Gerichtsurteil

Händler darf Sicherheitslücken des Smartphones verschweigen

Stephan Wiesend schreibt für die Computerwoche als Experte zu den Themen Mac-OS, iOS, Software und Praxis. Nach Studium, Volontariat und Redakteursstelle bei dem Magazin Macwelt arbeitet er seit 2003 als freier Autor in München. Er schreibt regelmäßig für die Magazine Macwelt, iPhonewelt und iPadwelt.
Laut einem Gerichtsurteil muss ein Händler beim Verkauf eines Smartphones nicht über bestehende Sicherheitslücken informieren – auch nicht über die Verfügbarkeit von Updates.

Sowohl bei Android-Smartphones als auch bei iPhones sind regelmäßige Sicherheitsupdates sehr wichtig, Hacker könnten sonst durch bekannte Sicherheitslücken auf das Gerät zugreifen. Vor allem bei günstigen Android-Smartphones sind fehlende Updates ein Problem, das Hersteller Billig-Geräte oft nur sehr kurz mit Updates versorgen. Erst ab 2022 wird eine EU-Warenkauflinie Händler verpflichten, Käufern Updates zur Verfügung zu stellen.

Aktuell ist ein Händler aber nicht einmal verpflichtet, auf bestehende Sicherheitslücken hinzuweisen, wie eine Entscheidung des OLG Köln vom 30.10.2019 (6 U 100/19) zeigt: Die Verbraucherzentrale Nordrhein-Westfalen hatte 2016 gegen den Media Markt geklagt. 2016 hatte dieser in einer Filiale in Köln das Smartphone Mobistel Cynus T6 8 GB angeboten (99 Euro), das mit dem Betriebssystem Android 4.4.2 Kitkat ausgestattet war. Eine Prüfung durch das BSI hatte bestätigt, dass das Gerät zahlreiche Sicherheitslücken aufwies, die Nutzung ein Sicherheitsrisiko darstellte. Der Media Markt hatte aber beim Testkauf nicht auf dieses Problem hingewiesen, es gab auch bei den Produkthinweisen keine Informationen über Sicherheitsprobleme.

Für die Verbraucherzentrale Grund für eine Unterlassungserklärung. Sowohl das Landesgericht als auch im Berufungsverfahren das Oberlandesgericht sahen dies aber anders: Für einen Verkäufer, der unzählige Geräte unterschiedlicher Hersteller vertreibe, wäre der Verwaltungsaufwand nicht zumutbar. Sicherheitslücken eines bestimmten Smartphones ließen sich nur durch einen Test feststellen, wie die Verbraucherzentrale selbst gezeigt hatte. Ein zusätzlich zum Cynus gekauftes Modell von Huawei mit dem gleichen Betriebssystem wies nach einem Test des BSI nämlich trotz dem gleichen alten Android-Betriebssystem nur eine einzige Sicherheitslücke auf, nur das Modell von Mobistel gleich fünfzehn. Sicherheitslücken gefährdeten auch nicht die Verkehrsfähigkeit, da bekannt sei, „dass jedes Betriebssystem Sicherheitslücken aufweist“, so das Gericht.

Die Verbraucherzentrale ist von der Entscheidung enttäuscht und hofft, dass sich zumindest ab 2022 durch die neue EU-Vorschrift die Lage ändert.