Shop darf unsichere Smartphones ohne Warnung verkaufen
Urteil zur Kennzeichnungspflicht unsicherer Smartphones bei Media Markt
Bild: dpa
Wenn ein Smartphone in den Handel kommt, ist es softwaretechnisch manchmal schon veraltet. Das hat einerseits zur Folge, dass bei den Händlern Smartphones mit bereits bekannten Sicherheitslücken verkauft werden. Andererseits ist mittlerweile vielleicht eine neue Hauptversion des Betriebssystems erschienen, während auf der Lagerware noch die alte Version drauf ist.
Die Verbraucherzentrale NRW wollte das nicht mehr hinnehmen und klagte gegen einen Media Markt in Köln. Doch mit ihrer Forderung sind die Verbraucherschützer nun vor Gericht gescheitert. Das Oberlandesgericht Köln, wo die Sache verhandelt wurde, gab heute das Ergebnis der Geschichte bekannt, die gestern dort verhandelt wurde.
Zahlreiche Sicherheitslücken auf "neuem" Smartphone
Urteil zur Kennzeichnungspflicht unsicherer Smartphones bei Media Markt
Bild: dpa
Mitarbeiter der Verbraucherzentrale hatten in einer Media-Markt-Filiale Testkäufe durchgeführt und die erworbenen Smartphones von Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken untersuchen lassen. Eines der gekauften Smartphones, ein Mobistel Cynus T6 mit Android 4.4 "Kitkat" von 2013 (!), wies offenbar 15 von 28 getesteten Sicherheitslücken auf, ein anderes nur eine Sicherheitslücke, obwohl bei beiden Geräten nominell dieselbe ältere Version des Betriebssystems Android vorinstalliert war.
Smartphone-Betriebssysteme werden ja nach wie vor vom Hersteller auf das jeweilige Smartphone-Modell angepasst, und auch neue Versionen des Betriebssystems können erst installiert werden, wenn die neue Version zuvor für das entsprechende Modell angepasst wurde. Das BSI war zu der Einschätzung gelangt, dass das Gerät mit den 15 Sicherheitslücken für die Käufer ein eklatantes Sicherheitsrisiko darstelle.
Nachdem sich das BSI erfolglos an den Hersteller gewandt hatte, verlangte der Kläger von Media Markt, die Geräte nicht weiter ohne Hinweis auf die Sicherheitslücken zu verkaufen.
Warnhinweise sind "unzumutbarer Aufwand"
In dem Verfahren ging es also gar nicht um die Frage, ob Media Markt die unsicheren Geräte noch verkaufen darf, sondern ob sie mit einer entsprechenden Warnung versehen sein müssen. Der 6. Zivilsenat des Oberlandesgerichts Köln hat im Wesentlichen ausgeführt, dass die Voraussetzungen eines Unterlassungsanspruchs nicht erfüllt seien. Es stelle für den Händler einen "unzumutbaren Aufwand" dar, sich die Informationen über Sicherheitslücken für jedes einzelne angebotene Smartphone-Modell zu verschaffen.
Zwar gesteht das Gericht ein, dass die Information über das Vorliegen von Sicherheitslücken für die Verbraucher von großer Bedeutung ist, da hierdurch die Privatsphäre der Verbraucher verletzt und erlangte Daten zu betrügerischen Zwecken missbraucht werden könnten. Es sei aber auch zu berücksichtigen, dass der Händler die Sicherheitslücken nur durch Tests feststellen könne, die sich auf den jeweiligen Typ des Smartphones beziehen müssten. Auch sei es nicht möglich, alle vorhandenen Sicherheitslücken festzustellen.
Alle Anbieter von Betriebssystemen finden nach Auffassung des Gerichts selbst immer wieder Sicherheitslücken im Betriebssystem, teilweise erst aufgrund von Angriffen durch Hacker. Schließlich könnten sich die feststellbaren Sicherheitslücken jederzeit ändern, so dass der Händler die Tests in regelmäßigen Abständen wiederholen müsste.
Interessant ist, dass diese Rechtsauffassung des Gerichts auch für die Ankündigung von Sicherheitsupdates gilt: Ob für ein konkretes Modell noch Sicherheitsupdates bereitgestellt werden, sei dem Händler zum Zeitpunkt des Verkaufs in der Regel nicht bekannt. Er habe auch keine Möglichkeit, diese Information ohne ein Zutun der Hersteller zu erlangen. Allein der Hersteller entscheide, ob und wann er ein Sicherheitsupdate für das jeweilige Smartphone-Modell anpasse. Auch hier könne sich die entsprechende Information täglich ändern, zumal auch dem Hersteller nicht bekannt sei, ob und wann ein Sicherheitsupdate, das von ihm angepasst werden könnte, veröffentlicht wird.
Einschätzung: Verantwortung auf ahnungslose Kunden abgewälzt
Der Senat hat die Revision in dem Fall nicht zugelassen. Tim Berghoff, Security-Mitarbeiter bei G DATA, sagt zu dem Urteil: "Mit dem heutigen Urteil hat das OLG Köln die Verantwortung also wieder einmal beim Verbraucher abgeladen und erteilt damit Händlern faktisch einen Freibrief, weiterhin Geräte zu verkaufen, denen selbst das BSI 'eklatante Sicherheitsrisiken für die Nutzer' bescheinigt hat. Die Geräte sind also nach allen geltenden Maßstäben als unsicher zu betrachten."
Berghoffs weitere Einschätzung: "Das Urteil bedeutet einen großen Rückschritt für die Sicherheit persönlicher Daten, den wir bei G DATA mit Kopfschütteln zur Kenntnis nehmen. Letztlich nimmt das Urteil genau die Partei - den Verbraucher - in die Verantwortung, die insgesamt am wenigsten einschätzen kann, ob und inwiefern ein Gerät über ein ausreichend hohes Sicherheitsniveau verfügt. Gerade hier wären jedoch die Händler und auch die Hersteller gefragt, die zumindest auf die Risiken hinweisen könnten - so hätte ein potenzieller Käufer wenigstens die Möglichkeit einer Entscheidung."
In einer regelmäßig aktualisierten Übersicht listen wir auf, welche Smartphones ein Update auf Android 10 erhalten.