IT-Sicherheit als Faktor der Produkthaftung: Auf Spiegel-Online ist ein bemerkenswerter Beitrag zu lesen, der sich mit der IT-Sicherheit von Herzschrittmachern beschäftigt. Dort wird angesprochen, dass die IT-Sicherheit von Herzschrittmachern auf den Prüfstand gehört, insbesondere eingebaute Software offen gelegt sein sollte und ein Zugriff von außen abgesichert sein muss.
Das Thema ist ideal geeignet, um eine zunehmende Problematik zu verdeutlichen, denn hier geht es um ein äusserst sensibles Produkt an extrem gefährlicher Stelle – und offenkundig ist nicht einmal in diesem Bereich IT-Sicherheit ein Thema. Dabei haben Unternehmen auch in juristischer Hinsicht sehr gute Gründe, sich mit der IT-Sicherheit zu beschäftigen, die in Zukunft über die Produkthaftung eine ganz enorme Rolle spielen wird.
IT-Sicherheit: Rechtliche Regelungen der IT-Sicherheit
Es sind auf nationaler Ebene vor allem das BSI-Gesetz, die technischen Standards des BSI und das seit 2015 umgesetzte IT-Sicherheitsgesetz von Bedeutung, die europäische Vorgaben in Form der NIS-Richtlinie umsetzen.
Zur NIS-Richtlinie ist festzuhalten, dass IT-Sicherheit auch auf europäischer Ebene ein Thema mit hervorgehobener Bedeutung ist. Hier soll vornehmlich durch die „Richtlinie zur Netz- und Informationssicherheit“ („NIS-Richtlinie“) ein europaweit einheitlicher Standard geschaffen werden. Nachdem dieses Vorhaben über Jahre hinweg vor sich hindümpelte kam dann im Jahr 2016 der Durchbruch, aktuell wird für August 2016 mit einem Inkrafttreten gerechnet. Zur NIS-Richtlinie beachten Sie zur Vertiefung meinen Beitrag rund um die NIS-Richtlinie. Allerdings hatte der Gesetzgeber hier schon vorbereitend das IT-Sicherheitsgesetz erlassen, das bereits Teile der NIS-Richtlinie umgesetzt hat. Aus diesem Grund gehe ich folgend auch zuerst auf das IT-Sicherheitsgesetz ein und erst danach auf die NIS-Richtlinie.
IT-Sicherheit: Abgestuftes Sicherheitskonzept
Das ist im Ergebnis ein abgestuftes Sicherheitskonzept, das unterschiedliche Rahmenbedingungen je nach Dienst vorsieht. Es gibt so unterschiedliche Dienste, die teilweise ausdrücklich vorgesehen sind, aber auch sich als faktisches Ergebnis darstellen und für die dann jeweils eigene Sicherheitsstufen existieren:
- Kritische Dienste (KRITIS), die in der Richtlinie als „wesentliche Dienste“ beschrieben sind;
- digitale Dienste, hierzu gehören Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste, wobei es aber Ausnahmen für Kleinstunternehmer gibt;
- Telemedien allgemein, für die im Telemediengesetz seit dem IT-Sicherheitsgesetz allgemeine Sicherheitsvorgaben gemacht werden.
Während KRITIS eine vorbeugende Pflicht zu Sicherheitsmaßnahmen trifft müssen digitale Dienst eher im Nachhinein agieren und sind grundsätzlich zu verschärfter Wahrung der Sicherheit angehalten und zum Einrichten von Konzepten für Notfälle, während auf schwächster Stufe allgemein Telemedien angehalten sind, gängige Sicherheitsstandards einzuhalten.
BSI-Gesetz – Grundlage der IT-Sicherheit in Deutschland
Das BSI Gesetz kann im Kern als Definition der Rolle des Bundesamts für Sicherheit in der Informationstechnik verstanden werden. Zuletzt verändert durch das IT-Sicherheitsgesetz sind dem BSI im Kern vor allem folgende Aufgaben zugeschrieben:
- Zentrale Meldestelle für IT-Sicherheit im Allgemeinen und zur IT-Sicherheit kritischer Infrastrukturen
- Befugnis, Protokolldaten sowie Daten, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen zu analysieren
- Veröffentlichung von Informationen und Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten sowie vor Schadprogrammen
- Definition von Sicherheitsstandards für die Bundesverwaltung
- Betreiber Kritischer Infrastrukturen, müssen die Einhaltung von IT-Sicherheit nach dem Stand der Technik regelmäßig gegenüber dem BSI nachweisen
- BSI kann Beseitigung von Sicherheitslücken bei Betreibern kritischer Infrastrukturen anordnen und die Hersteller von Produkten zur Mitwirkung verpflichten
Es ist davon auszugehen, dass dies nur der Auftakt ist, es ist in den vergangenen Jahren der Trend zu sehen, dass die IT-Sicherheit zunehmend gesetzlich reguliert wird. Dabei wird die Funktion des BSI-Gesetzes als reine Regulierung des BSI immer weiter verlassen und Verpflichtungen externer Unternehmen aufgenommen, zuerst durch das IT-Sicherheitsgesetzt und voraussichtlich dann später durch die weitere Umsetzung der NIS-Richtlinie.
Entwicklung der IT-Sicherheit hin zur Produkthaftung
Ich habe mitunter den Eindruck, dem Thema IT-Sicherheit wird im Wirtschaftsleben eine Bedeutung beigemessen in etwa auf dem Niveau des Datenschutzes: Alle reden drüber, jeder sagt “wichtig”, am Ende ist es aber ein ungeliebter Störfaktor. Dies ändert sich allmählich, etwa durch den aktuell gegangenen Weg eines ersten IT-Sicherheitsgesetzes, doch auch hier scheint der Fokus mehr auf Absicherung vor Terrorismus zu liegen als in dem Gedanken der Stärkung der Sicherheit allgemein.
