Smart-Home-Sicherheit

Wer haftet, wenn mein Kühlschrank gehackt wird?

01.03.2018 von Mareike Gehrmann  IDG ExpertenNetzwerk
Unser Haus wird smart und unsere Lebensqualität erhöht sich. Rechtlich stellt sich jedoch vor allem eine Frage: Wer haftet eigentlich für IT-Sicherheitslücken?
Während das Smart Home in manchen Situationen Probleme löst, wirft es anderswo ganz neue Fragen auf.
Foto: Iaremenko Sergii - shutterstock.com

Immer mehr Menschen nutzen Smart-Home-Produkte, um ihren Alltag zu Hause leichter und komfortabler zu gestalten: Sei es die Heizung via Smartphone zu steuern oder Musik per Sprachbefehl abzuspielen.

Zwingende Voraussetzung ist dafür der Zugang zum hauseigenen Netzwerk und somit zum World Wide Web. Anders als bei klassischen IT-Produkten war jedoch für die meisten Hersteller bisher die Funktionalität ihrer Smart-Home-Produkte wichtiger, als diese vor Hackerangriffen zu schützen.

Das kann weitreichende Folgen haben, wie das folgende Beispiel zeigt:

Ein Haus ist mit einem Sicherheitssystem mit Internetzugang ausgestattet. Darüber kann auch die Haustür geöffnet werden. Bei einem Hacker-Angriff dient den Kriminellen der Kühlschrank, der neben weiteren Smart-Home-Produkten in das hauseigene Netzwerk eingebunden ist, als Angriffspunkt. Den Hackern ist es nun möglich, die Haustür zu öffnen und Wertgegenstände zu entwenden.

Für viele Nutzer ist das Smart Home ein Segen. Im Ernstfall kann es sich jedoch zu einem echten Albtraum werden.
Foto: Scott Bedford - shutterstock.com

Es stellt sich die spannende Frage: Wer haftet für den Schaden, der durch IT-Sicherheitslücken von Smart-Home-Produkten entsteht?

"Mangel" durch IT-Sicherheitslücken?

Der Verbraucher könnte gegen den Hersteller einen Anspruch auf Schadensersatz aus dem Kaufvertrag haben. Dafür müsste der Kühlschrank jedoch einen "Mangel" vorweisen.

Ein "Mangel" ist eine Abweichung der Ist- von der vereinbarten "Soll-Beschaffenheit", welche zum Zeitpunkt der Übergabe der Kaufsache vorlag (§434 BGB). An dieser Stelle kommt bereits die erste Hürde. Denn welche IT-Sicherheitsmaßnahmen als Soll-Beschaffenheit vereinbart worden sind, ergibt sich meist nicht aus dem Kaufvertrag. Vielmehr schweigt dieser hierzu. Sind die zu erfüllenden IT-Sicherheitsmaßnahmen nicht explizit im Kaufvertrag vereinbart, kommt es auf die gewöhnliche Verwendung der Kaufsache an.

Der gekaufte Kühlschrank wäre also nur dann mangelhaft, wenn vergleichbare Kühlschränke mit demselben Qualitätsstandard diese IT-Sicherheitslücke nicht aufweisen und das Bestehen dieser Lücke nicht dem Stand der Technik entspricht.

Auch beim Kauf eines smarten Kühlschranks lohnt sich deshalb ein Blick ins Kleingedruckte. Je nach Kaufvertrag ist der Hersteller im Ernstfall nicht dazu gezwungen, für den Schaden aufzukommen.
Foto: Igor Kardasov - shutterstock.com

Stehen dem Käufer Sachmängelansprüche zu, kann er diese jedoch nur innerhalb der zweijährigen Verjährungsfrist geltend machen. Für den Käufer ist es aber besonders schwierig, da dieser ab dem siebten Monat nach dem Kauf die Darlegungs- und Beweislast dafür trägt, dass der gekaufte Kühlschrank mangelhaft war (§477 BGB). Ein solcher Beweis wird dem Käufer aber wohl kaum gelingen.

