Suchen

Kein Hinweis auf veraltete Betriebssysteme und fehlende Updates nötig Landgericht Köln: Sicherheitslücken bei Smartphones akzeptabel

Autor: Sarah Gandorfer

Media Markt muss nicht auf Sicherheitslücken und fehlende Updates der im Verkauf befindlichen Smartphones hinweisen. Das hat der 6. Zivilsenat des Oberlandesgerichts Köln entschieden und eine klageabweisende Entscheidung des Landgerichts Köln bestätigt.

Firmen zum Thema

Glück für Verkäufer, Pech für Verbraucher: TK-Händlern ist nicht zumutbar, auf Sicherheitslücken hinzuweisen.
Glück für Verkäufer, Pech für Verbraucher: TK-Händlern ist nicht zumutbar, auf Sicherheitslücken hinzuweisen.
(Bild: synthex - stock.adobe.com)

Die Verbraucherzentrale NRW hatte gegen einen Media Markt in Köln geklagt, da dieser seine Kunden nicht auf veraltete Betriebssysteme aufmerksam gemacht hat. Der Verbraucherverband hatte bei dem Elektronikmarkt Testkäufe durchgeführt und die erworbenen Smartphones von Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken untersuchen lassen.

Die Spezialisten wurden mehrfach fündig: So wies eines der Smartphones, ein Mobistel Cynus T6 mit Android 4.4 „Kitkat“ 15 von 28 getesteten Sicherheitslücken auf, ein anderes nur eine, obwohl bei beiden Geräten nominell dieselbe ältere Version des Betriebssystems Android vorinstalliert war. Zum Alter des Betriebssystems: „Kitkat“ feierte am 31. Oktober 2013 Premiere auf dem Google Nexus 5.

Grund für diese Unterschiede ist, dass das Betriebssystem vom jeweiligen Hersteller auf das von ihm entwickelte Smartphone-Modell angepasst wird und auch neue Versionen des Betriebssystems erst genutzt werden können, wenn die neue Version des Betriebssystems zuvor für das jeweilige Modell angepasst wurde. Laut dem BSI stellt ein Gerät mit 15 Sicherheitslücken für die Nutzer ein eklatantes Sicherheitsrisiko dar. Nachdem sich das Amt erfolglos an den Hersteller gewandt hatte, verlangte der Verbraucherschutzverband vom Betreiber des Elektronikmarkts, die Geräte nicht weiter ohne Hinweis auf die Sicherheitslücken zu verkaufen und ging mit einer Unterlassungsklage vor Gericht.

Begründung der Abweisung

Diese haben nun das Landgericht sowie das Oberlandesgericht Köln abgewiesen (Az. 6 U 100/19). Der 6. Zivilsenat des Oberlandesgerichts hat die Zurückweisung der Berufung damit begründet, dass die Voraussetzungen eines Unterlassungsanspruchs nicht erfüllt seien. Es stelle für den Elektromarkt einen unzumutbaren Aufwand dar, sich die Informationen über Sicherheitslücken für jedes einzelne, angebotene Smartphone-Modell zu verschaffen.

Zwar sei die Information über das Vorliegen von Sicherheitslücken für die Verbraucher wichtig, da hierdurch die Privatsphäre der Verbraucher verletzt und erlangte Daten zu betrügerischen Zwecken missbraucht werden könnten. Es sei aber auch zu berücksichtigen, dass die beklagte Firma die Sicherheitslücken nur durch Tests feststellen könne, welche sich auf den jeweiligen Typ des Smartphones beziehen müssten. Auch sei es nicht möglich, alle vorhandenen Sicherheitslücken festzustellen. Alle Anbieter von Betriebssystemen würden selbst immer wieder – teilweise erst aufgrund von Angriffen durch Dritte – Sicherheitslücken im Betriebssystem finden. Schließlich könnten sich die feststellbaren Sicherheitslücken jederzeit ändern, so dass die Tests in regelmäßigen Abständen wiederholt werden müssten.

Gleiches gilt laut dem Gericht für die Information über die Bereitstellung von Sicherheitsupdates. Ob für ein konkretes Modell noch Sicherheitsupdates bereitgestellt würden, sei dem Fachmarkt zum Zeitpunkt des Verkaufs in der Regel nicht bekannt. Entsprechend hat dieser keine Möglichkeit, diese Information ohne ein Zutun der Hersteller zu erlangen. Allein der Hersteller entscheide, ob und wann er ein Sicherheitsupdate für das jeweilige Smartphone-Modell anpasse. Auch hier könne sich die entsprechende Information täglich ändern, zumal auch dem Hersteller nicht bekannt sei, ob und wann ein Sicherheitsupdate, das von ihm angepasst werden könnte, veröffentlicht wird.

Verantwortung auf den Kunden abgewälzt

TK-Fachhändler können also aufatmen, denn das Problem der veralten Software und der damit verbundenen Sicherheitslücken, dürfte wohl viele betreffen, die Smartphones verkaufen. Allerdings kritisieren Security-Anbieter wie G Data, das Urteil. „Mit dem Urteil hat das Oberlandesgericht Köln die Verantwortung also wieder einmal beim Verbraucher abgeladen und erteilt damit Händlern faktisch einen Freibrief, weiterhin Geräte zu verkaufen, denen selbst das BSI 'eklatante Sicherheitsrisiken für die Nutzer' bescheinigt hat“, findet Tim Berghoff, G Data Security Evangelist. „Das bedeutet einen großen Rückschritt für die Sicherheit persönlicher Daten, den wir bei mit Kopfschütteln zur Kenntnis nehmen. Letztlich nimmt das Urteil genau die Partei – den Verbraucher – in die Verantwortung, die insgesamt am wenigsten einschätzen kann, ob und inwiefern ein Gerät über ein ausreichend hohes Sicherheitsniveau verfügt. Gerade hier wären jedoch die Händler und auch die Hersteller gefragt, die zumindest auf die Risiken hinweisen könnten – so hätte ein potenzieller Käufer wenigstens die Möglichkeit einer Entscheidung.“

(ID:46218112)

Über den Autor

 Sarah Gandorfer

Sarah Gandorfer

Redakteurin bei IT-BUSINESS