Händler muss nicht über Sicherheitslücke informieren

Vor dem Oberlandesgericht Köln ging es kürzlich um den Verkauf von Android-Smartphones (Urteil v. 31. Oktober 2019 – AZ. 6 U 100/19). Verbraucherschützer hatten bei einem Elektronikmarkt Testkäufe durchgeführt. Bei einer anschließenden Untersuchung stellte sich heraus, dass eines der Geräte immerhin 15 von 28 überprüften Sicherheitslücken aufwies, ein anderes Geräte wiederum eine Sicherheitslücke. Dass der Elektronikmarkt auf diese Sicherheitsrisiken sowie die fehlende Update-Möglichkeit der Smartphones nicht hinweisen muss, bestätigte das Gericht nun. 

„Eklatantes Sicherheitsrisiko“ für Verbraucher

Die Geräte waren laut Pressemitteilung des Oberlandesgerichts Köln von Experten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geprüft worden. Ihrer Ansicht nach stelle das Smartphone mit den 15 Sicherheitslücken ein „eklatantes Sicherheitsrisiko“ für die Nutzer dar. Man wandte sich insofern an den Hersteller der Geräte, dies blieb jedoch offenbar erfolglos. In der Folge verlangten die klagenden Verbraucherschützer dann vom betreffenden Elektronikmarkt, die Geräte nicht mehr weiter zu verkaufen, wenn dieser nicht auf die besagten Sicherheitslücken hinweise. Mit diesem Anliegen erhoben sie dann im Anschluss auch Klage.

Diese wurde allerdings sowohl in erster Instanz vom LG Köln als auch in zweiter Instanz vom Oberlandesgericht Köln zurückgewiesen: Die Voraussetzungen für einen Unterlassungsanspruch seien nicht gegeben, heißt es weiter in der Pressemitteilung. Der Betreiber des Elektronikmarktes müsste sich Informationen über jedes einzelne von ihm angebotene Smartphone-Modell verschaffen – was für ihn schließlich einen unzumutbaren Aufwand darstellen würde. 

Zwar sei die Information der Verbraucher über bestehende Sicherheitslücken von großer Bedeutung, weil deren Privatsphäre verletzt und gewonnene Daten zu betrügerischen Zwecken missbraucht werden könnten. 

Unzumutbarer Aufwand für Händler

Der beklagte Betreiber des Elektronikmarktes hingegen könnte auf der anderen Seite Sicherheitslücken nur durch Tests feststellen. Diese müssten sich dann auch auf den jeweiligen Typ des Smartphones beziehen und es könnten dann auch nicht sämtliche Lücken gefunden werden. Diese würden von den Anbietern von Betriebssystem immer wieder entdeckt werden, was teilweise zudem erst durch Angriffe Dritter auffalle. Schließlich könnten sich die Sicherheitslücken jederzeit ändern – die Tests müssten also ebenfalls regelmäßig durchgeführt werden. 

Ähnliches gelte im Hinblick auf Sicherheitsupdates: Ob solche für das jeweilige Modell bereitgestellt werden würden, stehe zum Zeitpunkt des Verkaufs in aller Regel noch nicht fest. Dann hänge es auch im Wesentlichen vom Hersteller ab, ob und wann diese veröffentlicht werden. 

Vor diesem Hintergrund könne man vom Betreiber des Elektronikmarktes die Information von Verbrauchern über Sicherheitslücken und -updates nicht verlangen. In Revision gehen können die Verbraucherschützer nicht – das Rechtsmittel wurde nicht zugelassen.