Wer haftet, wenn mein Kühlschrank gehackt wird?

Immer mehr Menschen nutzen Smart–Home-Produkte, um ihren Alltag zu Hause leichter und komfortabler zu gestalten, sei es zum Steuern der Heizung per Smartphone oder zum Abspielen von Musik per Sprachbefehl. Zugleich ermöglichen Smart-Home-Produkte vor allem älteren Menschen, länger in ihren eigenen vier Wänden wohnen zu bleiben.

Zwingende Voraussetzung für diesen Komfort ist die Einbindung in das hauseigene Netzwerk und damit der Zugang zum World Wide Web. Anders als bei klassischen IT-Produkten legten die meisten Hersteller bislang jedoch ihren Fokus nur auf die Funktionalität ihrer Smart-Home-Produkte und eben gerade nicht auf deren Sicherheit vor Angriffen aus dem Cyberspace.

Dies kann weitreichende Folgen haben, wie das folgende Beispiel zeigt: Ein Haus, welches ein mit dem Internet verbundenes Sicherheitssystem besitzt, über das auch die Haustür geöffnet werden kann, wird gehackt. Als Angriffspunkt dient dem Hacker hierbei der Kühlschrank, welcher neben weiteren Smart- Home-Produkten in das hauseigene Netzwerk eingebunden ist. Dem Hacker ist es nun möglich, die Haustür zu öffnen und Wertgegenstände zu entwenden.

Es stellt sich die spannende Frage: Wer haftet für den Schaden, der durch IT-Sicherheitslücken meines Smart-Home-Produkts entsteht?

1. „Mangel“ durch IT-Sicherheitslücken?

Der Verbraucher könnte gegen den Hersteller einen Anspruch auf Schadensersatz aus dem Kaufvertrag haben. Dafür müsste der Kühlschrank jedoch einen „Mangel“ vorweisen.

Ein „Mangel“ ist eine Abweichung der Ist- von der vereinbarten Soll-Beschaffenheit, welche zum Zeitpunkt der Übergabe der Kaufsache vorlag. An dieser Stelle kommt bereits die erste Hürde, denn welche IT-Sicherheitsmaßnahmen als Soll-Beschaffenheit vereinbart worden sind, ergibt sich regelmäßig nicht aus dem Kaufvertrag. Vielmehr schweigt dieser hierzu.

Sind die zu erfüllenden IT-Sicherheitsmaßnahmen nicht explizit im Kaufvertrag vereinbart, kommt es für die Beantwortung der Frage, ob ein „Mangel“ vorliegt, regelmäßig auf die gewöhnliche Verwendung der Kaufsache an – die zweite Herausforderung. Denn danach wäre der gekaufte Kühlschrank nur mangelhaft, wenn vergleichbare Kühlschränke mit demselben Qualitätsstandard diese IT- Sicherheitslücke nicht aufweisen und das Vorhandensein dieser IT-Sicherheitslücke nicht dem Stand der Technik entspricht.

Für den Verbraucher, der ab dem siebten Monat nach Übergabe der Kaufsache die Darlegungs- und Beweislast trägt, stellt der Nachweis dieser Voraussetzung regelmäßig ein nahezu unüberwindbares Hindernis dar. Ferner ist zu berücksichtigen, dass etwaige Sachmängelansprüche nur bis zwei Jahre nach dem Kauf des Kühlschranks bestehen. Ein vertraglicher Schadensersatzanspruch dürfte zumindest ab dem siebten Monat nach Übergabe der Kaufsache regelmäßig nicht durchsetzbar sein.

Nicht zu vergessen, selbst wenn ein Schadensersatzanspruch grundsätzlich bestünde, könnte die kritische Folgefrage gestellt werden, welche Mitschuld einem Verbraucher zuzurechnen ist, wenn dieser sein Netzwerk, in dem der Kühlschrank eingebunden ist, unzureichend schützt.

2. Alternative „Produzentenhaftung“?

Es stellt sich deshalb die Frage, ob alternativ ein Schadensersatzanspruch aus der deliktischen Produzentenhaftung (leichter) geltend gemacht werden kann. Allerdings sind auch hier einige Schwierigkeiten zu beachten:

Zwar haftet grundsätzlich ein Hersteller, der mit dem Inverkehrbringen eines fehlerhaften Produktes eine Gefahrenquelle schafft. Ein Anspruch besteht jedoch nur, wenn eines der durch die Produzentenhaftung geschützten Rechtsgüter (Eigentum, Leben, Körper, Gesundheit, Freiheit, Besitz, Persönlichkeitsrecht oder der eingerichtete und ausgeübte Gewerbebetrieb) verletzt ist. Bloße Vermögensschäden gehören hier nicht zu.

