Rechtliche Pflichten im Zuge einer Softwareauslieferung

Inhaltsverzeichnis

Hersteller kommerziell eingesetzter Software haben aus rechtlicher Sicht viele Gründe, den Einsatz ihrer Software durch ihre Kunden zu beobachten, und die Pflicht, auch nach dem Release des Produkts kritische Programmierfehler zu beseitigen.

"Rückruf von UMTS-Handys, Softwarefehler kann Daten löschen". Oder: Ein Automobilhersteller "ruft weltweit etwa 2,5 Millionen Autos in die Werkstätten zurück. Der Grund ist ein Softwareproblem, das zu Schäden am Automatikgetriebe führen kann". Das sind nur zwei mögliche Beispiele für Produktrückrufe wegen Softwarefehlern. Leicht fällt Firmen ein solcher Schritt nicht. Neben hohen Kosten entsteht meist ein immenser Imageschaden, den kein Manager gerne verantwortet. Häufig sind Unternehmen aber zu solchen Maßnahmen verpflichtet. Denn es gibt zahlreiche gesetzliche Regelungen, die die Sicherheit von Produkten betreffen. Sie erfassen neben Hardware auch Software – egal, ob Standardprodukte oder Individualanfertigungen.

Mehr Infos

Sonderheft "Bessere Software"

Dieser Artikel ist einer von 35 Artikeln eines von heise Developer produzierten Sonderhefts zur Softwarequalität, das ab 21. Juni in jedem gut sortierten Zeitschriftenhandel zu kaufen ist.

Juristen sprechen hierbei von Produkthaftung. Sie unterscheiden zwischen der verschuldensabhängigen und der verschuldensunabhängigen Haftung des Herstellers. Sie greift unabhängig vertraglicher Gewährleistungsansprüche, beispielsweise nach Fertigstellung einer Auftragsentwicklung. Sie greift auch unabhängig gegebenenfalls vereinbarter Pflegeleistungen, die zeitlich meist über die Gewährleistungsfrist hinausgehen.

In Deutschland gilt für die verschuldensabhängige Haftung die Regelung in § 823 des Bürgerlichen Gesetzbuches (BGB). Wer rechtswidrig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen verletzt, muss dem Verletzten Schadensersatz leisten. Diese sehr allgemein gefasste Bestimmung spielt bei den meisten Schadensfällen eine wichtige Rolle. Sie umfasst neben Verkehrsunfällen Schäden an Nachbargrundstücken bei Baumaßnahmen, aber auch Schäden, die jemandem durch schadhafte Hardware- oder Softwareprodukte entstehen.

Wird jemand durch eine fehlerhafte Software verletzt oder kommt gar ums Leben, etwa weil ein zur Ampelsteuerung eingesetztes Programm zwei Ampeln gleichzeitig "grün" anzeigen lässt, ist eindeutig ein Schaden entstanden, der unter die Schadensersatzpflicht des § 823 BGB fällt, wenn es einen Verantworlichen gibt, den ein Verschulden dafür trifft. Juristen sprechen hier auch von deliktischer Haftung, da kein Vertragsverhältnis zwischen dem Verletzer und dem Verletzten bestehen muss. Es genügt ein Delikt gegen den Verletzten, um die Haftung auszulösen.

Der Quell der Gefahren

Daneben kann es um Schäden in einem Unternehmen gehen, bei denen die Ursachen in virenverseuchten Programmen oder durch kritische Sicherheitslücken eingeschleuste Malware zu suchen sind. Es können Produktionsanlagen für eine Weile ausfallen, Mitarbeiter können nicht produzieren, Gehälter nicht rechtzeitig ausgezahlt werden et cetera. Hier wird es schon schwieriger, denn die deliktische Haftung greift nur, wenn eine Eigentumsverletzung vorliegt. Ein virenverseuchtes IT-System wird jedoch durch den Virusbefall meist nicht beschädigt oder zerstört. Denn nach einer Virenbeseitigung oder Neuinstallation funktioniert es ja wieder, wenn nicht ausnahmsweise ein Fall wie bei Stuxnet gegeben ist. Allerdings kann auch der Verlust von Daten oder die Zerstörung der Ordnung in einer Datenbank eine Eigentumsverletzung darstellen, die Schadensersatzansprüche auslöst.

