Veröffentlicht von:
Ist eine Sicherheitslücke ein Mangel der Software?
- 2 Minuten Lesezeit
1. Problem:
Cyberangriffe auf Behörden (wie zuletzt das Kammergericht in Berlin) und Unternehmen stehen mittlerweile auf der Tagesordnung. Mittels Schadsoftware verschaffen sich dabei externe Dritte unberechtigterweise Zugriff auf die IT-Systeme der jeweiligen Unternehmen. Nicht zuletzt durch Programmierfehler, unübliche Nutzung der Software oder aber mangelhafte Kontrolle führen Cyberangriffe zu beträchtlichen materiellen Schäden und Rufschädigung der Unternehmen. Für den Angegriffenen stellt sich im Nachgang dann die Frage, ob er seinen Schaden gegebenenfalls von dem Hersteller der korrumpierten Software verlangen kann.
2. Rechtliche Grundlagen:
Nach dem Gewährleistungsrecht im Bürgerlichen Gesetzbuch („BGB“) stellt sich die Frage, ob sich eine solche Sicherheitslücke als ein Mangel der Software behandeln lässt.
2.1 Vertragliche Beschaffenheit:
Nach BGB ist eine Sache („Software“) dann frei von Sachmängeln, wenn sie bei Gefahrübergang die vereinbarte Beschaffenheit hat (§ 434 Abs. 1 Satz 1 BGB). Vorausgesetzt wird jedoch, dass entweder in der Leistungsbeschreibung oder aber im Vertrag explizit eine solche Beschaffenheit zwischen Auftragnehmer und Auftraggeber vereinbart wird.
2.2 Vertragliche Verwendung:
Weiterhin ist die Software dann frei von Sachmängeln, wenn sie sich für die im Vertrag vorausgesetzte Verwendung eignet (§ 434 Abs. 1 Satz 2 Nr. 1 BGB). Von der Rechtsprechung wurden bisher nur dann Softwaremängel angenommen, wenn eine Funktionsbeeinträchtigung vorliegt, die bei einer Sicherheitslücke zunächst schwerlich zu bejahen ist. Danach wurden von der Rechtsprechung bisher sicherheitsrelevante Softwarefehler nicht unter diesen Mangelbegriff gefasst.
2.3 Eignung zur gewöhnlichen Verwendung:
Zuletzt ist die Software dann frei von Sachmängeln, wenn sie sich für die gewöhnliche Verwendung eignet und eine Beschaffenheit aufweist, die bei Sachen der gleichen Art üblich ist und die der Käufer nach der Art der Sache erwarten kann (§ 434 Abs. 1 Satz 2 Nr. 2 BGB). Dieses Merkmal ist objektiv zu bestimmen und hilft auch selten weiter. Insofern gab es bisher ausschließlich Rechtsprechung bezüglich des nicht vorhandenen Stands der Technik.
2.4 Konsequenz:
Die in Deutschland vorherrschende Rechtsprechung hat sich bezüglich des Umstandes, ob Sicherheitslücken einen Mangel begründen, kaum geäußert. Im Ergebnis wurde nur dann ein Mangel bestätigt, wenn dieser die Verwendung der Software beeinträchtigt. Dies ist bei Sicherheitslücken aktuell nicht der Fall.
3. Handlungsbedarf:
Ab dem 1.1.2022 müssen die Digital-RL (RL 2019/770/EU), ebenso wie die Warenkauf-RL (RL/771/EU) in nationales Recht umgesetzt werden. Beiden Richtlinien ist gemein, dass ein hohes Verbraucherschutzniveau in den Mitgliedstaaten erreicht werden soll. Gemeinhin wollen die Richtlinien erreichen, dass der Verbraucher über Sicherheitsaktualisierungen informiert werden soll und diese dann umgesetzt werden, um den vertragsgemäßen Zustand zu erhalten, wenn der Verbraucher Inhalte, Dienstleistungen, oder Waren von einem Unternehmer digital erwirbt.
Infolgedessen wird der Gesetzgeber diese Verpflichtung höchstwahrscheinlich auf den B2B-Bereich übertragen, weshalb man bei einem Fehlen von Sicherheitsaktualisierungen, spätestens ab dem 1.1.2022 von einem Mangel der Software ausgehen muss, wenn diese Aktualisierungen nicht durchgeführt werden. Bis zum 1.1.2022 macht es jedoch Sinn, gerade für sich anbahnende IT-Projekte in der individuellen Vertragsgestaltung die bisherige Gesetzeslücke und den fehlenden Rückhalt in der Rechtsprechung ausreichend zu berücksichtigen. Bei der Beratung hierzu und bei der individuellen Vertragsgestaltung stehe ich Ihnen zur Verfügung.
Artikel teilen: