Aktualisierung von Software – von der Pflicht in 2022 zur Notwendigkeit in 2024?

In 2022 und den folgenden Jahren werden Updates und Upgrades – die in den Normen unter den Sammelbegriff „Aktualisierungen“ gefasst werden – eine größere Bedeutung erlangen. Immer mehr Menschen und Unternehmen sind für ihren Alltag auf die Verwendung von Software und programmierbaren Endgeräten angewiesen. Damit ist es für sie essentiell, dass diese Geräte zuverlässig und sicher funktionieren. Dazu müssen bestehende Softwarefehler behoben werden. Insbesondere Sicherheitslücken müssen geschlossen werden. Weiter kann sich die technische Umwelt verändern, innerhalb derer die Geräte funktionieren sollen, was ebenfalls Anpassungen nach sich zieht. Geräte, die späte, wenige oder gar keine Updates erhalten, werden daher mit der Zeit weniger nützlich oder aufgrund von Sicherheitslücken gefährlich.

Damit ist die Bühne bereitet, auf der sich in den kommenden Jahren erhebliche Änderungen für all diejenigen Unternehmen abspielen werden, die digitale Inhalte oder digitale Dienstleistungen allein oder als Bestandteil einer Sache in Deutschland und der EU verkaufen wollen. Zunächst ändern sich in der EU die den Verbrauchern zustehenden Gewährleistungsrechte, wobei hier ein Blick auf die deutsche Umsetzung geworfen werden soll. Weitergehend plant die neue Bundesregierung, die Entdeckung von Softwarelücken und deren Beseitigung zu fördern, sowie eine Haftung für diese einzuführen. Sodann sollen Updates nach einem Richtlinienentwurf der Europäischen Kommission künftig auch ein Baustein in der Sicherstellung der Produktsicherheit sein.

Die Rechtslage ab dem 1. Januar 2022 – Anspruch auf Aktualisierungen für eine nach den Umständen angemessene Zeit

Zunächst wird die Bereitstellung von Aktualisierungen für Verbraucher durch weitreichende Änderungen am BGB ab dem 1. Januar 2022 für die Anbieter von digitalen Inhalten oder digitalen Dienstleistungen verpflichtend. Die Pflicht trifft sowohl die Anbieter von reinen Softwareprodukten als auch von Sachen, die Software für ihr ordnungsgemäßes Funktionieren benötigen (z.B. Smart-Home-Geräte). Wie lange nach einem Verkauf Aktualisierungen angeboten werden müssen, hat der Gesetzgeber nicht genau bestimmt. Es soll auf die „Umstände“ ankommen. In Zukunft könnte soll es in einer neuen Fassung der Ökodesignrichtlinie der EU für bestimmte Produkte Regelungen geben; für Smartphones sind etwa fünf bis sieben Jahre im Gespräch. Bis dahin muss sich die Praxis mit Ansätzen behelfen, die im Falle einer streitigen Auseinandersetzung überzeugend sind: Öffentlich beworbene Updatedauern, auch der Hersteller, können nicht unterschritten werden; dazu dürften auch Angaben im Rahmen des IT-Sicherheitskennzeichens sein, mit denen ab 2022 Anbieter die Sicherheit ihres Produkts besonders bewerben können. Die gesetzliche Gewährleistungsfrist – die nach Plänen der neuen Bundesregierung auch verlängert werden soll – sollte nicht unterschritten werden; Anhaltspunkte können sich auch aus der Abschreibungstabelle oder aus Marktuntersuchungen ergeben. Beachtung sollten auch der Anwendungszweck und eine eventuelle Zweitverwertung finden – ein High-End-Gaming-Notebook dürfte etwa nach drei Jahren nicht mehr für aktuelle Spieletitel ausreichen, könnte aber danach noch lange als Bürorechner sein „Leben“ fristen. Aus dem Beispiel wird ersichtlich, dass der Anspruch auf Aktualisierungen in einem gewissen Umfang gesteuert werden kann. Dies bedarf aber einer genauen Analyse und rechtlichen Beratung im Einzelfall; zudem ist zu beachten, dass Einschränkungen der Aktualisierungspflichten in der Regel nur durch gesonderte Vereinbarungen möglich sind. In diesem Zusammenhang darf nicht aus dem Blick geraten, dass die Verwendung unwirksamer AGB für sich genommen ab dem 28. Mai 2022 zu Schadensersatz verpflichten und – in bestimmten Fällen – sogar mit einem Bußgeld geahndet werden kann.

Wo besteht Handlungsbedarf?

Zunächst ist zu prüfen, ob der Bezug von Aktualisierungen eingeschränkt werden soll. Denn derartige Einschränkungen müssen dem Verbraucher vorab eindringlich zur Kenntnis gebracht werden. Mit Blick darauf, dass Sachen wegen der neuen Produktsicherheitsverordnung ggf. in wenigen Jahren ohne das Angebot wichtiger Updates während ihrer Lebenszeit in der EU gar nicht mehr verkehrsfähig sein könnten, stellt sich aber auch die Frage, ob man derartige Produkte überhaupt ins Portfolio aufnehmen will.