Aus juristischer Sicht ist das bemerkenswert, denn die Frage der IT-Sicherheit ist kein “Gimmick” bei Produkten und vor allem auch keine Frage der einfachen Gewährleistung. Vielmehr ist in einer Welt des “Internets der Dinge” zu sehen, dass Produkt und IT zusammenwachsen, somit Fragen der Produkthaftung in den Fokus rücken die bei IT bisher eher außen vor waren. Zur Erinnerung: Die Produkthaftung führt dazu, dass es zwischen Hersteller und Endkunden zu einer Gefährdungshaftung des Herstellers kommt, losgelöst von der Frage ob überhaupt vertragliche Beziehungen bestehen. §1 Abs.1 Produkthaftungsgesetz beschreibt das so:
Wird durch den Fehler eines Produkts jemand getötet, sein Körper oder seine Gesundheit verletzt oder eine Sache beschädigt, so ist der Hersteller des Produkts verpflichtet, dem Geschädigten den daraus entstehenden Schaden zu ersetzen.
Man merkt den engen Anwendungsbereich, der im Hinblick auf viele Softwareprodukte wenig relevant erscheint. Auch wenn mit der Rechtsprechung zumindest bei Standardsoftware die Produkthaftung eröffnet ist. Doch man muss auch kein Wahrsager sein, um zu sehen dass sich das ändert: Moderne Implantate wie Herzschrittmacher sind mit Software versehene Produkte und autonome Kraftfahrzeuge stehen vor der Türe.
Weiter Fehlerbegriff wird sich auswirken
Es ist weiter daran zu erinnern, dass sich der EUGH zum Fehlerbegriff bei Produkten geäußert hat und hier einen wertenden weiten Fehlerbegriff geschaffen hat. Kurzum formuliert bedeutet dies: Je bedeutsamer ein Produkt für den Verwender ist, umso eher ist ein Fehler schon dann anzunehmen, wenn bei der Produktreihe ein nur potenzieller Fehler vorliegt, der konkret noch gar nicht bei diesem einen Produkt festgestellt wurde. Passend: In dieser Entscheidung ging es um Herzschrittmacher. Man könnte auch sagen, dass bei lebensbedrohlichen Produkten schon der konkrete Verdacht eines Fehlers wie ein Fehler zu behandeln ist.
Dies hat konkrete Auswirkungen dort, wo unmittelbar Auswirkungen für das Leben von Betroffenen bestehen, sowohl bei inneren elektronischen Implantaten als auch bei autonomen Fahrzeugen. Denn wo schon ein potentieller Fehler einer Baureihe als faktischer Fehler des einzelnen Produkts zu behandeln ist, da bestehen bei konkreten Verdachtsmomenten eines Fehlers schon Haftungsfragen.
Haftung des Vorstands
Wer solche Produkte auf den Markt bringt, der muss die eigene Haftung neu denken: Zum einen drängt sich schon geradezu auf, dass die Schwelle zur Haftung früher beginnt. Darüber hinaus wird sich die Rechtsprechung mit einer alten Frage beschäftigen müssen, nämlich wie sich für den Vorstand zivilrechtliche Pflichten auf die strafrechtlichen Pflichten auswirken. Der BGH hatte in seiner bekannten Lederspray-Fall-Entscheidung – aus meiner Sicht – deutlich gemacht, dass hier eine Wechselwirkung besteht, die Pflichten gleichwohl aber losgelöst voneinander zu bestimmen sind. Jedenfalls bei lebensbedrohlichen Massenprodukten dürfte der BGH die Augen aber kaum vor dem weiten Fehlerbegriff des EUGH verschliessen können. Der Raum für eine eigene Strafbarkeit des Vorstands im Rahmen der Produkthaftung könnte sich hier erheblich vergrößern.
IT-Sicherheit stärken
Unternehmen dürfen in den entsprechenden Bereich nicht passiv abwarten sondern müssen IT-Sicherheit als zukünftiges strafrechtliches Problem begreifen. Wenn im Spiegel-Artikel etwa angemahnt wird, dass Software für sensible Geräte wie Herzschrittmacher nicht als Closed-Source-Software sondern als Opensource-Software gepflegt werden sollte, ist dies ein nachvollziehbarer Ansatz. Offene Software, die frei geprüft werden kann und öffentlich begutachtet wird wäre ein ernstzunehmender Schritt zur strafrechtlichen Entlastung von Vorständen, während Closed-Spource-Software die Haftung des Vorstands gar noch erhöhen dürfte.
Produkthaftung als Thema der Zukunft
Dort wo es um Leben und körperliche Integrität geht dürfte IT-Sicherheit über die Produkthaftung strafrechtliche Relevanz genießen und sich zur Motivation für Vorstände entwickeln, hier Energie zu investieren. Dort wo es um Sachschäden geht wird sich noch zeigen müssen, ob die Produkthaftung das schärfere Werkzeug im Vergleich zur Gewährleistung werden wird. Hierfür finden sich im “Internet der Dinge” auch durchausSzenarien: Wenn etwa auf Grund einer bekannten und nicht gepflegten Sicherheitslücke massenhaft Kühlschränke durch einen Hack-Angriff lahmgelegt werden und hierdurch massenhaft Lebensmittel verderben, ein Auto böswillig ferngelenkt wird oder Heizungsanlagen Schaden nehmen durch eine von außen böswillig herbeigeführte Fehlsteuerung. Diese Fälle wären über die übliche Gewährleistung eher schwerfällig zu lösen, die Produkthaftung macht es für Verbraucher durchaus etwas leichter.