Cybercrime Hacker Kankenhaus Gesundheit Health Malware Cybersecurity Wirtschaft Geschäftsgeheimnis Büro Netzwerk Netz Supplychain

Neues Kaufrecht: Sicherheit als Mangel

Es tut sich etwas im Vertragsrecht in Sachen Sicherheit – zukünftig wird die Sicherheit ein zentrales Element sein bei der Frage, ob ein Mangel vorliegt, gleich ob Software (jedenfalls gegenüber Verbrauchern) oder Kaufgegenstand.

Denn: Mit dem neuen Kaufrecht zum 1.1.2022 ändert sich auch die Frage, wann ein Sachmangel vorliegt. Zum einen versucht der Gesetzgeber zwar am einheitlichen Sachmangel-Begriff festzuhalten – zum anderen aber gibt es ab dem 1.1.22 dann an drei verschiedenen Stellen einen unterschiedlichen Begriff des Sachmangels.

Sicherheit als zentrales Element?

Es gibt sehr viel in dieser anstehenden Reform, die das gesamte Kaufrecht und digitale Recht einmal ordentlich umkrempeln wird. Die Gewichtung auf vier verschiedene Schwerpunkte überhaupt, sowie die Auswahl dieser vier Themenschwerpunkte sind natürlich nur Ausprägung meines persönlichen Geschmacks, man kann dies problemlos anders sehen.

Die von mir gesetzten Themen zur Kaufrechtsreform 2022 in meinem Vortrag zum Thema

Auch wenn man es anders gewichten mag, ist durchaus anzuerkennen, dass bei den objektiven Kriterien der Mangelhaftigkeit ganz neue gesetzliche Vorgaben auftauchen. Dabei ist es im deutschen Recht überhaupt schon neu, dass die objektiven Kriterien gleichrangig neben den subjektiven Kriterien (dem vereinbarten, dem Vertragszweck) stehen. Und nun auch noch das:

  • Kaufrecht, §434 Abs.3 S.2 BGB: Haltbarkeit, Funktionalität, Kompatibilität und Sicherheit
  • Ware mit digitalen Elementen, §475b Abs.4 Nr.2 BGB: Es gilt §434 Abs.3 BGB ergänzt um Aktualisierungen, die für den Erhalt der Vertragsmäßigkeit der Ware erforderlich sind
  • Digitales Produkt, §327e Abs.3 Nr. 2 BGB: Menge, Funktionalität, der Kompatibilität, Zugänglichkeit, Kontinuität, Sicherheit

Seien Sie nicht verwirrt, wenn Sie mit den Begriffen „Digitales Produkt“ oder „Ware mit digitalen Elementen“ noch nichts anfangen können – dafür nehme ich mir im dritten Teil Zeit.

Fälle Ihnen etwas auf? Nein? Dann lesen Sie nochmal etwas genauer …

Was ist Sicherheit?

Äußerst beeindrucken ist, dass der Begriff der Sicherheit, der in sämtlichen Mangelbegriffen vorkommt und von zentraler Bedeutung ist, gar nicht definiert wird. Weder im Gesetz noch in den Richtlinien, noch in den Erläuterungen des Gesetzgebers. Also was ist Sicherheit? Aufgrund der Formulierungen, speziell zur Aktualisierungspflicht, habe ich den Eindruck, der Gesetzgeber dachte nur an die IT-Sicherheit und konzentrierte sich mit seinen Erläuterungen dann auf die Aktualisierungspflicht, die diese IT-Sicherheit „leben“ wird. Das aber ist weder mit dem Wortlaut noch mit dem Verständnis des Verbrauchers vereinbar – es ist nicht einmal naheliegend.

