Absturzgefahr

Inhaltsverzeichnis

Wenn Hersteller von Laptops weltweit Millionen von Akkus wegen Überhitzungsgefahr zurückrufen, erregt das Aufmerksamkeit. Leicht fällt Unternehmen ein solcher Schritt nicht. Neben hohen Kosten entsteht meist ein immenser Imageschaden, den kein Manager gerne verantwortet. Häufig sind sie aber zu solchen Maßnahmen verpflichtet. Denn es gibt zahlreiche gesetzliche Regelungen, die die Sicherheit von Produkten betreffen. Sie erfassen neben Hardware auch Software - egal, ob Standardprodukte oder Individualanfertigungen.

Juristen unterscheiden im Bereich der Produkthaftung zwischen der verschuldensabhängigen und der verschuldensunabhängigen Haftung des Herstellers. In Deutschland gilt für die verschuldensabhängige Haftung die Regelung in § 823 des Bürgerlichen Gesetzbuches (BGB). Wer rechtswidrig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen verletzt, muss dem Verletzten Schadensersatz leisten. Diese sehr allgemein gefasste Bestimmung spielt bei den meisten Schadensfällen eine wichtige Rolle.

Sie umfasst neben Verkehrsunfällen, Schäden an Nachbargrundstücken bei Baumaßnahmen, aber auch Schäden, die jemandem durch schadhafte Hardware- oder Softwareprodukte entstehen. Wird jemand durch eine fehlerhafte Software verletzt oder kommt gar ums Leben, etwa weil ein zur Ampelsteuerung eingesetztes Programm zwei Ampeln gleichzeitig „grün“ anzeigen lässt, ist eindeutig ein Schaden entstanden, der unter die Schadensersatzpflicht des § 823 BGB fällt. Juristen sprechen hier auch von deliktischer Haftung, da kein Vertragsverhältnis zwischen dem Verletzer und dem Verletzten bestehen muss. Es genügt ein Delikt gegen den Verletzten, um die Haftung auszulösen.

Haftung bei Eigentumsverletzung

Daneben kann es um Schäden in einem Unternehmen gehen, bei denen die Ursachen in virenversuchten Programmen oder durch kritische Sicherheitslücken eingeschleuste Malware zu suchen sind. Es können Produktionsanlagen für eine Weile ausfallen, Mitarbeiter können nicht produzieren, Gehälter nicht rechtzeitig ausgezahlt werden et cetera. Hier wird es schon schwieriger, denn die deliktische Haftung greift nur, wenn eine Eigentumsverletzung vorliegt. Das virenverseuchte IT-System wird jedoch nicht beschädigt oder zerstört durch den Virusbefall. Denn nach einer Virenbeseitigung oder Neuinstallation funktioniert es ja wieder. Allerdings kann auch der Verlust von Daten oder die Zerstörung der Ordnung in einer Datenbank eine Eigentumsverletzung darstellen, die Schadensersatzansprüche auslöst.

Weiter haftet der Softwarehersteller für Sicherheitslücken, die mittelbar durch den Einsatz von Malware Schaden verursachen. Hier sprechen die Juristen davon, dass derjenige, der eine Gefahrenquelle beherrscht - etwa der Softwarehersteller - auch für solche Schäden einstehen muss, die ein anderer unter Ausnutzung der Lücken verursacht. Selbstverständlich haftet der böswillige Verbreiter der Malware ebenfalls, nur wäre ein Anspruch gegen den Hersteller des Programms meist leichter durchzusetzen. Denn in der Regel bekommt man den Virenschreiber oder -verbreiter nicht zu fassen. Sicherheitslücken in Software können also eine Haftung des Programmherstellers verursachen.