Weiter haftet der Softwarehersteller für Sicherheitslücken, die mittelbar durch den Einsatz von Malware Schaden verursachen. Hier sprechen die Juristen davon, dass derjenige, der eine Gefahrenquelle beherrscht – etwa der Softwarehersteller – auch für solche Schäden einstehen muss, die ein anderer unter Ausnutzung der Lücken verursacht. Selbstverständlich haftet der böswillige Verbreiter der Malware ebenfalls, nur wäre ein Anspruch gegen den Hersteller des Programms meist leichter durchzusetzen. Denn in der Regel bekommt man den Virenschreiber oder -verbreiter nicht zu fassen.

Sicherheitslücken in Software können also eine Haftung des Programmherstellers verursachen. Aber nicht jeder Fehler begründet eine Haftung des Herstellers. Bedeutend ist in dem Zusammenhang, ob ein Konstruktionsfehler vorliegt. Ein solcher wird angenommen, wenn bei der Programmherstellung der Stand von Wissenschaft und Technik nicht beachtet wurde. Es ist also die Frage zu stellen, ob unter Berücksichtigung dieses Standes der Hersteller bei Inverkehrbringen des Programms die Sicherheitslücken hätte erkennen müssen. Auch muss ein Hersteller dafür sorgen, dass Bedienungsfehler, Produktionsfehler et cetera gar nicht erst eintreten. Wenn es doch passiert, muss er alles Zumutbare unternehmen, um diese Fehlerquellen für die Zukunft auszuräumen.

Die Komplexität von Softwareprogrammen ist kein Grund dafür, den hohen Aufwand zu unterlassen, der mit der Beseitigung von Fehlern einhergeht. Insofern gilt nichts anderes als bei einem Konstruktionsfehler am Höhenruder von Flugzeugen, der einen Schaden wahrscheinlich macht. Ein Hersteller muss außerdem darauf achten, dass nur Softwareversionen auf den Markt gelangen, die sich auf dem neuesten Stand befinden. Darauf zu vertrauen, die Käufer würden schon etwaige im Internet abrufbare Patches aufspielen, wäre fahrlässig und würde daher im Zweifelsfall eine Haftung auslösen.

Von den Großen lernen

Mit seinen Patch Days reagiert Microsoft – hier stellvertretend für andere genannt – auch auf Sicherheitshinweise externer Experten und nicht nur auf eigene Erkenntnisse und Tests. Stellt ein Hersteller fest, dass infolge eines Programmierfehlers Leib oder Leben von Menschen bedroht sein können, ist er sogar verpflichtet, vor dem Gebrauch seiner Produkte zu warnen. Das gilt selbst dann, wenn ein Risiko noch nicht gewiss ist. Hier ist jedoch Vorsicht angeraten. Da eine öffentliche Warnung Dritte erst auf den Plan rufen könnte, muss der Hersteller abwägen, ob nicht ein stilles Beseitigen eines Fehlers in Form eines Patches im Einzelfall besser ist. Hier kommt es auf den Einzelfall an: Ein Computerprogramm, das zur Steuerung komplexer oder sicherheitsrelevanter Vorgänge, etwa zur Streckensicherung bei der Eisenbahn oder im medizinischen Bereich für das Stellen von Patientendiagnosen eingesetzt wird, unterliegt anderen Überwachungspflichten als etwa Computerspiele oder Anwendungen zur Textverarbeitung.

Der Hersteller muss gerade bei Produkten, die (auch) für Verbraucher bestimmt sind, dafür sorgen, dass sie sie einsetzen können, ohne dass ein Schaden entsteht. Bei Eingabegeräten für Fahrzeugnavigation etwa oder der programmgesteuerten Heizungsanlage muss er sich an dem am wenigsten informierten und am meisten gefährdeten Nutzer orientieren.

In aller Regel besteht keine Pflicht des Programmherstellers, fehlerhafte Programme zurückzurufen, um so einen vielleicht schadensträchtigen Einsatz zu vermeiden. Die deliktische Haftung verlangt an sich nur, dass der Hersteller vor dem Gebrauch seines Produkts warnt. Denn wenn es nicht eingesetzt wird, kann kein Schaden entstehen. Ob er sich in dem Fall wegen Verletzung des Vertrags in Anspruch nehmen lassen muss, weil eine bestimmungsgemäße Nutzung der Programme nicht mehr möglich ist, ist eine andere Frage.

