Autor: Sylvia F. Jakob
Android-Smartphonehersteller weltweit im Kreuzfeuer des Verbraucherschutzes aufgrund undurchsichtiger Update-Politik
Ein Telefon ist eine Sache, an der man Eigentum erwerben und dann beliebig damit verfahren kann. Doch was nützt einem dieses Recht, wenn diese Sache eine Open Source Seele hat, die sich fortlaufend weiterentwickelt und nur mit regelmäßigen Updates sicher und funktionsfähig bleibt? So ist es mit dem von Google betriebenen Androidbetriebssystem,der Seele von zahlreichen Smartphones, wie z.B. HTC, LG, Motorola oder Samsung. Während Google das Androidbetriebssystem regelmäßig weiterentwickelt und auf Sicherheitslücken reagiert , geben viele Smartphonehersteller die Updates nur zögerlich oder überhaupt nicht an ihre Endkunden weiter.
Schon im April 2013 reichte die American Civil Liberties Union (ACLU) eine Beschwerde bei der Federal Trade Commission (FTC) ein, in der sie den größten US-amerikanischen Mobilfunkanbieter wie AT&T, Verizon, Sprint und T-mobile vorwarf, Millionen von Android-betriebener Smartphones verkauft zu haben, ohne den Kunden regelmäßige Sicherheitsupdates zur Verfügung zu stellen.Doch erst jetzt gehen die Federal Communication Commission (FCC) und die FTC der Sache auf den Grund. Pressemitteilungen zu Folge startete die FCC am 9. Mai 2016 eine Investigation, die mehr Transparenz in die Handhabung von Sicherheitsupdates der Smartphonehersteller bringen soll.Grund hierfür ist vor allem der Open Source Bug „Stagefright“, der im Juli letzten Jahres aufkam, und Android Telephone mittels SMS oder MMS angreift und dabei eine Schwäche in Androids Multimedia Vorschau Funktion ausnutzt. Weil fast jedes Android Telefon Prozesse zur Vorschau von Links oder Dateien hat, die über SMS oder MMS empfangen werden, seien ca. 1 Milliarde Nutzer gefährdet. Google hatte im November 2015 ein Android-Update veröffentlicht, in dem eine Zahl von Anfälligkeiten beseitigt wurden, doch sei unklar, ob und wenn, wann es die jeweiligen Apparate bekommen würden. So die FCC:
„Consumers may be left unprotected, for long periods of time or even indefinitely, by any delays in patching vulnerabilities once they are discovered. To date, operating system providers, original equipment manufacturers, and mobile service providers have responded to address vulnerabilities as they arise. There are, however, significant delays in delivering patches to actual devices - and that older devices may never be patched.”
Auch in Europa ist das „Stagefright Fieber“ ausgebrochen. Am 8. März 2016 erging das Urteil des Amsterdamer Amtsgericht in dem Fall zwischen der Niederländischen Verbraucherschutzorganisation (Consumentenbond) gegen Samsung.Hier hatte der Consumentenbond in einem Testfall gegen Samsung vorgefühlt, wie das Gericht auf einen Antrag auf einstweilige Verfügung (provisional relief proceedings) reagieren würde.Der Consumentenbond warf Samsung vor, seine Kunden nicht oder nicht genügend vor dem Stagefright –Bug gewarnt und seine Kunden nicht oder nicht genügend darüber informiert zu haben, ob sie nach Kauf eines Smartphones regelmäßige Updates bekommen würden und wollte per einstweilige Verfügung Samsung zu größerer Transparenz und Weitergabe der Sicherheitsupdates zwingen.
Der Consumentbond stützte seinen Antrag auf folgende rechtliche Überlegungen:
1. Samsung habe sich unlauterer Wettbewerbsmethoden bedient (unfair (misleading) commercial practices) in dem es den Kunden wesentliche Informationen über Sicherheitslücken und die Handhabung von Sicherheitsupdates vorenthielt, die ihre Kaufentscheidung maßgeblich beeinflusst hätten.
2. Des weiteren habe es gegen Art. 7:17 des niederländischen Zivilgesetzbuches (DCC) verstoßen, der ähnlich wie unsere §§ 433 ff. BGB die vertragstypischen Pflichten beim Kaufvertrag regelt. Demnach müssten die verkauften Smartphones die Eigenschaften enthalten, die ein Verbraucher nach dem Kaufvertrag erwarten dürfe. Die zugesicherten Eigenschaften gälten auch für das Androidbetriebssystem. Aus diesem Grunde müsse der Stagefright Bug und weitere kritische Sicherheitslücken beseitigt und regelmäßige Sicherheitsupdates zur Verfügung gestellt werden.