Unter „Sicherheit“ kann nicht nur die IT-Sicherheit im herkömmlichen Sinne dergestalt fallen, dass böswillige Angriffe unmöglich sind; IT-Sicherheit kann auch die Sicherheit der Software insoweit erfassen, als nicht durch zufällige Störungen wie Speichermanagementfehler die Software unsicher läuft. Und darüber hinaus kann natürlich auch die Produktsicherheit betroffen sein in der Form, dass losgelöst von Hackerangriffen keine Gefahren für Außenstehende in Betracht kommen, etwa bei einem Elektrospielzeug Verletzungsgefahren durch eine schlechte Firmware für das spielende Kind bestehen.

Wem das noch nicht genug Kopfzerbrechen bereitet, der mag darüber nachdenken, ob eine gute Backup-Politik bei einem Hosting-Provider nun Kernmerkmal der zukünftig geschuldeten Sicherheit ist, oder im Einzelfall auszufüllende nebenvertragliche Leistungspflicht.

Sicherheit als Faktor bei der Annahme eines Sachmangels – Folie aus meinem Vortrag zum neuen Kaufrecht 2022

Und zu Guter Letzt ergibt sich dann, wenn man es Ernst nimmt, auch noch ein Abgrenzungsproblem, speziell wenn man beachtet, dass im Verbraucher-Softwarerecht 2022 auch noch die Interoperabilität als (subjektives) Mangelkriterium vorgesehen ist. Man wird hier sehr genau prüfen müssen, ob es um die Gefährdung von nicht in der Sache selbst liegenden Rechtsgütern geht (dann Sicherheit) oder ob es um das schlichte Funktionieren geht 8FUnktionalität), ggfs. auch in Wechselwirkung mit äußeren Umständen (Kompatibilität oder Interoperabilität).

Im Ergebnis wird man die Bezeichnung „Sicherheit“ als Oberbegriff zu allen Sicherheitsaspekten verstehen müssen, sodass jedenfalls IT-Sicherheit und Produktsicherheit erfasst sein werden. Damit dürfte zukünftig beim Streit um Sachmängel relevant sein, ob ein Produkt einerseits eine moderne IT-Sicherheit bietet, andererseits werden die bisher im Schatten stehenden Regeln des Produktsicherheitsgesetzes, speziell §3 ProdSG, stärker als bisher in das Kaufrecht einfließen.

Sicherheit als Sachmangel bei Software

Um zu verstehen, wozu das führt, muss man sich zumindest grob den status quo der durchaus komplexen Lage zur Mangelhaftigkeit von Software vor Augen halten: Auf Basis einer recht unglücklichen und bis heute gerne missverstandenen Entscheidung des BGH aus dem Jahr 1987 (VIII ZR 314/86) hat sich eine breite Rechtsprechung entwickelt, die jedenfalls dann keine Mangelhaftigkeit erkennt, wenn die Software ohne Funktionseinbußen gebrauchstauglich ist. Teilweise wird der Entscheidung auch zugeschrieben, man hätte damls entschieden, Software könne nie fehlerfrei sein – tatsächlich hatte der BGH dies aber mit diesen Worten offen gelassen:

Dabei kann offenbleiben, ob der Vortrag … zutrifft, insbesondere „komplexe“ Software könne nie ganz mangelfrei sein … und dies die Annahme eines Fehlers … in (anderen) Fällen üblicher Softwaremängel ausschließt … oder ob diese Behauptung nur dazu dient, den Herstellungsaufwand in Grenzen zu halten und das Erwartungsniveau von Softwareanwendern zu dämpfen …

BGH, VIII ZR 314/86

Das Ergebnis ist, dass bis heute Sicherheitslücken kein grundsätzlicher Sachmangel sind, da das Gerät ja wie versprochen „funktioniert“, so dass selbst krasse Fälle für Oberlandesgerichte recht problemlos scheinen.

Dieser Aspekt ändert sich nun – und zwar in jeder Hinsicht. Zum einen im Verbraucherrecht wenn digitale Elemente betroffen sind, also gleich ob man eine Software kauft oder in einer Sache etwas digitales enthalten ist: Der Verbraucher kann sich an den Verkäufer wenden, wenn die Sicherheit nicht gewährleistet ist. Wie schon gezeigt: Gleich, ob es um die Produktsicherheit geht oder um IT-Sicherheit im eigentlichen Sinne.

