Distri-Award
– Jetzt zur Umfrage!

Suchen

Sicherheitslücken bekämpfen KI und Haftung: Rechtsrahmen für Hersteller und Anwender

| Autor / Redakteur: Philipp Reusch* / Vivien Deffner

Im Hinblick auf Sicherheitslücken in IoT-Geräten, die fortschreitende Entwicklung und den Einsatz von KI ist eine eindeutige haftungsrechtliche Regelung unumgänglich. Technische Lösungen können keinen Ersatz für regulatorische Anforderungen darstellen.

Firmen zum Thema

Mit dem vermehrten Einsatz von IoT-Geräten und künstlicher Intelligenz erhöht sich auch das Risiko für Sicherheitslücken. Deshalb werden haftungsrechtliche Regelungen zunehmend relevanter und notwendig.
Mit dem vermehrten Einsatz von IoT-Geräten und künstlicher Intelligenz erhöht sich auch das Risiko für Sicherheitslücken. Deshalb werden haftungsrechtliche Regelungen zunehmend relevanter und notwendig.
(Bild: gemeinfrei / Pixabay )

Die im Juni 2020 von der israelischen Sicherheitsfirma JSOF aufgedeckten Sicherheitslücken Ripple20, die unzählige smarte IoT-Geräte betreffen, zeigen deutlich, weshalb die haftungsrechtlichen Regelungen in Bezug auf Software dringend ergänzt und angepasst werden müssen. Die bekannt gewordenen Sicherheitslücken in einem TCP/IP-Stack der Firma Treck gefährden nach Schätzungen der Entdecker mehrere hundert Millionen Geräte, die in Privathaushalten und Unternehmen im Einsatz sind, darunter Drucker, Steuerungen von Industrieanlagen oder Satelliten.

Viele der betroffenen Geräte werden wohl kein Sicherheitsupdate bekommen, da nicht nachvollzogen werden kann, welche Geräte von den Schwachstellen betroffen sind. Außerdem sind Updates bislang ohnehin nicht vorgesehen. Sofern beim Erwerb eines IoT-Geräts keine andere Vereinbarung getroffen wurde, beträgt die vertragliche Gewährleistung häufig nur wenige Jahre – kaufrechtliche Mängelansprüche etwa verjähren nach § 438 Abs. 1 Nr. 3 BGB in der Regel nach zwei Jahren. Viele Softwareprodukte zur Verwendung in komplexen hochpreisigen Industrieanlagen sind jedoch auf einen deutlich längeren Nutzungszeitraum angelegt. Bestehen keine vertraglichen Ansprüche, ergeben sich die Pflichten des Herstellers aus den haftungsrechtlichen Regelungen des Delikts- und Produkthaftungsrechts.

Update-Verpflichtungen im Rahmen der gesetzlichen Haftung

Nach der aktuellen Gesetzeslage ist außerhalb der vertraglichen Gewährleistung unklar, unter welchen Voraussetzungen und in welchem Umfang Update-Verpflichtungen von Softwareherstellern bestehen. Die Anwendung des Produkthaftungsgesetzes (ProdhaftG) auf Software ist umstritten. Eindeutig umfasst ist Software, die auf einem Datenträger oder durch die Integration in ein anderes Produkt verkörpert wurde. Unverkörperte Software wird teilweise nicht als Produkt angesehen mit der Begründung, dass sie keine bewegliche Sache darstelle und damit nicht unter § 2 ProdHaftG falle. Die Gesetzesbegründung zum ProdhaftG, die Auffassung des Europäischen Gesetzgebers und eine Auslegung des Produktbegriffs sprechen jedoch dafür, auch unverkörperte Software rechtlich als Produkt anzusehen. Maßgeblicher Anknüpfungspunkt für die Einordnung in das ProdHaftG ist, dass eine Ware entgeltlich in großer Anzahl auf dem Markt bereitgestellt wird, was auch auf unverkörperte Software zutrifft. Sachliche Gründe für eine unterschiedliche Behandlung von verkörperter und unverkörperter Software bestehen also nicht. Es spricht folglich einiges dafür, jede Form von Software als Produkt im Sinne des ProdHaftG anzusehen.

