifiziert werden können.
Die Antwort ist: Noch nicht.
Das Gesetz arbeitet im Kaufrecht, Mietrecht und Werkvertragsrecht nach dem Schema: Vorrangig ist der subjektive Aspekt: Eine Sache ist mangelfrei, wenn sie der vereinbarten Beschaffenheit entspricht. Die objektiven Elemente des Mangelbegriffs besagen, wenn die Beschaffenheit nicht vereinbart ist, ist die Sache ist mangelfrei (Sperrwirkung des subjektiven Mangelbegriffs), wenn sie sich für den Zweck eignet, der sich mit dem Vertragszweck gewöhnlich verbindet (Alt 1.) oder die bei Sachen gleicher Art zu erwarten ist (Alt 2).
Da in den Leistungsbeschreibungen von Standardsoftware (meist) keine Aussagen zum Thema IT- Security bestehen, bleibt nur der Weg über die objektiven Elemente. Die Rechtsprechung wird eine Qualität der Anwendung nur dann als Mangel bewerten, wenn sie die Funktionsfähigkeit der Software beeinträchtigt. Danach sind Sicherheitsdefizite einer Software aber keine Mängel, denn der Mangel wird nicht durch die Software verursacht, sondern durch die Umwelt. Die zweite Alternative besagt, daß die Software die Eigenschaften aufweisen muss, die gewöhnlicherweise von einer Sache der gleichen Art zu erwarten ist. Schon hier wird es für Standardsoftware schwierig, denn es fehlt oft an der Vergleichbarkeit. Der in der Praxis dann häufig anzutreffende Ruf, die Software müsse dem Stand der Technik entsprechen, führt zu nichts. In der EN 45020 steht: Anerkannte Regel der Technik – technische Festlegung, die von einer Mehrheit repräsentativer Fachleute als Wiedergabe des Standes der Technik angesehen wird. Das hilft angesichts des Zustandes des Sachverständigenwesens in Deutschland nichts. Die Gerichte sind in dieser Frage zurückhaltend. In einer jüngeren Entscheidung des OLG Köln (30.10.2019) entschied das Gericht, daß das Bestehen von 15 Sicherheitslücken für ein Android Handy bei gleichzeitig fehlender Update- Fähigkeit einen Nachteil für den Verbraucher darstellte, aber: Der Händler könne die Gefährdung des Handys nur durch individualisierte Tests feststellen und dazu sei er nicht verpflichtet.
Eine gesetzliche Änderung ist am 11.6.2019 erfolgt, deren Reichweite für den deutschen Markt noch nicht klar ist. Erlassen wurde eine RL 2019/770/RL über digitale Inhalte und Dienstleistungen (DIGITAL RL). Spätestens ab dem Jahr 2020 werden deren Inhalte in nationales Recht umzusetzen sein und beinhalten, daß der Anwender einen Anspruch auf Funktionalität, Kompatibilität, Zugänglichkeit und Sicherheit habe. Es ist so, als ob das Kaufrecht zugunsten des Mietrechts sterben sollte. Während das Mietrecht die Verpflichtung zur Aktualisierung beinhaltet und der Vermieter dafür bezahlt wird, ist dies im Falle des Kaufrechts nicht so. Die Aktualität bezieht sich auf den Zeitpunkt der Übergabe (Kaufrecht) bzw. Abnahme (Werkvertrag). Den beiden Vertragstypen wird also für den Verbraucherverkehr ein zwanghaft abzuschließender Releasevertrag angeschlossen. Da die Rechtsprechung und die Kunden in Deutschland immer schon die Tendenz hatten, Segnungen der Politiker, die für den Verbraucherverkehr bestimmt sind, auch für den kaufmännischen Verkehr geltend zu machen, ist hier im Jahr 2021 einiges an Änderungen zu erwarten. Betroffen sind IT-Unternehmen, die nicht im Standard Softwarepflege- oder Releaseverträge mit ihren Kunden abschließen. Ich komme darauf in einem gesonderten Blog zu sprechen, welche Auswirkungen das für den deutschen Markt haben wird.
Hier bleibt festzustellen: Wenn der Vertrag keine ausdrücklichen Aussagen über das Thema IT- Sicherheit beinhaltet, muss die Software dem Stand der Technik entsprechen. Das heißt, die Qualität der Software muss die Bedrohungslagen der gängigen Medien (Heise, BSI) berücksichtigen.
sk
