Das Wichtigste in Kürze
- Das OLG Köln hat entschieden, dass Händler nicht verpflichtet sind, über Sicherheitslücken und Updates bei Smartphones zu informieren.
- Der Aufwand, diese dynamischen Informationen zu beschaffen und zu pflegen, wäre für Händler unzumutbar.
- Die Verantwortung für die Bereitstellung von Sicherheitsupdates liegt primär bei den Herstellern.
- Das Urteil ist auch auf andere elektronische Geräte übertragbar und schafft Klarheit für den Elektronikhandel.
OLG Köln: Händler müssen nicht über Sicherheitslücken und Updates bei Smartphones informieren
Das Oberlandesgericht Köln hat ein für viele Händler – insbesondere im Elektronikbereich und für Onlinehändler – relevantes Urteil gefällt. Die Entscheidung befasst sich mit der Frage, inwieweit ein Händler über Sicherheitslücken und fehlende Updates bei den von ihm verkauften Smartphones informieren muss. Diese Ausführungen lassen sich auch auf andere elektronische Geräte übertragen.
Der Ausgangspunkt: Testkäufe und BSI-Analyse
Ein klagender Verbraucherverband führte bei dem beklagten Elektronikmarkt Testkäufe durch. Die erworbenen Smartphones wurden anschließend von Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken untersucht.
Dabei zeigten sich deutliche Unterschiede zwischen den Geräten:
- Ein Smartphone wies 15 von 28 getesteten Sicherheitslücken auf.
- Ein anderes Gerät zeigte lediglich eine Sicherheitslücke.
Dies war bemerkenswert, da beide Geräte nominell dieselbe ältere Version des Betriebssystems Android werksseitig aufgespielt hatten. Der Hintergrund ist, dass das Betriebssystem vom jeweiligen Hersteller auf das spezifische Smartphone-Modell angepasst wird. Neue Versionen des Betriebssystems können erst genutzt werden, wenn sie zuvor für das jeweilige Modell angepasst wurden.
Forderung nach Hinweis auf Sicherheitsrisiken
Das BSI schätzte ein, dass das Gerät mit den 15 Sicherheitslücken ein eklatantes Sicherheitsrisiko für die Nutzer darstellte. Nachdem das BSI erfolglos den Hersteller kontaktiert hatte, forderte der Kläger vom Betreiber des Elektronikmarkts, die Geräte nicht mehr ohne Hinweis auf die vorhandenen Sicherheitslücken zu verkaufen.
Die Gerichtsentscheidung: Ablehnung der Unterlassungsklage
Die in der Folge erhobene Unterlassungsklage haben das Landgericht und Oberlandesgericht Köln abgewiesen. Der 6. Zivilsenat des Oberlandesgerichts begründete die Zurückweisung der Berufung im Wesentlichen damit, dass die Voraussetzungen eines Unterlassungsanspruchs nicht erfüllt seien.
Unzumutbarer Aufwand für Händler
- Der Händler müsste Sicherheitslücken durch Tests feststellen, die sich auf den jeweiligen Typ des Smartphones beziehen müssten.
- Es ist nicht möglich, alle vorhandenen Sicherheitslücken festzustellen.
- Anbieter von Betriebssystemen finden selbst immer wieder neue Sicherheitslücken.
- Feststellbare Sicherheitslücken können sich jederzeit ändern, was regelmäßige Wiederholungen der Tests erforderlich machen würde.
Dies begründete das Gericht wie folgt:
- Der Händler könnte Sicherheitslücken nur durch Tests feststellen, die sich auf den jeweiligen Typ des Smartphones beziehen müssten.
- Es ist nicht möglich, alle vorhandenen Sicherheitslücken festzustellen.
- Alle Anbieter von Betriebssystemen finden selbst immer wieder – teilweise erst aufgrund von Angriffen durch Dritte – neue Sicherheitslücken im Betriebssystem.
- Feststellbare Sicherheitslücken können sich jederzeit ändern, was regelmäßige Wiederholungen der Tests erforderlich machen würde.
Keine ständige Information über Sicherheitsupdates
- Der Händler hat keine Möglichkeit, diese Informationen ohne Mitwirkung der Hersteller zu erlangen.
- Allein der Hersteller entscheidet, ob und wann er ein Sicherheitsupdate für das jeweilige Smartphone-Modell anpasst.
- Die entsprechende Information kann sich täglich ändern.
- Auch dem Hersteller ist nicht bekannt, ob und wann ein anzupassendes Sicherheitsupdate veröffentlicht wird.
Folgende Gründe sprechen gegen eine Händlerpflicht:
- Der Händler hat keine Möglichkeit, diese Informationen ohne Mitwirkung der Hersteller zu erlangen.
- Allein der Hersteller entscheidet, ob und wann er ein Sicherheitsupdate für das jeweilige Smartphone-Modell anpasst.
- Die entsprechende Information kann sich täglich ändern.
- Auch dem Hersteller ist nicht bekannt, ob und wann ein anzupassendes Sicherheitsupdate veröffentlicht wird.
Diese Erkenntnisse sind auch im Kontext eines umfassenden betrieblichen Datenschutzes relevant, da IT-Sicherheit eine permanente Herausforderung darstellt.
Fazit
Das Urteil des OLG Köln schafft Klarheit für Händler im Elektronikbereich. Sie sind nicht verpflichtet, permanent über Sicherheitslücken oder die Bereitstellung von Updates für die von ihnen verkauften Smartphones zu informieren. Der dafür notwendige Aufwand wäre für sie unzumutbar, zumal solche Informationen dynamisch sind und maßgeblich von den Herstellern abhängen.