Händler sind nicht verpflichtet, ihre Kunden auf bestehende Sicherheitslücken und fehlende Updates des Betriebssystems der von ihnen verkauften Smartphones hinzuweisen. Das hat das Oberlandesgericht Köln in einem Verfahren der Verbraucherzentrale Nordrhein-Westfalen gegen MediaMarkt festgestellt (Az.: 6 U 100/19 - PDF-Datei). Das OLG bestätigte damit eine frühere Entscheidung des Landgerichts Köln. Die Revision wurde nicht zugelassen.
Die Verbraucherschützer hatten vor der Klage Testkäufe durchgeführt und die erworbenen Smartphones durch Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) untersuchen lassen. Die Geräte wiesen teilweise zahlreiche Sicherheitslücken auf, bei einem Android-Smartphone wurden sogar 15 der insgesamt 28 überprüften Sicherheitsmängel nachgewiesen. Das BSI stufte das Gerät als eklatantes Sicherheitsrisiko für Nutzer ein, der Hersteller besserte jedoch trotz Aufforderung nicht nach. Darauf verlangten die Verbraucherschützer von MediaMarkt, die Geräte künftig mit einem Hinweis auf die Sicherheitslücken zu verkaufen.
Auch interessant: Kontakte und Daten von iPhone auf Android übertragen
Nach Ansicht der Kölner Richter stellt es für Händler jedoch einen unzumutbaren Aufwand dar, sich die Informationen über Sicherheitslücken für jedes von ihnen angebotene Smartphone-Modell zu verschaffen. Zudem sei es nicht möglich, alle beim Kaufzeitpunkt vorhandenen Sicherheitslücken zu benennen, da jederzeit neue festgestellt werden können.
Auch die zweite Forderung, auf verfügbare Sicherheits-Updates hinzuweisen, ist dem Verkäufer zum Zeitpunkt des Verkaufs nach Auffassung der Richter in der Regel nicht möglich. Schließlich entscheide der Hersteller, ob und wann Sicherheits-Updates für das jeweilige Smartphone verfügbar werden und sei zudem nicht bekannt, wann verfügbare Sicherheitsupdates durch die Netzbetreiber veröffentlicht werden.
Kritik von Sicherheitsexperten am Urteil des OLG Köln
Sicherheitsexperten sehen das Urteil kritisch. Gerade bei Geräten mit einer veralteten Android-Version seien Sicherheitsmängel schließlich gut dokumentiert, kommentiert etwa G Data. "Das Urteil bedeutet einen großen Rückschritt für die Sicherheit persönlicher Daten, den wir bei G Data mit Kopfschütteln zur Kenntnis nehmen," sagt Tim Berghoff, Security Evangelist bei dem Bochumer Unternehmen."
Lesetipp: Android 10 offiziell gestartet - die 10 wichtigsten Neuerungen
Letztlich nehme das Urteil genau die Partei, die die Gefahren am wenigsten einschätzen kann - die Verbraucher - in die Verantwortung, ob und inwiefern ein Gerät über ein ausreichend hohes Sicherheitsniveau verfügt. "Gerade hier wären jedoch die Händler und auch die Hersteller gefragt, die zumindest auf die Risiken hinweisen könnten - so hätte ein potenzieller Käufer wenigstens die Möglichkeit einer Entscheidung", so Berghoff weiter.
Kommentar: Händler müssen gar nichts, können aber alles
Aus Sicht des Fachhandels ist das Urteil zu begrüßen. Dem Verkäufer die Last der kompletten Überprüfung aufzubürden und ihn dann womöglich noch haftbar zu machen, wenn ihm ein Fehler unterläuft, wäre unakzeptabel. Schließlich würde ein Test erstens voraussetzen, dass der Händler über die erforderliche Expertise verfügt - was nicht unbedingt zu seinem Qualifizierungsprofil gehört, und zweitens, dass er von jeder Modell- und Firmware-Variante zumindest ein Gerät auspackt, prüft und damit nur noch als Gebrauchtgerät verkaufen kann.
Was man einem Branchenriesen wie MediaMarkt vielleicht von den finanziellen Möglichkeiten, dem Zeitaufwand und dem Personaleinsatz her noch zutraut, kann dem Besitzer eines kleineren Ladengeschäfts oder eines Online-Shops nicht abverlangt werden. Solch eine Verpflichtung hätte lediglich das Ungleichgewicht erneut zugunsten der Branchengrößen verschoben.
Aber: Gerade kleinere Händler könnten das Urteil durchaus zum Anlass nehmen, sich über neue Zusatzservices Gedanken zu machen. Der Fantasie sind da kaum Grenzen gesetzt. Die können über Hinweise auf die Aktualisierungsmöglichkeiten bei regelmäßig verkauften Modellen (vielleicht sogar mit einem auf einem DIN A4-Blatt ausgedruckten "Quick Guide" mit den Kontaktdaten des Händlers und QR-Code zum Downloadlink) bis hin zu einer Auswahl "von uns als sicher empfohlener Smartphones" reichen. Oder sie können das Urteil zum Anlass nehmen, auf die vielfältigen Mobile-Security-Suiten für Android-Smartphones zu verweisen. Aber diese und viele weitere, noch wesentlich bessere Ideen haben Sie sicher selbst. Ich freue mich auf Ihr Feedback.