Von Unternehmern kann man zudem verlangen, dass sie Firewalls und andere geeignete Maßnahmen zum Schutz vor Virenbefall oder sonstigen Angriffen von außen treffen. Auch darf sich der Hersteller von Standardsoftware darauf verlassen, dass sich Unternehmen durch automatische oder regelmäßig manuell abzurufende Sicherheitspatches vor Gefahren durch Softwarefehler weitgehend schützen. Wer Warnungen von Softwareherstellern zwar zur Kenntnis nimmt, aber nicht beachtet, ist am entstehenden Schaden mit Schuld. Schließlich gilt, dass, wenn erst einmal ein Schaden entstanden ist, der Geschädigte alles Zumutbare tun muss, damit der Schaden so gering wie möglich bleibt.

§ 823 BGB

Schuldige gesucht

Die verschuldensabhängige Haftung nach § 823 BGB setzt fahrlässiges oder vorsätzliches Handeln voraus. Der Nachweis eines Verschuldens ist oft leichter möglich als gedacht. Dennoch bereitet das einem Geschädigten mitunter Schwierigkeiten in entsprechenden Gerichtsprozessen. Aus dem Grund hat der Gesetzgeber ein Gesetz zur verschuldensunabhängigen Haftung eingeführt, das auf eine entsprechende EU-Richtlinie zurückgeht.

Nach dem Produkthaftungsgesetz müssen Hersteller, Importeur und Lieferant für Schäden einstehen, die fehlerhafte Produkte – wie Software – verursachen. Bei Sachschäden, die privaten Verbrauchern an anderen Gegenständen als dem Produkt entstehen, besteht allerdings eine Selbstbeteiligung des Geschädigten in Höhe von 500 Euro. Für Körper- und Gesundheitsschäden ist voll zu haften – auch im gewerblichen Bereich. Insgesamt ist die Haftung jedoch auf 85 Millionen Euro begrenzt. Übersteigt ein Schaden den Betrag oder kommt es im gewerblichen Bereich zu Eigentumsschäden, muss der Geschädigte wieder auf die verschuldensabhängige Haftung zurückgreifen.

Produkte aller Art dürfen seit Dezember 2011 geschäftsmäßig nur noch in den Verkehr gebracht werden, wenn sie dem neuen Produktsicherheitsgesetz (ProdSG) entsprechen. Dem ProdSG weist die zuständige Bundesministerin den Stellenwert der "zentralen Vermarktungs- und Sicherheitsvorschrift für Produkte" zu. Damit betrifft es auch Software- und Hardwarekomponenten. Neben den Sicherheitsanforderungen an Produkte bilden die Vorschriften über die Marktbeobachtung einen zentralen Bestandteil der Neuregelungen. Das Gesetz soll die Produktsicherheit stärken.

Erfasst vom ProdSG "ist jedes Überlassen eines Produkts an einen anderen, unabhängig davon, ob neu, gebraucht, wiederaufgearbeitet oder wesentlich verändert". Der Begriff des Produkts ist weitreichend und schließt "Waren, Stoffe oder Zubereitungen, die durch einen Fertigungsprozess hergestellt worden sind", ein. Er umfasst nicht nur Waren und dergleichen, die jemand an einen Verbraucher verkauft. Damit sind auch sogenannte technische Arbeitsmittel, also Arbeitseinrichtungen, Geräte, Komponenten, Anlagen et cetera eingeschlossen.

Ebenso müssen gewerbliche Produkte oder Zulieferteile den Vorgaben genügen. Ein Produkt darf grundsätzlich nur dann vertrieben werden, wenn es die Sicherheit und Gesundheit von Personen nicht gefährdet. Allerdings muss das der Verantwortliche nur bei bestimmungsgemäßer oder vorhersehbarer Verwendung des Produkts gewährleisten. Hersteller und Importeure müssen also das Nutzerverhalten beobachten, um vor nicht bestimmungsgemäßer, aber vorhersehbarer Verwendung von Produkten zu warnen. Dabei ist allerdings nicht vom dümmsten anzunehmenden, sondern vom durchschnittlich informierten, aufmerksamen und verständigen Benutzer auszugehen.

