Einzubauende Sicherheit
Wie bereits an anderer Stelle erörtert, haben mit der BGB-Reform von 2022 über den sog. „erweiterten Mangelbegriff“ insbesondere auch Eigenschaftserwartungen an digitale Produkte, wie etwa DSGVO-Compliance, Kompatibilität, Interoperabilität und Sicherheit, Einzug in das Zivilrecht gehalten.
Unter den Begriff des digitalen Produkts fällt insbesondere auch Software (einschließlich sog. Apps); auch Dienste wie SaaS zählen hierzu. Der Begriff der Sicherheit wiederum meint sowohl das digitale Produkt selbst als auch dessen digitale Umgebung, sodass insbesondere auch Cyberangriffe in der Risiko-Peripherie des digitalen Produkts hierunter fallen.
Updatepflicht
Der Nutzer darf also die Sicherheit des digitalen Produkts als dessen Eigenschaft erwarten. Was aber bedeutet das konkret für die ja in der Regel bei z.B. Software beabsichtigte Dauernutzung?
Eigenschaft ist für gewöhnlich ein Dauerzustand. Daher betrifft die jeweilige Sicherheitserwartung an digitale Produkte auch die Updateverpflichtung. Updates dienen oft dem schnellen Verschluss erkannter Sicherheitslücken und sind daher für Unternehmen und Verwaltung von essenzieller Bedeutung bei der Vermeidung von Großschäden aus dem Bereich des Vermögens, des geistigen Eigentums und des Schutzes der Daten von Kunden und Beschäftigten.
Seit 2022 sind daher Softwarehersteller und -anbieter verpflichtet, Aktualisierungen bereitzustellen, um die Vertragsgemäßheit digitaler Produkte zu erhalten. Objektiv zählt nunmehr zu den üblichen Beschaffenheitsmerkmalen, auf die sich der Nutzer verlassen darf, die anfängliche Sicherheit der digitalen Produkte sowie die fortlaufende Gewährleistung ihrer Aufrechterhaltung durch entsprechende Aktualisierungen; dies soll erfolgen durch Produktbeobachtung und -wartung. (Die Updateverpflichtung betrifft derzeit noch Verbraucherverträge. Es ist allerdings im Zuge der EU-Rechtsentwicklung davon auszugehen, dass allgemeine Marktzugangsregeln für Produkte mit digitalen Elementen aufgestellt werden, einschließlich der Pflicht zur kostenfreien Bereitstellung von Sicherheitsupdates [siehe hierzu EU-Kommissionsentwurf zum „Cyber Resilience Act“ sowie Aktualisierungen der Produkthaftungsrichtlinie und der KI-Haftungsrichtlinie]).
Update über Gewährleistungsdauer
Unklar ist bislang, wie lange der Anspruch auf Aktualisierung währt und ob Sicherheitsupdates möglicherweise länger als andere Updates bereitgestellt werden müssen. Absolute Mindestgrenze ist jedoch die gesetzliche Gewährleistung.
Sicherheitsupdates dürften aber wohl noch über den Gewährleistungszeitraum für das digitale Produkt hinaus bereitgehalten werden müssen. Konkrete Bereitstellungszeiträume nennt das Gesetz nicht, sie bleiben der Einzelfallbewertung überlassen.
Informationspflicht
Über die Aktualisierung muss in geeigneter Weise informiert werden. Gefordert wird eine aktive Bereitstellung der Information über die Aktualisierung einschließlich ihrer Sicherheitsrelevanz und ihres Gefahrenpotenzials.
Keine Updateautomatik
Die Hersteller sind jedoch nicht zu Zwangsaktualisierungen verpflichtet. Es bleibt dem Einzelnen überlassen, ob das Sicherheitsupdate installiert wird oder – unter Inkaufnahme des hierdurch bewirkten Ausschlusses jeglicher Haftung für Schadensfolgen – hierauf verzichtet wird. Auch der „Cyber Resilience Act“ sieht keine Zwangsaktualisierungen vor, sondern verfolgt das Leitbild herstellerseitiger Auto-Updates bei gleichzeitiger Nutzerinformation, wobei dem Nutzer offensteht, die Funktion Auto-Update durch einen einfachen Konfigurationsschritt zu aktivieren oder zu deaktivieren.
Haftungsfolgen
Bei einer unterlassenen Aktualisierung, in deren Folge es durch eine Sicherheitslücke zu Schäden kommt, wird für die hierdurch verursachten Mangelfolgeschäden gehaftet.
Wird die Informationspflicht verletzt, steht eine Update-Unterlassungshaftung für die Mängel des Produkts im Raume, soweit die Schadensfolgen auf das Fehlen des Updates infolge Informationsdefizits zurückzuführen sind.
Eine Haftungsfalle versteckt sich hier in der Kontaktdatenpflege. Sämtliche Betroffenen müssen informiert werden, was valide Adressen zur Kommunikation voraussetzt. Vorgeschlagen wird hier bspw., zur Erfüllung der Aktualisierungspflicht eine jährliche Aufforderung an die betroffenen Nutzer auszusenden, ihre Kontaktdaten zu überprüfen. Wird diese nutzerseitige Mitwirkungsobliegenheit versäumt, ist das verantwortliche Unternehmen in seinem Vertrauen in die fortwährende Aktualität der hinterlegten Daten schutzwürdig und ein Schadensersatzanspruch scheidet aus.
Im Zuge der Aktualisierung der Produkthaftungsrichtlinie wird künftig auch für Sicherheitsmängel bei Software gemäß den Bestimmungen des Produkthaftungsgesetzes gehaftet, wenn sich der Schaden aus der Missachtung von Sicherheitsanforderungen ergibt. Gleiches gilt für unsichere KI-Systeme bei der Betreiberhaftung gemäß der kommenden KI-Haftungsrichtlinie.