Security-Blick nach Berlin und Brüssel Was man von der Updatepflicht erwarten kann und was nicht

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Es klingt verlockend: Anbietern von digitalen Produkten soll eine Updateverpflichtung auferlegt werden. Haben Verbraucher ein digitales Produkt erworben, schuldet der Unternehmer auch die Bereitstellung von funktionserhaltenden Updates und Sicherheitsupdates. Doch hilft dies wirklich der Security? Oder greift die Updatepflicht zu kurz? Verbraucherschützer melden Kritik an.

Firmen zum Thema

Die Updatepflicht für digitale Produkte soll für mehr Verbraucherschutz sorgen, trifft aber mit den Händlern statt den Herstellern eigentlich den falschen Adressaten.
Die Updatepflicht für digitale Produkte soll für mehr Verbraucherschutz sorgen, trifft aber mit den Händlern statt den Herstellern eigentlich den falschen Adressaten.
(Bild: gemeinfrei / Pixabay )

Mitte Januar 2021 hatte die Bundesregierung den von der Bundesministerin der Justiz und für Verbraucherschutz vorgelegten Regierungsentwurf zur Umsetzung der Richtlinie über digitale Inhalte beschlossen.

Bundesjustizministerin Christine Lambrecht erklärte dazu: „Mit der Neuregelung sorgen wir für deutlich mehr Rechtssicherheit und Transparenz in der digitalen Welt. Künftig ist klar: Wenn eine Software fehlerhaft ist oder eine App nicht richtig funktioniert, hat der Kunde die gleichen Rechte wie beim Kauf jedes anderen Produkts. Außerdem muss gewährleistet sein, dass das digitale Produkt durch laufende Updates funktionsfähig bleibt und dass Sicherheitslücken geschlossen werden.“

Ganz zufrieden zeigen sich die Verbraucherschützer damit jedoch nicht. „Die Digitale-Inhalte-Richtlinie ist ein wichtiger Baustein, um den Verbraucherschutz im digitalen Zeitalter zu stärken“, so Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv). „Für Verbraucherinnen und Verbraucher ist es sehr hilfreich, dass Verkäufer ihnen künftig Software-Updates anbieten müssen, weil dadurch Smartphones oder Laptop wahrscheinlich besser und länger einwandfrei funktionieren werden. Gut ist zudem, dass Verbraucher Gewährleistungsansprüche bei mangelhaften Apps, Betriebssystemen oder anderen digitalen Inhalten bekommen.“

Aber Klaus Müller sieht Bedarf für Nachbesserungen: „Die Update-Pflicht darf nicht nur für Verkäufer gelten, sondern auch für die Hersteller“. Es sei nicht praxistauglich, warum dafür möglicherweise Saturn, Kaufhof oder ein kleiner Kiezladen statt Microsoft, Apple und Co. zuständig sein sollten.

Darüber hinaus sei auch eine Trennung von verschiedenen Update-Arten wie funktionsändernden Updates und Sicherheitsupdates wichtig. Wo dies technisch möglich und sinnvoll ist, sollten Verbrauchern verschiedene Update-Arten getrennt bereitgestellt werden, so der Verbraucherschützer. Verbraucher müssten Informationen dazu erhalten, was genau sich dadurch am Produkt ändert, insbesondere sollten sie wissen, ob es sich um ein Sicherheitsupdate handelt.

Schon wieder der falsche Adressat?

Der Entwurf zur Umsetzung der Richtlinie über digitale Inhalte besagt: „Den Unternehmer (Anmerkung: hier der Händler) trifft die Pflicht, „sicherzustellen“, dass der Verbraucher nach den Vorgaben der Richtlinie informiert wird und dass ihm die Aktualisierungen bereitgestellt werden. In diesem Zusammenhang kann der Unternehmer auch Dritte wie zum Beispiel Hersteller in die Erfüllung seiner Pflicht einbeziehen.“

Dabei stellt sich die Frage, ob der Händler hier überhaupt eine Wahl hat. Sicherlich wird er auf den Hersteller zurückgreifen müssen.

Auch an anderer Stelle wurden bereits rechtliche Forderungen aufgestellt, ohne jedoch die Hersteller als zentrale Stelle zur Umsetzung direkt zu berücksichtigen. So sei an die Verpflichtung zu Privacy by Design aus der Datenschutz-Grundverordnung (DSGVO) erinnert.

Die Forderung nach Datenschutz durch Technikgestaltung (Privacy by Design) hat eine zentrale Bedeutung in der Datenschutz-Grundverordnung (DSGVO). Leider richtet sich die DSGVO aber gar nicht an die Hersteller, sondern an die Anwender, also die Verantwortlichen in Unternehmen und an Auftragsverarbeiter.