Dies wird voraussichtlich im Rahmen der aktuellen Überarbeitung der Produkthaftungsrichtlinie auch ausdrücklich klargestellt werden. Die deliktische Produzentenhaftung nach § 823 Abs. 1 BGB ist nicht produkt-, sondern rechtsgutsbezogen ausgestaltet und umfasst damit alle Arten von Software. Die Herstellerpflichten nach dem ProdHaftG und der deliktischen Produzentenhaftung entsprechen sich im Wesentlichen, sodass sie im Folgenden gemeinsam behandelt werden.

Den Hersteller trifft eine Verkehrssicherungspflicht im Hinblick auf das in den Verkehr gebrachte Softwareprodukt, die die Bereiche Konstruktion, Fabrikation, Instruktion und Produktbeobachtung umfasst. Im Zuge der Konstruktion spielt insbesondere die Update-Fähigkeit der Software (Updatability by design) eine Rolle, um Produktgefahren abwenden zu können. Werden im Rahmen der Produktbeobachtung – die nur im § 823 I BGB in Deutschland Anwendung findet – Sicherheitsdefizite entdeckt, müssen effektive Maßnahmen zur Gefahrabwendung getroffen werden. Über die Bereitstellung von Softwareupdates hinaus kommt aber zum Beispiel auch eine Warnung vor den entdeckten Gefahren in Betracht.

Ist eine Warnung bei Sicherheitslücken ausreichend?

Anders als die vertragliche Sachmängelhaftung ist die gesetzliche Haftung auf das Integritätsinteresse ausgerichtet: Es muss lediglich die Unversehrtheit der geschützten Rechtsgüter und nicht die Funktionsfähigkeit und Mangelfreiheit des Softwareprodukts gewährleistet werden. Entsprechend hat der BGH im Pflegebetten-Urteil eine Warnung jedenfalls im B2B-Bereich als ausreichend erachtet. Der Hersteller kann unter mehreren gleichermaßen geeigneten Maßnahmen diejenige wählen, die ihn am wenigsten belastet. In Bezug auf Software lässt sich aber durchaus eine weitergehende Update-Verpflichtung vertreten, da eine reine Warnung in Bezug auf Sicherheitslücken in technisch komplexen, hochgradig vernetzten Softwareprodukten häufig nicht ausreichen dürfte, um Gefahren effektiv zu beseitigen. Durch die Möglichkeit, Softwareupdates online bereitzustellen, sind zudem Aufwand und Kosten für den Hersteller deutlich geringer als bei einer anderweitigen Nachbesserung gefährlicher Produkte. Bislang sind die Herstellerpflichten jedoch durch Gesetzgebung und Rechtsprechung noch nicht abschließend geklärt. Neben den Internet-of-Things-Geräten ist die Reichweite der Softwarehaftung auch für Produkte relevant, die mit künstlicher Intelligenz (KI) arbeiten. Technische Lösungen wie Embedded Law können auch dort klare haftungsrechtliche Regelungen nicht ersetzen.

Technische Lösungen aus haftungsrechtlicher Sicht keine Alternative

Um haftungsrechtlichen Problemen beim Einsatz von KI vorzubeugen, gibt es Bestrebungen, als Teil des Deep Learning-Prozesses über einen Supercode absolute Regeln als Embedded Law in das System der KI zu integrieren. Da rechtliche Regelungen einem ständigen Wandel unterliegen und viele Normen auslegungsbedürftige Begriffe enthalten, die eine schematische Anwendung unmöglich machen, erscheint es jedoch unwahrscheinlich, dass ein solches Konzept in naher Zukunft funktionsfähig zum Tragen kommen kann. Zudem bestünde auch für ein solches System eine haftungsrechtliche Verantwortlichkeit sowohl seitens des Herstellers als auch des Anwenders, deren Voraussetzungen und Umfang klar definiert werden müssten. Ein solches Konzept könnte also möglicherweise technisch dazu beitragen, die Fehleranfälligkeit der KI zu verringern, würde jedoch nicht die Haftung für Produktfehler ausschließen.

* Philipp Reusch ist Rechtsanwalt, Founding Partner und Teamleader Regulatory Affairs & Marktmaßnahmen bei reuschlaw Legal Consultants.

(ID:46907957)