Updatepflicht für embedded Systems

Digitale Produkte und Waren mit digitalen Elementen – neues Risikopotenzial

Seit dem 1. Januar 2022 sind die Digitale-Inhalte-Richtlinie und die Warenkauf-Richtlinie der EU in deutsches Recht umgesetzt. Für Hersteller und Lieferanten von embedded Systems ergeben sich aus den neuen, verbraucherschützenden Bestimmungen zur dauerhaften Lieferung von Sicherheitsupdates neue Risiken.

Die Situation

Eine WLAN-Waschmaschine macht Waschen flexibel. Bevor das funktionieren kann, brauchen Sie natürlich noch ein Smartphone und die aktuelle Version unserer App.

So die Werbeaussage eines Hausgeräteherstellers.

Möglich ist dies durch die in Produkte der Hausgerätehersteller eingebaute embedded Software. Sie macht aus Waschmaschinen Waren mit digitalen Elementen im Sinne der nun geltenden Vorschriften.

 

Angesichts durchschnittlich 394.000 neuer Schadprogramme pro Tag allein in Deutschland ist es verständlich, dass für Verbraucher mit der Umsetzung der Richtlinie (EU) 2019/770 („Digitale-Inhalte-Richtlinie“ – DID-RL) und der Richtlinie (EU) 2019/771 („Warenkauf-Richtlinie“ – WK-RL) zum 1.1.2022 ein Anspruch auf Sicherheitsaktualisierungen von embedded Software nunmehr kodifiziert wurde. Die Bundesregierung beziffert die jährlichen Aktualisierungskosten für die deutsche Wirtschaft mit rund 36 Millionen Euro, erwartet jedoch keine Auswirkungen auf die Verbraucherpreise. Sicherheitsaktualisierungen sind mit dem Kaufpreis abgegolten.

Werden Sicherheitslücken in embedded Software bekannt, richtet sich der Anspruch der Verbraucher auf Updates zunächst gegen den unmittelbaren Verkäufer, also z.B. einen Elektrofachmarkt. Da dieser regelmäßig nicht die Möglichkeit hat, Sicherheitsaktualisierungen zu entwickeln, sichert § 327u Abs. 6 BGB den Regress entlang der dem Verbrauchervertrag vorgelagerten Vertriebskette ab.

Von diesen rechtlichen Vorgaben kann vertraglich nicht abgewichen werden.

Liefert ein Zulieferer für seine embedded Software ein Update nicht, steht dem Hausgerätehersteller ein Aufwendungsersatzanspruch gegen den Zulieferer zu, wenn der Verbraucher die ihm zustehenden Rechte gegenüber dem Elektrofachmarkt geltend macht und dieser sich an den OEM wendet. Der deutsche Gesetzgeber hat die Richtlinien strenger umgesetzt, als dies von der EU vorgegeben war. Daher ist es möglich, dass andere nationale Gesetzgeber den Regressanspruch so ausgestaltet haben, dass der Zulieferer seinerseits keine Ansprüche gegen den eigenen Vorlieferanten mit Sitz außerhalb von Deutschland hat. Gleiches gilt für Vorlieferanten im außereuropäischen Raum.

Vertragliche Absicherung der Lieferkette von Software

Vor diesem Hintergrund ist es von besonderer Bedeutung für Hersteller und Lieferanten von embedded Software, die Selbstbelieferung mit Sicherheitsaktualisierungen entlang der gesamten nachgelagerten Lieferkette bis zum Urheber der embedded Systems technisch und vertraglich abzusichern, und zwar während des gesamten Zeitraums, den der Verbraucher erwarten kann.

 

Nutzungsdauer ist entscheidend

Dieser Zeitraum wurde vom Gesetzgeber nicht bestimmt, kann in der Praxis aber durchaus erheblich sein. Im Moment dürfte man mindestens auf die steuerliche Nutzungsdauer abstellen müssen. Diese beträgt bei Kühlschränken und Waschmaschinen beispielsweise 10 Jahre, bei Geschirrspülern 7 Jahre. Dementsprechend sind für die embedded Systems mindestens über einen Zeitraum von 10 bzw. 7 Jahren Sicherheitsaktualisierungen zur Verfügung zu stellen – gerechnet ab der letzten Lieferung des betroffenen Produkts an einen Verbraucher. Stehen diese nicht zur Verfügung, wird das Verbraucherprodukt mangelhaft mit allen rechtlichen Konsequenzen.

 

Mehr als 20 Jahre Erfahrung an der
Schnittstelle von Recht, Wirtschaft
und Technik.

Kontakt aufnehmen