Shop darf unsichere Smartphones ohne Warnung verkaufen

Urteil zur Kennzeichnungspflicht unsicherer Smartphones bei Media Markt
Bild: dpa Wenn ein Smart­phone in den Handel kommt, ist es soft­ware­tech­nisch manchmal schon veraltet. Das hat einer­seits zur Folge, dass bei den Händ­lern Smart­phones mit bereits bekannten Sicher­heits­lücken verkauft werden. Ande­rerseits ist mitt­lerweile viel­leicht eine neue Haupt­version des Betriebs­systems erschienen, während auf der Lager­ware noch die alte Version drauf ist.

Die Verbrau­cher­zentrale NRW wollte das nicht mehr hinnehmen und klagte gegen einen Media Markt in Köln. Doch mit ihrer Forde­rung sind die Verbrau­cher­schützer nun vor Gericht geschei­tert. Das Ober­landes­gericht Köln, wo die Sache verhan­delt wurde, gab heute das Ergebnis der Geschichte bekannt, die gestern dort verhan­delt wurde.

Zahl­reiche Sicher­heits­lücken auf "neuem" Smart­phone

Urteil zur Kennzeichnungspflicht unsicherer Smartphones bei Media Markt
Bild: dpa Mitar­beiter der Verbrau­cher­zentrale hatten in einer Media-Markt-Filiale Test­käufe durch­geführt und die erwor­benen Smart­phones von Experten des Bundes­amts für Sicher­heit in der Infor­mati­onstechnik (BSI) auf Sicher­heits­lücken unter­suchen lassen. Eines der gekauften Smart­phones, ein Mobistel Cynus T6 mit Android 4.4 "Kitkat" von 2013 (!), wies offenbar 15 von 28 getes­teten Sicher­heits­lücken auf, ein anderes nur eine Sicher­heits­lücke, obwohl bei beiden Geräten nomi­nell dieselbe ältere Version des Betriebs­systems Android vorin­stal­liert war.

Smart­phone-Betriebs­systeme werden ja nach wie vor vom Hersteller auf das jewei­lige Smart­phone-Modell ange­passt, und auch neue Versionen des Betriebs­systems können erst instal­liert werden, wenn die neue Version zuvor für das entspre­chende Modell ange­passt wurde. Das BSI war zu der Einschät­zung gelangt, dass das Gerät mit den 15 Sicher­heits­lücken für die Käufer ein ekla­tantes Sicher­heits­risiko darstelle.

Nachdem sich das BSI erfolglos an den Hersteller gewandt hatte, verlangte der Kläger von Media Markt, die Geräte nicht weiter ohne Hinweis auf die Sicher­heits­lücken zu verkaufen.

Warn­hinweise sind "unzu­mutbarer Aufwand"

In dem Verfahren ging es also gar nicht um die Frage, ob Media Markt die unsi­cheren Geräte noch verkaufen darf, sondern ob sie mit einer entspre­chenden Warnung versehen sein müssen. Der 6. Zivil­senat des Ober­landes­gerichts Köln hat im Wesent­lichen ausge­führt, dass die Voraus­setzungen eines Unter­lassungs­anspruchs nicht erfüllt seien. Es stelle für den Händler einen "unzu­mutbaren Aufwand" dar, sich die Infor­mationen über Sicher­heits­lücken für jedes einzelne ange­botene Smart­phone-Modell zu verschaffen.

Zwar gesteht das Gericht ein, dass die Infor­mation über das Vorliegen von Sicher­heits­lücken für die Verbrau­cher von großer Bedeu­tung ist, da hier­durch die Privat­sphäre der Verbrau­cher verletzt und erlangte Daten zu betrü­geri­schen Zwecken miss­braucht werden könnten. Es sei aber auch zu berück­sich­tigen, dass der Händler die Sicher­heits­lücken nur durch Tests fest­stellen könne, die sich auf den jewei­ligen Typ des Smart­phones beziehen müssten. Auch sei es nicht möglich, alle vorhan­denen Sicher­heits­lücken fest­zustellen.

Alle Anbieter von Betriebs­systemen finden nach Auffas­sung des Gerichts selbst immer wieder Sicher­heits­lücken im Betriebs­system, teil­weise erst aufgrund von Angriffen durch Hacker. Schließ­lich könnten sich die fest­stell­baren Sicher­heits­lücken jeder­zeit ändern, so dass der Händler die Tests in regel­mäßigen Abständen wieder­holen müsste.

Inter­essant ist, dass diese Rechts­auffas­sung des Gerichts auch für die Ankün­digung von Sicher­heits­updates gilt: Ob für ein konkretes Modell noch Sicher­heits­updates bereit­gestellt werden, sei dem Händler zum Zeit­punkt des Verkaufs in der Regel nicht bekannt. Er habe auch keine Möglich­keit, diese Infor­mation ohne ein Zutun der Hersteller zu erlangen. Allein der Hersteller entscheide, ob und wann er ein Sicher­heits­update für das jewei­lige Smart­phone-Modell anpasse. Auch hier könne sich die entspre­chende Infor­mation täglich ändern, zumal auch dem Hersteller nicht bekannt sei, ob und wann ein Sicher­heits­update, das von ihm ange­passt werden könnte, veröf­fent­licht wird.

Einschät­zung: Verant­wortung auf ahnungs­lose Kunden abge­wälzt

Der Senat hat die Revi­sion in dem Fall nicht zuge­lassen. Tim Berg­hoff, Secu­rity-Mitar­beiter bei G DATA, sagt zu dem Urteil: "Mit dem heutigen Urteil hat das OLG Köln die Verant­wortung also wieder einmal beim Verbrau­cher abge­laden und erteilt damit Händ­lern faktisch einen Frei­brief, weiterhin Geräte zu verkaufen, denen selbst das BSI 'ekla­tante Sicher­heits­risiken für die Nutzer' beschei­nigt hat. Die Geräte sind also nach allen geltenden Maßstäben als unsi­cher zu betrachten."

Berg­hoffs weitere Einschät­zung: "Das Urteil bedeutet einen großen Rück­schritt für die Sicher­heit persön­licher Daten, den wir bei G DATA mit Kopf­schüt­teln zur Kenntnis nehmen. Letzt­lich nimmt das Urteil genau die Partei - den Verbrau­cher - in die Verant­wortung, die insge­samt am wenigsten einschätzen kann, ob und inwie­fern ein Gerät über ein ausrei­chend hohes Sicher­heits­niveau verfügt. Gerade hier wären jedoch die Händler und auch die Hersteller gefragt, die zumin­dest auf die Risiken hinweisen könnten - so hätte ein poten­zieller Käufer wenigs­tens die Möglich­keit einer Entschei­dung."

In einer regel­mäßig aktua­lisierten Über­sicht listen wir auf, welche Smart­phones ein Update auf Android 10 erhalten.