Zu kurz gedacht aber wäre es, nur an Verbraucherverträge zu denken: Dadurch dass die Sicherheit in den Sachmangelbegriff des Kaufrechts fest aufgenommen wurde, wird zukünftig bei allen Kaufgegenständen ein Sachmangel vorliegen, wenn die Sicherheit negativ betroffen ist. Insgesamt wird man ab dem 1.1.22 wohl (?) wie folgt unterscheiden müssen:

  • Kauf von Software oder Sache (mit oder ohne digitale Elemente) durch einen Unternehmer: Hier gilt der neue § 434 BGB, die Sicherheit ist als gleichrangiges objektives Kriterium vorgesehen und kann zwar ausgeschlossen werden, muss aber konkret als negative Beschaffenheit im B2B-Verkehr benannt sein, im Verbrauchsgüterkauf mit den überbordenden Formalia des § 476 BGB;
  • Kauf von Software oder Sache nach altem Recht: keine analoge Anwendung des neuen § 434 BGB! Der Kaufgegenstand ist wie hergebracht frei von Sachmängeln, wenn er sich zur vertraglich vorausgesetzten Verwendung eignet, oder zur gewöhnlichen Verwendung, wenn er eine Beschaffenheit aufweist, die bei Sachen gleicher Art üblich ist und Käufer dies erwarten kann.
  • Software oder Sache wird gemietet, als Dienstleistung angeboten, geschenkt oder werkvertraglich hergestellt: Für Verbraucher als Käufer ist die Sicherheit durch Verweise aus den einzelnen Vertragstypen in die §§327ff., 475bff. BGB ein objektiv zu erfüllendes Kriterium, für Unternehmer nicht. Es macht also einen erhebilchen Unterschied im B2B-Verkehr, ob man einen Kaufvertrag oder einen anderen Vertrag annimmt!
  • Es wird eine originäre Software gehandelt, etwa per Download: Für Verbraucher ist die Sicherheit objektives Kriterium mit §327e BGB, für Unternehmer gibt es keine entsprechende Regelung, die §§327ff. BGB sind nach einhelliger Auffassung nicht entsprechend heran zu ziehen.

Das fatale Ergebnis: Je nachdem wie man die Software „erwirbt“ hat man im B2B-Verkehr einen unterschiedlichen Mangelbegriff, während im B2C zwar gesetzliche Vorgaben in Zukunft existieren … die sich aber auch unterscheiden können, da es genau genommen an drei verschiedenen Stellen eine Mangeldefinition gibt.

Unterschätzen Sie nicht den Aspekt der Sicherheit – Sie wissen nicht, was es ist, also können Sie es nicht (rechtssicher) ausschließen!

Fachanwalt für IT-Recht Jens Ferner

Warum nun so viel Drama um dieses leidige Thema, was aus Sicht des Gesetzgebers doch von der Aktualisierungspflicht vorwiegend abgedeckt werden sollte (was Ihnen noch viel mehr Kopfzerbrechen bereiten wird, siehe Teil 4)? Nun, das Problem ist: Sie werden als Verkäufer gar nicht wissen können, was die Sicherheit ausfüllt.

Der Gesetzgeber hat sich keine Gedanken gemacht, man kann nur mutmaßen, dass das Normengefüge aus dem Produktsicherheitsgesetz heranzuziehen ist; selbiges bei der IT-Sicherheit, wo man sich umso mehr die Frage stellen muss, welche Kriterien etwa bei Standardsoftware gelten sollen – und wie ein Verkäufer dies im Blick haben soll. Man wird hier überlegen müssen, ob die „Ideen“ aus dem Cybersecurity Act, der DSGVO und der IT-Sicherheitsgesetze als quasi-Standard heranzuziehen wären (so etwa auch Wiebe in InTeR 2021, 66-70). Sollte man auf diesen nicht fernliegenden Gedanken einsteigen, würde das fragmentierte IT-Sicherheitsrecht zum unüberschaubaren Mängelkatalog in Sachen Sicherheit werden.