Aber nicht jeder Fehler begründet eine Haftung des Herstellers. Bedeutend ist in diesem Zusammenhang, ob ein Konstruktionsfehler vorliegt. Ein solcher wird angenommen, wenn bei der Programmherstellung der Stand von Wissenschaft und Technik nicht beachtet wurde. Man muss also die Frage stellen, ob unter Berücksichtigung dieses Standes der Hersteller bei Inverkehrbringen des Programms die Sicherheitslücken hätte kennen müssen. Auch muss ein Hersteller dafür sorgen, dass Bedienungsfehler, Produktionsfehler et cetera gar nicht erst eintreten. Wenn es doch passiert, muss er alles Zumutbare unternehmen, um diese Fehlerquellen für die Zukunft auszuräumen.

Die Komplexität von Softwareprogrammen ist kein Grund dafür, den hohen Aufwand zu unterlassen, der mit der Beseitigung von Fehlern einhergeht. Insofern gilt nichts anderes als bei einem Konstruktionsfehler am Höhenruder von Flugzeugen, der einen Schaden wahrscheinlich macht. Ein Hersteller muss außerdem darauf achten, dass nur Softwareversionen auf den Markt gelangen, die sich auf dem neuesten Stand befinden. Darauf zu vertrauen, die Käufer würden schon etwaige im Internet abrufbare Patches aufspielen, wäre fahrlässig und würde daher im Zweifelsfall eine Haftung auslösen.

Die Rechtsprechung hat Produktherstellern außer der beschriebenen Haftung weitere Pflichten auferlegt. So genügt es nicht, wenn der Hersteller erst dann handelt, wenn ihm ein Produktfehler zur Kenntnis gelangt. Er muss vielmehr aktiv sein Produkt auf dem Markt und im täglichen Einsatz beobachten. Er muss bei Softwareprogrammen insbesondere darauf achten, ob andere Erkenntnisse veröffentlichen, die auf Sicherheitslücken etwa in Programmen hinweisen. Mit seinen Patchdays reagiert Microsoft - hier stellvertretend für andere genannt - auch auf Sicherheitshinweise externer Experten und nicht nur auf eigene Erkenntnisse und Tests.

Pflicht zur Warnung vor Gefahren

Stellt ein Hersteller fest, dass infolge eines Programmierfehlers Leib oder Leben von Menschen bedroht sein können, ist er sogar verpflichtet, vor dem Gebrauch seiner Produkte zu warnen. Das gilt selbst dann, wenn ein Risiko noch nicht gewiss ist. Hier ist jedoch Vorsicht angeraten. Da eine öffentliche Warnung Dritte erst auf den Plan rufen könnte, muss der Hersteller abwägen, ob nicht ein stilles Beseitigen eines Fehlers in Form eines Patches im Einzelfall besser ist.

Hier kommt es auf den Einzelfall an: Ein Computerprogramm, das zur Steuerung komplexer oder sicherheitsrelevanter Vorgänge, etwa zur Streckensicherung bei der Eisenbahn oder im medizinischen Bereich für das Stellen von Patientendiagnosen eingesetzt wird, unterliegt anderen Überwachungspflichten als etwa Computerspiele oder Anwendungen zur Textverarbeitung. Der Hersteller muss gerade bei Produkten, die (auch) für Verbraucher bestimmt sind, dafür sorgen, dass sie sie einsetzen können, ohne dass ein Schaden entsteht. Bei Eingabegeräten für Fahrzeugnavigation etwa oder der programmgesteuerten Heizungsanlage muss er sich an dem am wenigsten informierten und am meisten gefährdeten Nutzer orientieren.

In aller Regel besteht keine Pflicht des Programmherstellers, fehlerhafte Programme zurückzurufen, um so einen vielleicht schadensträchtigen Einsatz zu vermeiden. Die deliktische Haftung verlangt an sich nur, dass der Hersteller vor dem Gebrauch seines Produktes warnt. Denn wenn es nicht eingesetzt wird, kann kein Schaden entstehen. Ob er in dem Fall wegen Verletzung des Vertrages in Anspruch genommen werden kann, weil eine bestimmungsgemäße Nutzung der Programme nicht mehr möglich ist, ist eine andere Frage.

