OLG Köln v. 30.10.2019 – 6 U 100/19

Smartphones: Elektronikmarkt muss nicht auf Sicherheitslücken und fehlende Updates des Betriebssystems Android hinweisenEin Elektronikmarkt muss nicht auf Sicherheitslücken und fehlende Updates des Betriebssystems der von ihm verkauften Smartphones hinweisen. Es stellt für den Elektronikmarkt einen unzumutbaren Aufwand dar, sich die Informationen über Sicherheitslücken für jedes einzelne von ihm angebotene Smartphone-Modell zu verschaffen.

Der Sachverhalt:
Der klagende Verbraucherverband führte bei dem beklagten Elektronikmarkt Testkäufe durch. Die dabei erworbenen Smartphones ließ er von Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken untersuchen. Eines der Geräte wies 15 von 28 getesteten Sicherheitslücken auf, ein anderes nur eine Sicherheitslücke, obwohl bei beiden Geräten nominell dieselbe ältere Version des Betriebssystems Android werksseitig aufgespielt war. Hintergrund ist, dass das Betriebssystem vom jeweiligen Hersteller auf das jeweilige Smartphone-Modell angepasst wird und auch neue Versionen des Betriebssystems erst genutzt werden können, wenn die neue Version des Betriebssystems zuvor für das jeweilige Modell des Smartphones angepasst wurde.

Das BSI gelangte zu der Einschätzung, dass das Gerät mit den 15 Sicherheitslücken für die Nutzer ein eklatantes Sicherheitsrisiko darstelle. Nachdem sich das BSI erfolglos an den Hersteller gewandt hatte, verlangte der Kläger vom Betreiber des Elektronikmarkts, die Geräte nicht weiter ohne Hinweis auf die Sicherheitslücken zu verkaufen.

Das LG wies die daraufhin erhobene Unterlassungsklage ab. Die Berufung hatte vor dem OLG keinen Erfolg. Die Revision zum BGH wurde nicht zugelassen.

Die Gründe:
Die Voraussetzungen eines Unterlassungsanspruchs sind nicht erfüllt. Es stellt für die Beklagte einen unzumutbaren Aufwand dar, sich die Informationen über Sicherheitslücken für jedes einzelne von ihr angebotene Smartphone-Modell zu verschaffen.

Zwar ist die Information über das Vorliegen von Sicherheitslücken für die Verbraucher von großer Bedeutung, da hierdurch die Privatsphäre der Verbraucher verletzt und erlangte Daten zu betrügerischen Zwecken missbraucht werden können. Es ist aber auch zu berücksichtigen, dass die Beklagte die Sicherheitslücken nur durch Tests feststellen kann, welche sich auf den jeweiligen Typ des Smartphones beziehen müssen. Auch ist es nicht möglich, alle vorhandenen Sicherheitslücken festzustellen. Alle Anbieter von Betriebssystemen finden selbst immer wieder – teilweise erst aufgrund von Angriffen durch Dritte – Sicherheitslücken im Betriebssystem. Schließlich können sich die feststellbaren Sicherheitslücken jederzeit ändern, so dass die Beklagte die Tests in regelmäßigen Abständen wiederholen müsste.

Nichts anderes gilt für die Information über die Bereitstellung von Sicherheitsupdates. Ob für ein konkretes Modell noch Sicherheitsupdates bereitgestellt werden, ist der Beklagten zum Zeitpunkt des Verkaufs in der Regel nicht bekannt. Sie hat auch keine Möglichkeit, diese Information ohne ein Zutun der Hersteller zu erlangen. Allein der Hersteller entscheidet, ob und wann er ein Sicherheitsupdate für das jeweilige Smartphone-Modell anpasst. Auch hier kann sich die entsprechende Information täglich ändern, zumal auch dem Hersteller nicht bekannt ist, ob und wann ein Sicherheitsupdate, das von ihm angepasst werden könnte, veröffentlicht wird.