Ein Elektronikmarkt muss nicht auf Sicherheitslücken und fehlende Updates des Betriebssystems der von ihm verkauften Smartphones hinweisen (OLG Köln).
Ein Verbraucherschutzverband hatte bei einem Elektronikmarkt Testkäufe durchgeführt und die erworbenen Smartphones von Experten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken untersuchen lassen. Eines der Geräte wies 15 von 28 getesteten Sicherheitslücken auf, ein anderes nur eine Sicherheitslücke, obwohl bei beiden Geräten nominell dieselbe ältere Version des Betriebssystems Android werkseitig aufgespielt war. Hintergrund ist, dass das Betriebssystem vom jeweiligen Hersteller auf das betreffende Smartphone-Modell angepasst wird und auch neue Versionen des Betriebssystems erst genutzt werden können, wenn sie zuvor für das jeweilige Modell des Smartphones angepasst wurden.
Das BSI gelangte zu der Einschätzung, dass das Gerät mit den 15 Sicherheitslücken für den Nutzer ein eklatantes Sicherheitsrisiko darstelle. Deshalb verlangte der Verbraucherschutzverband von dem Elektronikmarkt, die Geräte nicht weiter ohne Hinweis auf die Sicherheitslücken zu verkaufen.
Dies lehnte der Inhaber des Elektronikmarkts ab, sodass es zum Prozess kam. Auch das Oberlandesgericht Köln1 war der Auffassung, dass es dem Elektronikmarkt nicht zumutbar sei, sich die Informationen über evtl. Sicherheitslücken für jedes einzelne von ihm angebotene Smartphone-Modell zu verschaffen.
Unzumutbare Hinweispflicht
Die Richter räumten ein, dass die Information über das Vorliegen von Sicherheitslücken für die Verbraucher von großer Bedeutung sei, dass Sicherheitslücken die Privatsphäre der Verbraucher verletzten und erlangte Daten zu betrügerischen Zwecken missbraucht werden könnten. Demgegenüber sei aber zu berücksichtigen, dass der Elektronikmarkt die Sicherheitslücken nur durch Tests feststellen könne, die sich auf den jeweiligen Typ des Smartphones beziehen müssten.
Es sei zudem nicht möglich, alle vorhandenen Sicherheitslücken festzustellen. Denn alle Anbieter von Betriebssystemen würden selbst immer wieder – teilweise erst aufgrund von Angriffen durch Dritte – Sicherheitslücken im Betriebssystem entdecken. Schließlich könnten sich die feststellbaren Sicherheitslücken jederzeit ändern, sodass der Betreiber des Elektronikmarkts die Tests in regelmäßigen Abständen wiederholen müsste.
Hinweis auf Sicherheitsupdates
Nichts anderes – so das Gericht weiter – gelte für die Informationen über die Bereitstellung von Sicherheitsupdates. Ob für ein konkretes Modell noch Sicherheitsupdates bereitgestellt würden, sei dem Händler zum Zeitpunkt des Verkaufs zumeist nicht bekannt. Er habe auch keine Möglichkeit, diese Information ohne ein Zutun des Herstellers zu erlangen. Denn allein dieser entscheide, ob und wann er ein Sicherheitsupdate für das jeweilige Smartphone-Modell anpasse. Auch hier könne sich die entsprechende Information täglich ändern, zumal auch dem Hersteller nicht bekannt sei, ob und wann ein Sicherheitsupdate, das von ihm angepasst werden könnte, veröffentlicht wird.
Nach alledem war der Betreiber des Elektronikmarkts nicht verpflichtet, auf Sicherheitslücken oder fehlende Updates des Betriebssystems der von ihm verkauften Smartphones hinzuweisen.
1 Urteil des Oberlandesgerichts Köln vom 30. 10. 2019 – 6 U 100/19, besprochen in RdW 3/2020, Rn. 49.