Sicherheitslücken bei Smartphones: Elektronikmarkt muss nicht informieren

Sicherheitslücken bei Smartphones: Elektronikmarkt muss nicht informieren
© weerapat1003 – fotolia.com

Es gehört nicht zu den Aufgaben eines Elektronikmarkts, auf Sicherheitslücken und fehlende Updates des Betriebssystems der von ihm verkauften Smartphones hinzuweisen. Dies urteilte das Oberlandesgericht Köln.

Ein Verbraucherverband kaufte bei einem Elektronikmarkt Smartphones und ließ sie von Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken untersuchen. Dabei wies eines der Geräte 15 von 28 getesteten Sicherheitslücken auf, ein anderes nur eine Sicherheitslücke, obwohl bei beiden Geräten nominell dieselbe ältere Version des Betriebssystems Android werksseitig aufgespielt war.

Dies ist dadurch möglich, dass das Betriebssystem vom jeweiligen Hersteller auf das jeweilige Smartphone-Modell angepasst wird. Neue Versionen des Betriebssystems können erst genutzt werden, wenn die neue Version des Betriebssystems zuvor für das jeweilige Modell des Smartphones angepasst wurde.

Smartphone als Sicherheitsrisiko

Das BSI gelangte zu der Einschätzung, dass das Gerät mit den 15 Sicherheitslücken für die Nutzer ein eklatantes Sicherheitsrisiko darstelle. Nachdem sich das BSI erfolglos an den Hersteller gewandt hatte, verlangte der Kläger vom Betreiber des Elektronikmarkts, die Geräte nicht weiter ohne Hinweis auf die Sicherheitslücken zu verkaufen.

Das Oberlandesgericht Köln wies die Klage ab und begründete dies damit, dass die Voraussetzungen eines Unterlassungsanspruchs nicht erfüllt seien. Es stellt für die Beklagte einen unzumutbaren Aufwand dar, sich die Informationen über Sicherheitslücken für jedes einzelne von ihr angebotene Smartphone-Modell zu verschaffen.

Info über Sicherheitslücken bedeutsam

Die Information über das Vorliegen von Sicherheitslücken ist für die Verbraucher durchaus von großer Bedeutung, da hierdurch die Privatsphäre der Verbraucher verletzt und erlangte Daten zu betrügerischen Zwecken missbraucht werden könnten. Es ist aber auch zu berücksichtigen, dass der beklagte Elektronikmarkt die Sicherheitslücken nur durch Tests feststellen kann, welche sich auf den jeweiligen Typ des Smartphones beziehen müssten.

Auch ist es nicht möglich, alle vorhandenen Sicherheitslücken festzustellen. Alle Anbieter von Betriebssystemen würden selbst immer wieder – teilweise erst aufgrund von Angriffen durch Dritte – Sicherheitslücken im Betriebssystem finden. Schließlich können sich die feststellbaren Sicherheitslücken jederzeit ändern, so dass die Beklagte die Tests in regelmäßigen Abständen wiederholen müsste.

Dies ist bei der Information über die Bereitstellung von Sicherheitsupdates ebenso. Ob für ein konkretes Modell noch Sicherheitsupdates bereitgestellt werden, ist der Beklagten zum Zeitpunkt des Verkaufs in der Regel nicht bekannt. Sie hat auch keine Möglichkeit, diese Information ohne ein Zutun der Hersteller zu erlangen. Allein der Hersteller entscheidet, ob und wann er ein Sicherheitsupdate für das jeweilige Smartphone-Modell anpasst.

Urteil vom 30. Oktober 2019 (Oberlandesgericht Köln, Az. 6 U 100/19)