Das ProdSG sieht vor, dass im Rahmen der Geschäftstätigkeit "Vorkehrungen für geeignete Maßnahmen zur Vermeidung von Risiken zu treffen sind", soweit sie ein Verbraucherprodukt betreffen. "Die Maßnahmen müssen den Produkteigenschaften angemessen sein und reichen bis zur Rücknahme, zu angemessenen und wirksamen Warnungen und zum Rückruf", heißt es in § 6 Abs. 2 ProdSG. Hierzu müssen Hersteller oder die anderen verantwortlichen Personen Stichproben entnehmen und Beschwerden prüfen. Außerdem müssen sie die jeweiligen Händler über weitere, das Verbraucherprodukt betreffende Maßnahmen unterrichten, was sich beispielsweise auf einen etwaigen Produktrückruf bezieht.

Behördlich kontrolliert und abgesichert

Schließlich existiert eine Pflicht des Herstellers, die Marktüberwachungsbehörden zu unterrichten, wenn von einem Produkt ein Risiko für die Sicherheit und Gesundheit von Personen ausgeht. Auch Händler sind hier in der Verantwortung. Sie müssen ebenfalls dazu beitragen, dass nur sichere Verbraucherprodukte verkauft werden, und sich an die Behörde wenden, wenn sie von unsicheren Produkten wissen.

Weil die Marktüberwachung auf Länderebene angesiedelt ist, wollen die Verantwortlichen durch die Einführung eines Richtwerts für Stichproben eine möglichst einheitliche bundesweite Überwachung der Produktsicherheit gewährleisten. Stichproben sollen in der Größenordnung von 0,5 pro 1000 Einwohner und Jahr stattfinden. Zusätzlich sollen die Behörden die geltenden Grundsätze der Risikobewertung, eingegangene Beschwerden und sonstige Informationen berücksichtigen.

Die Marktüberwachungsbehörden können den Vertrieb eines unsicheren Produkts untersagen, aber auch die Rücknahme oder den Rückruf eines Produkts anordnen. Diese Maßnahmen sind zu treffen, wenn ein ernstes Risiko insbesondere für die Sicherheit und Gesundheit von Personen besteht. Ebenso kann fehlerhafte Software zu Produktrückrufen führen. Das war etwa 2010 der Fall bei einem Rückruf durch Fiat wegen einer fehlerhaften Reaktivierung des Beifahrer-Airbags nach vorheriger Deaktivierung. Erwischt hat es im Bereich fehlerhafter Steuerungssoftware schon nahezu jeden der großen Kfz-Hersteller.

Weil ein Produktrückruf oder eine Produktwarnung einen schweren Imageschaden für das betroffene Unternehmen darstellen können, stehen gerade die Vorschriften für diese Maßnahmen im besonderen Fokus. Einerseits sind die Behörden zur Veröffentlichung sicherheitsrelevanter Informationen über Produkte verpflichtet, wobei das Gesetz hier vorsieht, dass das "vorzugsweise auf elektronischem Weg" zu erfolgen hat. Andererseits sind sie aber verpflichtet, die betroffenen Hersteller, Händler und dergleichen zuvor anzuhören, wenn die Veröffentlichung Betriebs- oder Geschäftsgeheimnisse oder wettbewerbsrelevante Informationen betrifft.

Fazit

Mit dem Abschluss der Softwareentwicklung und deren Verkauf oder sonstigen Überlassung an Dritte und dem Ende der Gewährleistungs- oder Garantiezeit endet die Pflicht des Softwareherstellers für die Sicherheit seines Produkts nicht. Er muss vielmehr beobachten, wie dieses eingesetzt wird. Kommt es zu Fehlanwendungen muss er hiervor warnen, wenn dadurch Gefahren entstehen. Liegen (kritische) Softwarefehler vor, die einen Schaden verursachen können, sind Bugs zu beseitigen und Patches bereitzustellen.

Auch Verwender von Software müssen hier ihren Pflichten nachkommen. Es genügt nicht, sich auf die Hersteller und Bugfixes und dergleichen zu verlassen. Beim kommerziellen Einsatz von Software
besteht die Pflicht, entsprechende Veröffentlichungen seitens der Softwarehersteller zu verfolgen und zu beachten. Software-Updates und dergleichen sind zeitnah aufzuspielen. Je kritischer und sicherheitsrelevanter der Einsatz von Software ist, desto höher sind hier die Anforderungen.

Tobias Haar, LL.M.,
ist Rechtsanwalt bei Vogel & Partner, Karlsruhe. (ane)