Nicht zu vergessen: Selbst wenn ein Schadensersatzanspruch grundsätzlich besteht, könnte die kritische Folgefrage gestellt werden, welche Mitschuld einem Verbraucher zuzurechnen ist, wenn dieser sein Netzwerk und somit seine Smart Produkte unzureichend schützt.

Alternative "Produzentenhaftung"?

Es stellt sich deshalb die Frage, ob alternativ ein Schadensersatzanspruch aus der deliktischen Produzentenhaftung (leichter) geltend gemacht werden kann (§823 Abs. 1 BGB).

Hierbei handelt es sich um eine seitens der Rechtsprechung entwickelte Haftung, wonach der Hersteller eines Produktes auf Schadensersatz haftet, wenn er sich "rechtlich vorwerfbar" verhält. Rechtlich vorwerfbar ist beispielsweise, wenn der Hersteller seine Produkte während der Produktion nicht auf Produktionsfehler überprüft oder ein zunächst fehlerfrei aussehendes Produkt ausliefert, dieses aber nach Auslieferung nicht ausreichend überwacht. Der Hersteller muss also stets den belieferten Markt im Auge behalten, um schnellstmöglich reagieren zu können, falls doch noch Fehler oder Gefahren am Produkt entdeckt werden. Dies dürfte insbesondere für im Nachhinein festgestellte IT-Sicherheitsmängel gelten.

Allerdings sind auch hier einige Schwierigkeiten zu beachten: Zwar haftet grundsätzlich ein Hersteller, der mit dem Inverkehrbringen eines fehlerhaften Produktes eine Gefahrenquelle schafft. Ein Anspruch besteht jedoch nur, wenn eines der durch die Produzentenhaftung geschützten Rechtsgüter verletzt ist. Dazu zählen:

Bloße Vermögensschäden zählen explizit nicht dazu.

Seit 2015 haben der deutsche und der europäische Gesetzgeber durch diverse Gesetzesinitiativen die Anforderungen an die IT-Sicherheit stetig verschärft. Dies gilt in Zukunft vermutlich auch für die Verkehrssicherungspflichten für Hersteller von Smart-Home-Produkten. Jedenfalls die Implementierung eines Mindestniveaus an IT-Sicherheit dürfte - bereits heute - nach herrschender Verkehrsauffassung zwingend sein.

Die Verantwortlichkeit des Herstellers endet jedoch grundsätzlich dort, wo ein Dritter vorsätzlich und rechtswidrig missbräulich eingreift und es dadurch zum Schaden kommt. Dies wird bei nochmaliger Betrachtung des Beispielsfalles besonders deutlich:

Der Schaden des Käufer entsteht nicht dadurch, dass der Kühlschrank eine IT-Sicherheitsschwachstelle aufweist, sondern dadurch, dass ein Hacker diese vorsätzlich ausnutzt. Dies kann dem Hersteller des Kühlschrankes grundsätzlich nicht vorgehalten werden. Mit einer Ausnahme:

Der Hersteller haftet dann, wenndie Absicherung gegen Eingriffe von Dritten ein wesentliches Feature des Smart-Home-Produktes darstellt. Gibt der Hersteller also an, dass der Kühlschrank durch spezielle Sicherheitsmaßnahmen, wie zum Beispiel eine Firewall oder Virenschutz, gegen Hackerangriffe abgesichert ist, hat er auch entsprechende Sicherheitsvorkehrungen zu treffen. Trifft er diese nicht, haftet er auch für das Ausnutzen dieser IT-Sicherheitsschwachstelle.

Dieser Punkt dürfte für den Verbraucher zwar nicht immer leicht nachweisbar sein, dennoch wäre im oben genannten Beispielsfall ein Schadensersatzanspruch grundsätzlich möglich.

Lösung "Produkthaftungsgesetz"?

Zu guter Letzt stellt sich die Frage, ob nicht auch das Produkthaftungsgesetz dem Verbraucher eine adäquate Lösung bietet. Generell begründet das Produkthaftungsgesetz nur einen Anspruch: Wenn durch den Fehler eines Produktes das Leben, der Körper, die Gesundheit verletzt oder eine andere "Sache" als das Produkt, die privat genutzt wird, "beschädigt" wird.