3. Samsung sei dazu zudem gemäß Art. 6:162 (1) DCC aufgrund seiner deliktischen Sorgfaltspflicht verpflichtet.
4. Auch das niederländische Datenschutzgesetz, insbesondere Artikel 13 sei verletzt, wonach der Datenkontroller geeignete technische und organisatorische Maßnahmen ergreifen müsse, um persönliche Daten gegen Verlust oder anderweitige unzulässiges Verarbeitung zu schützen.
Demgemäß müsse Samsung zwei Jahre nach Kauf eines Smartphones Updates und Upgrades zur Verfügung stellen. Untersuchungen zu Folge erwarteten Verbraucher, dass ein Smartphone eine Lebensdauer von 2,26 Jahren habe, während Samsung für manche Modelle nur eine Garantie von wenigen Monaten böte. (RN 3.2)
Ein interessanter Gedankengang, der jedoch vom niederländischen Amtsrichter nicht geteilt wurde. Zum einen fehle das Rechtsschutzbedürfnis, zum anderen sei der Fall viel zu kompliziert um im Wege einer einstweiligen Verfügung entschieden zu werden.
Zum Rechtsschutzbedürfnis folgte der Richter den Ausführungen der gegnerischen Anwälte, die die Gefährlichkeit des „Stagefright-Virus" herunterspielten. Ihnen zu Folge sei das Ausnutzen der Sicherheitslücke kompliziert, teuer und zeitaufwendig. Man müsse erst einen “exploit” entwickeln, das den Zugriff auf sensible Daten, die auf dem Smartphone gespeichert seien, ermögliche. Ein “exploit” könne jedoch nur auf einem Smartphonemodell eingesetzt werden. Zudem sei die Wahrscheinlichkeit diesen erfolgreich einzusetzen minimal.(Rn 4.1)
Dies bestätige auch ein Bericht von unabhängigen Sachverständigen, den der Consumentenbond selbst als Beweisstück eingereicht hatte. Diesem zufolge gebe es kein Beweis dafür, dass die Stagefright Sicherheitslücke tatsächlich ausgenutzt werden könne oder ausgenutzt worden sei. (Rn 4.2).
Ob damit das letzte Wort gesprochen ist, ist jedoch fraglich.
Die Initiative der US –amerikanischen FCC und FTC zeigt gleichwohl, dass mangelnde Sicherheitsupdates ernst zunehmen sind, und nicht damit abgetan werden können, dass „ja noch nichts passiert sei“.
Fraglich ist jedoch, auf welchen Anspruchsgrundlagen ein solcher Fall tatsächlich gestützt werden könnte.
In Deutschland gehört die regelmäßige Lieferung von Updates bei Software zum Gewährleistungsrecht der §§433 ff. BGB Die Lieferung von Updates oder Patches soll die auf dem Rechner bzw. Smartphone der Kunden vorhandene Software reparieren. Es handelt sich somit um eine Nachbesserung.Die Kunden haben auch das Recht die Nachbesserung sofort zu verlangen, so dass ein zögerliches Weitergeben von Updates dem Kunden das Recht gibt zu mindern oder zurückzutreten.Diese Gewährleistung gilt allerdings nur für zwei Jahre, bei gebrauchten Sachen, für ein Jahr. (Ja, Software ist so etwas wie eine Sache)
Doch was kommt danach? Auf welcher rechtlichen Grundlage könnten Smartphoneeigentümer die Weitergabe von Updates verlangen? Was nützt es dem Smartphonebesitzer ein Telefon sein Eigen zu nennen, dass nicht mehr mit den neuesten Updates beliefert wird und deshalb erhebliche Sicherheitslücken aufweist? Ist es der Datenschutz? Der unlautere Wettbewerb?
Es ist durchaus vorstellbar, dass der Consumentenbond das nächste Mal europarechtliche Geschütze auffährt und argumentiert Samsung Benelux B.V. verstoße gegen den freien Warenverkehr, Art. 7 und 8 der Grundrechtcharta sowie. Art. 101, 102 AEUV .
Man könnte jedoch auch das Grundrecht auf Eigentum heranziehen. Doch sind wir faktisch noch Eigentümer unserer Smartphones? Wir schließen zwar in der Regel einen Kaufvertrag ab. Oft wird dieser jedoch mit Ratenzahlungen über zwei Jahre beglichen, so dass in der Zeit, in wir das Recht auf Sicherheits Updates haben,das Telefon gar nicht uns gehört, sondern dem Mobilfunkanbieter.
Vielleicht ist es daher an der Zeit sich vom Konzept „Eigentum“ zu verabschieden und stattdessen vermehrt auf Miet – und Lizenzverträge einschließlich garantierter Sicherheitsupdates zurückzugreifen...