Offensichtlich kann man als Anwenderunternehmen Privacy by Design bei den Herstellern einfordern, selbst dafür sorgen kann man aber nicht. Ähnlich erscheint auch die Updatepflicht, die der Händler einhalten muss, der aber ohne die Hersteller dazu nicht in der Lage sein wird.

Ohne Updates der Hersteller kann ein Unternehmen kein Patching durchführen, und ohne Updates der Herstellerunternehmen kann auch kein Händler für Updates sorgen. Möglich ist auch hier nur eine entsprechende Lieferantenbedingung, die besagt, dass ein Zulieferer Updates anbieten muss. Doch je nach Hersteller erscheint es nicht sehr wahrscheinlich, dass ein Händler den Lieferanten nicht listen will, weil der marktführende Hersteller der vertraglich vereinbarten Updatepflicht nicht nachkommt. Aus rechtlicher Sicht jedoch müsste der Händler genau dies tun, also eine Auslistung des womöglich marktführenden Herstellers.

Tun dies alle Händler, wäre dies natürlich ein Druckmittel. Doch wäre es nicht sinnvoller, die Hersteller selbst stärker in die Pflicht zu nehmen?

Die Frage nach der Dauer einer Updatepflicht

Eine weitere Frage muss noch besser geklärt werden: So schreibt das Bundesjustizministerium, bei fortlaufenden Vertragsbeziehungen gelte die Update-Verpflichtung über die gesamte Vertragsdauer, bei einmalig zu erfüllenden Verträgen wie Kaufverträgen gelte sie für einen Zeitraum, den die Verbraucherinnen und Verbraucher vernünftigerweise erwarten können.

Hierzu schreibt der Digitalverband Bitkom: „Der beschlossene Kabinettsentwurf lässt aber noch viele Fragen offen. Es bleibt völlig unklar, wie lange smarte Geräte künftig aktualisiert werden müssen. Die Erwartungshaltung der Verbraucher muss hier mit Angebotsvielfalt und Preisstabilität in Balance gebracht werden. Lebenslange Updateverpflichtungen etwa würden zu deutlichen Preissteigerungen bei Produkten und Anwendungen führen. Letztlich würden viele günstige Produkte aus dem Markt verschwinden, die Anzahl der Hersteller abnehmen. Das könnte Verbrauchern enorm schaden.“

Bereits 2019 schrieb der Deutsche Bundestag zur Dauer einer Updateverpflichtung: Dieser „Zeitraum der vernünftigen Verbrauchererwartung“ ist flexibel und wird „für ein hochwertiges langlebiges Produkt länger sein als beispielsweise für ein günstiges Produkt für den einmaligen Gebrauch“.

Allerdings darf man sich fragen, ob alleine der Preis eines Produktes darüber entscheidet, ob Sicherheitsupdates für eine längere Zeit notwendig sind oder nicht. Wahrscheinlicher ist es, dass die Art und Verwendung des Produktes ebenfalls eine Rolle spielen. Selbst kostenlose Produkte, die eine Sicherheitslücke in sich tragen, können bekanntlich schwerwiegende Risiken in sich tragen.

Die Frage nach dem Aufwand

Interessant sind auch die Annahmen, die bei der Bestimmung des sogenannten Erfüllungsaufwandes gemacht werden. So geht man zum Beispiel davon aus:

  • Für die Schätzung wird angenommen, dass die Wirtschaft, zumeist der Hersteller des Produkts, auch nach bisheriger Rechtslage im Schnitt bereits für zwei Jahre nach dem Erscheinungsjahr eines Gerätetyps mit digitalen Elementen alle notwendigen Updates zur Verfügung gestellt hat.
  • Es ist davon auszugehen, dass Sicherheitsupdates derzeit nur dann zur Verfügung gestellt werden, wenn sie für nötig erachtet werden. Es wird von 2 Updates pro Jahr ausgegangen, um Sicherheitslücken zu schließen.

Diese Annahmen wirken nicht wirklich praxisgerecht, denn „alle notwendigen Updates“ werden sicherlich in vielen Fällen nicht bereits heute zur Verfügung gestellt. Ebenso scheint die Zahl der notwendigen Sicherheitsupdates pro Jahr nicht sehr realitätsnah. Bereits hier zeigt sich, dass sich der Erfüllungsaufwand in der Praxis anders darstellen könnte.

Es wäre also wünschenswert, die so wichtige Updatepflicht weiter zu überarbeiten und auf breitere Füße zu stellen.

(ID:47141902)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research