Abweichen vom Mangelbegriff im Softwarerecht – ein kleiner Ausblick auf Teil 3

Und um es abzurunden: Die objektiven Kriterien können natürlich ausgeschlossen werden, auch gegenüber Verbrauchern, ich hatte dies bereits erläutert. Aber: Der Ausschluss gegenüber Verbrauchern ist mit dem neu gefassten §476 BGB streng formalisiert und kann nicht auf Basis pauschaler Erklärungen erfolgen; man muss wenn, dann eine individualisierte und konkretisierte negative Beschaffenheitsvereinbarung treffen. Hier beißt sich nun aber die Katze in den Schwanz: Wenn man nicht konkret weiß, was von einem erwartet wird, kann man auch nicht konkret einen Ausschluss formulieren.

Fazit: Sicherheitslücke als Sachmangel

Mit Blick auf das bisher geltende Recht muss(te) man die Frage der Sicherheit vertraglich im Idealfall als Beschaffenheit sowohl grundsätzlich als auch in seiner Ausgestaltung vereinbaren – was in der Praxis erschreckend oft vernachlässigt wird. Im Kaufrecht ändert sich dies zwingend ab dem 1.1.22, dabei vorwiegend im Kaufrecht, aber auch in den zugleich veränderten weiteren Vertragstypen, soweit Verbraucher beteiligt sind. Und hier liegt die Krux:

  • Wenn zukünftig Kaufrecht Anwendung findet, gilt die Sicherheit als gesetzliches Kriterium eines Mangels, gleich ob Unternehmer oder Verbraucher Käufer sind;
  • Wenn aber ein anderer Vertragstyp (Miete, Schenkung, Dienstleistung, Ware mit digitalen Elementen im Verbrauchsgüterkauf) vorliegt, gilt dieses Kriterium nur, wenn ein Verbraucher der Käufer ist;

Damit hat der Gesetzgeber zwar einerseits seine Mindestaufgabe, Umsetzung der Richtlinien, brav umgesetzt – von einem einheitlichen Rechtsgefüge sind wir aber inzwischen sehr weit entfernt. Gerade im Bereich der Software wäre es durchaus denkbar gewesen, grundsätzliche Frage wie die Mangelhaftigkeit zentral zu klären.

Dabei muss man im Blick halten, dass die „Sicherheit“ ohnehin nur eine Momentaufnahme ist. Bei der hier betroffenen Sicherheit im Rahmen des Sachmangels stellt das Gesetz weiterhin auf den Moment des Gefahrübergangs ab; sprich: Die Sicherheit soll gegeben sein im Moment von Übergabe der Sache an den Käufer. Erst durch die gesondert zu sehende Aktualisierungspflicht wird dieses Prinzip, auf dem das gesamte Gewährleistungsrecht thront, durchbrochen – alleine deswegen widme ich der Aktualisierungspflicht einen eigenen Artikel.

Ausblick: Klärung durch die Rechtsprechung

Ich prognostiziere: Vor uns liegt ein langes, hartes Jahrzehnt der Rechtsprechung. Der wahre Graus der Sicherheit als nicht näher definiertes Kriterium des Sachmangels offenbart sich erst mit der Zeit. Die Rechtsprechung wird auf der einen Seite zu klären haben, wie man diesen um sich greifenden Begriff der Sicherheit überhaupt ausfüllt; zum anderen wird man in jedem Einzelfall genau im Blick haben müssen, welcher Vertragstyp Anwendung findet um dann die Bedeutung der Sicherheit überhaupt korrekt angehen zu können.

Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht)

Veröffentlicht von

noreply

Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht)

IT-Fachanwalt, Ihr Rechtsanwalt für Softwarerecht bei sämtlichen Fragen rund um die Entwicklung und den Vertrieb von Software im professionellen Umfeld. Dazu auch das LinkedIn-Profil beachten!