fotomowo - stock.adobe.com
Produkthaftung und IT-Sicherheit: Was sich hier ändern wird
Die Produkthaftung hat bisher Risiken ausgespart, die durch Lücken in der IT-Sicherheit entstehen. Durch EU-Regularien wie den Cyber Resilience Act stehen aber Änderungen bevor.
Qualitätsmängel in Soft- und Hardware-Produkten erhöhen die Angriffsfläche für Cyberkriminelle und gefährden damit ganze IT-Infrastrukturen, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI appellierte daher an die Hersteller von IT-Produkten, Sicherheitsaspekte bereits bei der Entwicklung stärker zu berücksichtigen und die Geräte in einer sicheren Konfiguration auszuliefern.
Seit Jahren bereits ist die Haftung bei IT-Sicherheitsproblemen ein vielfach diskutiertes Thema. Immerhin könnten aus IT-Sicherheitslücken Schäden resultieren, für die ein Anwenderunternehmen gerade stehen muss. Doch was ist mit den Herstellern? Sind sie nicht auch in der Verantwortung?
„IT-Sicherheit und Datenschutz sind in einer zunehmend digitalisierten und vernetzten Welt eine gemeinsame Aufgabe vieler Akteure“, so zum Beispiel Christine Serrette, technische Vizedirektorin im ITZBund.
Dr. Gerhard Schabhüser, Vizepräsident des BSI, unterstrich: „Sichere Soft- und Hardware bilden die Grundlage für den sicheren Einsatz von IT-Produkten in Staat, Wirtschaft und Gesellschaft. Das BSI fordert daher die Hersteller auf, IT-Sicherheit von Anfang mitzudenken und es den Anwenderinnen und Anwendern durch eine sichere Vorkonfiguration so einfach wie möglich zu machen, ihre Produkte sicher zu nutzen.“
Doch sind diese Forderungen inzwischen in Gesetzen, Richtlinien und Verordnung so abgebildet?
Hersteller sind bisher nur zum Teil im Fokus der Regulierung
Im Datenschutz nach DSGVO (Datenschutz-Grundverordnung) gibt es bisher nur Verantwortlichkeiten für das Anwenderunternehmen (verantwortliche Stelle) und für Auftragsverarbeiter. Datenschutzaufsichtsbehörden haben bereits auf diese Lücke mehrfach hingewiesen.
Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, zum Beispiel bemängelte: „Es wäre für die Verantwortlichen viel einfacher und fairer, wenn Hersteller und Dienstleister Datenschutz von Anfang an in die Entwicklung ihrer Produkte und Services einbauen würden. Stattdessen erleben wir in unseren Prüfungen immer wieder, dass Verantwortliche von Herstellern und Dienstleistern im Unklaren gelassen werden, wie personenbezogene Daten verarbeitet werden. Auch fehlt es vielfach an einem ausreichenden Sicherheitsniveau – dies wird uns nahezu täglich durch eine hohe Zahl an Datenpannen-Meldungen vor Augen geführt.“
Die DSGVO verlangt vom Verantwortlichen, die Einhaltung der Datenschutz-Grundsätze nachweisen zu können. Marit Hansen konstatierte: „Unternehmen und Behörden können ihre Rechenschaftspflicht nicht erfüllen, wenn Hersteller und Dienstleister in ihren Angeboten die DSGVO ignorieren. Das muss sich umdrehen: Hersteller und Dienstleister sollten die Verantwortlichen darin unterstützen, die Anforderungen der DSGVO zu erfüllen. Das geht nur mit datenschutzgerechten Produkten und Services.“
Im TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) zumindest werden die Anbieter von Telemedien dazu verpflichtet, durch technische und organisatorische Vorkehrungen sicherzustellen, dass der Nutzer von Telemedien die Nutzung des Dienstes jederzeit beenden kann und er Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann.
Zudem haben Anbieter von Telemedien, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist, und diese gesichert sind gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind.
Mit der Cyberresilienz kommt ein Umdenken
Doch es ändert sich nun einiges: Der neue Cyber Resilience Act (CRA) will in Zukunft Verbraucher und Unternehmen schützen, die Produkte oder Software mit einer digitalen Komponente kaufen oder verwenden. Nach dem Gesetz sollen unzureichende Sicherheitsmerkmale mit der Einführung verbindlicher Cybersicherheitsanforderungen für Hersteller und Einzelhändler solcher Produkte der Vergangenheit angehören, wobei sich dieser Schutz über den gesamten Produktlebenszyklus erstreckt, so die EU-Kommission (siehe auch Cyber Resilience Act: Mehr Sicherheit für vernetzte Produkte).
Der CRA soll garantieren, dass harmonisierte Vorschriften für das Inverkehrbringen von Produkten oder Software mit einer digitalen Komponente bestehen, es einen Rahmen von Cybersicherheitsanforderungen gibt für die Planung, Gestaltung, Entwicklung und Wartung solcher Produkte mit Verpflichtungen, die in jeder Phase der Wertschöpfungskette zu erfüllen sind, und damit eine Verpflichtung zur Sorgfaltspflicht für den gesamten Lebenszyklus solcher Produkte.
Änderungen bei der Produkthaftung
Der europäische Gesetzgeber hat sich zudem auf eine neue Produkthaftungsrichtlinie geeinigt. Meret Sophie Noll, Referentin im Team Recht und Handel beim Verbraucherzentrale Bundesverband (vzbv), kommentierte dies so: „Endlich sind die Regelungen zur Produkthaftung im 21. Jahrhundert angekommen. Verbraucherinnen und Verbraucher haben zukünftig mehr Möglichkeiten, Schadensersatz zu verlangen – wenn beispielsweise durch einen Fehler im Betriebssystem Daten vom Computer verloren gehen“.
Für die Frage, ob ein Produkt fehlerhaft ist, komme es nun nicht mehr allein auf den Zeitpunkt des Verkaufs an. Es werde nun berücksichtigt, dass Hersteller beispielsweise durch Software-Updates weiterhin die Kontrolle über ihr Produkt ausüben könnten. Dann müssten sie auch folgerichtig weiter dafür haften.
Mit der Modernisierung der Haftungsvorschriften für Produkte im digitalen Zeitalter soll es also Schadensersatz für Schäden geben, die entstehen, wenn Produkte wie Roboter, Drohnen oder Smart-Home-Systeme durch Software-Updates, KI oder digitale Dienste, die für den Betrieb des jeweiligen Produkts erforderlich sind, unsicher gemacht werden, und wenn die Hersteller Schwachstellen im Bereich der Cybersicherheit nicht beheben, wie die EU-Kommission erläuterte.
Damit hat nun die Frage nach Haftung bei IT-Sicherheitslücken eine neue Antwort bekommen, die sich die Anwenderunternehmen schon lange gewünscht hatten.