Nur markttauglich, wenn ungefährlich

Zurück zu den Laptop-Akkus: Bei ihnen kann es sich entweder um „technische Arbeitsmittel“ oder um „Verbraucherprodukte“ nach dem Geräte- und Produktsicherheitsgesetz handeln - ein Gesetz, das in Umsetzung einer EU-Richtlinie erlassen wurde. Man kann also davon ausgehen, dass in anderen EU-Mitgliedsstaaten ähnliche Vorschriften gelten.

Wichtig ist, dass ein Hersteller ein Produkt nur in den Verkehr bringen darf, „wenn es so beschaffen ist, dass bei bestimmungsgemäßer Verwendung oder vorhersehbarer Fehlanwendung Sicherheit und Gesundheit von Verwendern oder Dritten nicht gefährdet werden“. Ob dem so ist, lässt sich anhand von Normen und technischen Spezifikationen bestimmen. Auch hier spielt der Stand von Wissenschaft und Technik eine große Rolle. Bei gerichtlichen Auseinandersetzungen verwenden die Juristen solche Normen gerne als Maßstab für den neuesten Stand.

Die Überwachung etwaiger Produktgefahren ist jedoch nicht nur vom Hersteller, sondern auch von Behörden sicherzustellen. Um Schaden zu vermeiden, können die Überwachungsbehörden vom Hersteller Maßnahmen zur Verbesserung der Produktsicherheit bis hin zum Produktrückruf verlangen. Kommt dieser der Rückrufanordnung nicht nach, kann die Behörde die Aktion selbst durchführen und an die Öffentlichkeit treten.

Wenn also Laptop-Akkus drohen, sich zu überhitzen und so möglicherweise einen Brand verursachen oder die Sicherheit von Flugzeugen gefährden können, kann man davon ausgehen, dass die Voraussetzungen für Rückrufpflichten erfüllt sind. Wer einen Rückruf unterlässt, obwohl er angezeigt war, hat unter Umständen allein schon deswegen gegenüber dem Geschädigten eine Schadensersatzpflicht. Da Software ein Produkt im Sinne dieses Gesetzes ist, gelten hier die gleichen Spielregeln.

Beim Entstehen von Schäden ist im Rahmen der Frage, ob ein Hersteller zum Schadensersatz verpflichtet ist, immer auch zu fragen, ob dem Geschädigten eventuell ein Mitverschulden zur Last gelegt werden kann. Von Unternehmern kann man verlangen, dass sie Firewalls und andere geeignete Maßnahmen zum Schutz vor Virenbefall oder sonstigen Angriffen von außen treffen.

Auch darf sich der Hersteller von Standardsoftware darauf verlassen, dass Unternehmen sich durch automatische oder regelmäßig manuell abzurufende Sicherheitspatches vor Gefahren durch Softwarefehler weitgehend schützen. Wer Warnungen von Softwareherstellern zwar zur Kenntnis nimmt, aber nicht beachtet, ist am entstehenden Schaden mit Schuld. Schließlich gilt, dass, wenn erst einmal ein Schaden entstanden ist, der Geschädigte alles Zumutbare tun muss, damit der Schaden so gering wie möglich bleibt.

Fazit

Für Hardware wie für Software gelten die gleichen Regelungen zur Produkthaftung wie für andere Produkte. Hersteller müssen vor kritischen Fehlern warnen, wenn diese zu Schäden an Datenbeständen oder sogar Leib oder Leben führen können. Den Nutzer trifft aber auch eine Pflicht zur Beachtung von Herstellerwarnungen.

Für größere Unternehmen jedenfalls dürfte es Pflicht sein, regelmäßig nach Warnbulletins der großen Softwarehersteller Ausschau zu halten und sich bereitgestellte Sicherheitspatches umgehend herunterzuladen und zu installieren. Unterlässt das ein Unternehmen, kann es unter Umständen auf einem Teil seines Schadens sitzen bleiben. In krassen Fällen kommt sogar der komplette Verlust solcher Ansprüche in Betracht.

Tobias Haar, LL.M.
ist Rechtsanwalt mit Schwerpunkt IT-Recht. (ur)