Weiter darf nicht vergessen werden, dass der Verkäufer für die Bereitstellung der Aktualisierungen verantwortlich ist, sie aber entweder selbst nicht (z.B. bei iOS) oder nur mit erheblichem Aufwand (z.B. bei Android) herstellen kann. Daher muss der Verkäufer sicherstellen, dass er die Aktualisierungen für den relevanten Zeitraum zur Verfügung stellen kann.

Da sich Aktualisierungen – insbesondere Upgrades auf neue Softwareversionen – mit Änderungen des Leistungsumfangs und – mit Blick auf veraltende Hardware – mit Leistungseinbußen einhergehen können, ist insbesondere hier ein vorausschauendes Handeln erforderlich. Derartige Einschränkungen durch Aktualisierungen muss der Verwender nämlich nur dann hinnehmen, wenn dieses wirksam vereinbart worden ist; wie eine derartige Vereinbarung – gerade als AGB – wirksam ermöglicht werden kann, bedarf ebenfalls genauer Prüfung. Gelingt dies nicht, kann es sein, dass dem Käufer einer Sache gar eine neue Version der Hardware zur Verfügung zu stellen ist.

Wenn Aktualisierungen vorliegen, müssen diese den Nutzern angekündigt und zur Verfügung gestellt werden. Hier sollte ein effektiver, datensparsamer und beweissicherer Weg ausgewählt werden – denn notwendige Aktualisierungen müssen bekannt gemacht und dem Verbraucher auch die Installation erklärt werden. Mit Blick auf die zivilrechtlichen Folgen – nicht zuletzt die Haftung für fehlerhafte Software, die künftig sogar noch ausgebaut werden soll – sollte das Updateangebot auch gerichtsfest ausgeliefert werden. Denn die Beweislast liegt beim Verkäufer und die Beweisführung bei Massengeschäften im Allgemeinen und nur digital vorliegenden Beweismitteln im Besonderen hat mehr Aussicht auf Erfolg, wenn schon frühzeitig an derartige Fragen gedacht und die Verfahren darauf ausgerichtet werden.

Schließlich kann es auch sein, dass trotz bester Vorbereitung Aktualisierungspflichten nicht nachgekommen werden kann – dafür sollte Vorsorge getroffen werden. Etwa, weil der Hersteller die versprochenen Aktualisierungen nicht bereitstellt. Dann kann es sein, dass Produkte zurückgenommen und die Verbraucher entschädigt werden müssen. Es wären für diesen Fall Rücklagen zu bilden und Vorkehrungen für die Durchsetzung von Ersatzansprüchen gegen den Hersteller zu treffen. Letzteres kann eine Herausforderung sein, wenn der Hersteller der fraglichen Software nicht in der EU beheimatet ist – und wenn mit diesem keine direkten vertraglichen Beziehungen bestehen.

Was kommt als Nächstes?

Dass Personen Aktualisierungen für Sachen bereitstellen müssen, ohne in einer vertraglichen Beziehung zum Hersteller und Softwarelieferanten zu stehen, könnte mittelfristig ein häufigeres Problem werden. Aktualisierungen werden wegen ihrer Bedeutung für die Produkt- und insbesondere Cybersicherheit künftig Gegenstand des Produktsicherheitsrechts. Ziel der Initiative ist der Erlass einer Produktsicherheitsverordnung und die Überarbeitung der Richtlinie 2001/95/EG über die allgemeine Produktsicherheit, um ihre Rolle als Sicherheitsnetz für die Verbraucher zu erhalten, indem sie aktualisiert wird, um die Sicherheit von Non-Food-Verbraucherprodukten angesichts der Herausforderungen durch neue Technologien und den Online-Verkauf zu regeln, die Verfahren zu vereinfachen und eine bessere Durchsetzung und effizientere Marktüberwachung zu gewährleisten. Dazu soll auch gehören, dass neben dem Hersteller auch die Importeure, Verkäufer und sogar die Betreiber von Verkaufsplattformen für die Wahrung der Produktsicherheit verantwortlich werden sollen. Produkte sollen als unsicher gelten, wenn es nicht möglich ist, sie vor äußeren Einflüssen, einschließlich böswilliger Dritter, zu schützen, sofern sich ein solcher Einfluss auf die Sicherheit des Produkts auswirken könnte. Sobald sich während der Lebenszeit der Produkte derartige Sicherheitsprobleme zeigen, sollen diese von den vorgenannten Personen beseitigt werden. Eine Beseitigungsmöglichkeit ist die Bereitstellung von Aktualisierungen. Können diese nicht beschafft werden, sollen die Produkte zurückgenommen und die Erwerber entschädigt werden. Daher dürfte ein Interesse der Wirtschaftsakteure bestehen, sich die häufig wirtschaftlichere Möglichkeit offen zu halten, die Sicherheitsprobleme durch Aktualisierungen zu beseitigen.