Ob eine Sachbeschädigung im Sinne des Produkthaftungsgesetzes gegeben ist, kommt ganz auf die Fallgestaltung an. Öffnet der Dieb durch den Kühlschrank die Haustür und entwendet lediglich einen Fernseher, ohne sonst etwas in der Wohnung zu zerstören oder zu beschädigen, entzieht der Dieb dem Hausbesitzer nur eine Nutzungsmöglichkeit und beschädigt keine Sache im klassischen Sinne. In diesem Fall ist unter Juristen äußerst streitig, ob ein solcher "Schaden" vom Produkthaftungsgesetz geschützt wird und das Gesetz überhaupt Anwendung findet. Die herrschende Meinung verneint dies.

Wird hingegen eine andere Sache "beschädigt", zerstört der Dieb beispielsweise Wohnzimmermöbel, dürfte das Produkthaftungsgesetz wieder einschlägig sein.

Außerdem müsste das Smart-Home-Produkt ein "Produkt" im Sinne des Produkthaftungsgesetzes sein. Weist dessen Software die IT-Sicherheitslücken auf, stellt sich die Frage, ob Software als ein solches "Produkt" anzusehen ist. Mittlerweile ist jedoch anerkannt, dass Software ein Produkt im Sinne des Produkthaftungsgesetzes darstellt, wenn sie in verkörperter Form vorliegt. Verkörpert ist eine Software, wenn sie auf einem Gegenstand gespeichert ist. Dieser Gegenstand kann ein USB-Stick, aber auch ein Smart-Home-Produkt wie der Kühlschrank sein. Diese gesetzliche Anforderung ist somit erfüllt.

Die Darlegungs- und Beweislast wird dem Verbraucher oft zur Last.
Foto: Gabor Tinz - shutterstock.com

Als weitere Anforderungen für einen Schadensersatzanspruch ist zu prüfen, ob das Smart-Home-Produkt fehlerhaft ist. Die Beantwortung dieser Frage orientiert sich an den gleichen objektiven Maßstäben wie bei der Frage, ob eine Verkehrssicherungspflicht verletzt wurde. Es gilt: Jedenfalls die Implementierung eines Mindestniveaus an IT-Sicherheit dürfte zwingend sein.

Gehaftet wird jedoch nur, wenn der Dieb gerade die IT-Sicherheitsschwachstelle ausgenutzt hat, gegen die der Kühlschrank nach Angaben des Herstellers gesichert sein sollte. Denn auch beim Produkthaftungsgesetz gilt: Für ein vorsätzlich und rechtswidrig missbräuchliches Verhalten eines Dritten haftet der Hersteller nicht.

Kann auch dies bejaht werden, hat der Hersteller des Smart-Home-Produktes, Ersatz für Personen- und Sachschäden zu leisten. Nur bei Sachschäden hat der Verbraucher eine Selbstbeteiligung in Höhe von bis zu 500 Euro zu tragen. Von Vorteil für den Verbraucher ist beim Produkthaftungsgesetz, dass die Schadensersetzung zum einen unabhängig vom Verschuldensgrad des Herstellers ist und zum anderen keine zeitliche Begrenzung für diese Ansprüche besteht. Ansprüche aus dem Produkthaftungsgesetz können also für die Erlangung von Schadensersatz erfolgsversprechender sein als bei der vertraglichen Haftung oder der Produzentenhaftung.

Fazit

Smart-Home-Produkte müssen zwar einen gewissen Grad an IT-Sicherheit aufweisen, eine genaue Ausgestaltung, wie groß das Maß an IT-Sicherheit sein muss, ist jedoch im Einzelfall zu bestimmen.

Der Ersatz von Schäden, die auf IT-Sicherheitslücken von Smart-Home-Produkten beruhen, ist zwar grundsätzlich möglich, allerdings kann es im Einzelfall äußerst schwierig sein, diese durchzusetzen. Verbraucher sollten daher zusätzlich eigene IT-Sicherheitsmaßnahmen, vor allem zum Schutz des Netzwerkes, ergreifen, um möglichen Schäden vorzubeugen.