Kann eine solche Rechtsgutsverletzung – wie z.B. die Verletzung des Eigentums – bejaht werden, bedarf es darüber hinaus vor allem einer Verletzung einer Verkehrssicherungspflicht durch den Hersteller. Hierbei ist zu fragen: Bietet das Smart-Home-Produkt diejenige (Produkt-) Sicherheit, die die herrschende Verkehrsauffassung, abhängig vom wirtschaftlichen Aufwand, der dem Hersteller den Umständen nach überhaupt zugemutet werden kann, für ein solches Smart-Home-Produkt erforderlich hält.

Seit 2015 haben der deutsche und der europäische Gesetzgeber durch diverse Gesetzesinitiativen die Anforderungen an die IT-Sicherheit – zum einen für einzelne Sektoren, zum anderen für sämtliche Unternehmen – stetig verschärft. Es ist deshalb zu vermuten, dass sich vor diesem Hintergrund auch die Verkehrssicherungspflichten für Hersteller von Smart-Home-Produkten stetig verschärfen werden. Jedenfalls die Implementierung eines Mindestniveaus an IT-Sicherheit dürfte – bereits heute – nach herrschender Verkehrsauffassung zwingend sein.

Entscheidend ist jedoch, ob eine Verletzung der Verkehrssicherungspflichten kausal für die Rechtsgutsverletzung und für den Schaden war. Demnach haftet der Hersteller nur, wenn ein Dritter nicht vorsätzlich oder missbräuchlich eingreift und hierdurch ein Schaden entsteht. Der Hersteller ist jedoch nicht von seiner Haftung befreit, wenn es ein Merkmal des Smart-Home-Produktes ist, gegen derartige Eingriffe von Dritten gesichert zu sein. Dieser Punkt dürfte für den Verbraucher zwar nicht immer leicht nachweisbar sein, dennoch ist in diesem Fall ein Schadensersatzanspruch aus Produzentenhaftung grundsätzlich möglich.

3. Lösung „Produkthaftungsgesetz“?

Zu guter Letzt ist zu fragen, ob nicht auch das Produkthaftungsgesetz dem Verbraucher eine adäquate Lösung für die Geltendmachung seiner Ansprüche bietet. Generell begründet das Produkthaftungsgesetz nur einen Anspruch, wenn durch den Fehler eines Produktes das Leben, der Körper, die Gesundheit verletzt oder eine andere „Sache“ als das Produkt, die privat genutzt wird, „beschädigt“ wird. Im obigen Beispielsfall stellt sich bereits die Frage, ob der Diebstahl, d.h. der bloße Nutzungsentzug des Eigentums ohne Beschädigung der Sachsubstanz, vom Anwendungsbereich des Produkthaftungsgesetzes erfasst ist, denn anders als die Produzentenhaftung werden nicht die Rechtsgüter „Eigentum“ und „Besitz“ geschützt. Dies ist äußerst umstritten und kann mit guten Gründen abgelehnt werden. Wird hingegen eine andere Sache „beschädigt“, zerstört der Dieb beispielsweise die Wohnungseinrichtung, dürfte der Anwendungsbereich eröffnet sein.

Ferner müsste das Smart-Home-Produkt ein „Produkt“ im Sinne des Produkthaftungsgesetzes sein. Weist dessen Software die IT-Sicherheitslücken auf, stellt sich die Frage, ob Software als ein solches „Produkt“ anzusehen ist. Mittlerweile ist jedoch anerkannt, dass Software ein Produkt im Sinne des Produkthaftungsgesetzes darstellt, wenn sie in verkörperter Form vorliegt. Hiervon ist bei Smart–Home- Produkten regelmäßig auszugehen.

Nun müsste das Smart-Home-Produkt noch fehlerhaft sein. Die Beantwortung dieser Frage orientiert sich an den gleichen objektiven Maßstäben wie bei der Frage, ob eine Verkehrssicherungspflicht verletzt wurde. Es gilt: Jedenfalls die Implementierung eines Mindestniveaus an IT-Sicherheit dürfte zwingend sein. Gehaftet wird jedoch nur, wenn sich der Fehler „kausal“ auf die Rechtsgutsverletzung und den Schaden ausgewirkt hat.

Kann auch dies bejaht werden, hat der Hersteller des Smart-Home-Produktes, Ersatz für Personen- und Sachschäden zu leisten. Nur bei Sachschäden hat der Verbraucher eine Selbstbeteiligung in Höhe von bis zu 500 Euro zu tragen. Von Vorteil für den Verbraucher ist beim Produkthaftungsgesetz, dass die Schadensersetzung zum einen unabhängig vom Verschuldensgrad des Herstellers ist und zum anderen keine zeitliche Begrenzung für diese Ansprüche besteht. Ansprüche aus dem Produkthaftungsgesetz können also für die Erlangung von Schadensersatz erfolgsversprechender sein als bei der vertraglichen Haftung oder der Produzentenhaftung.

4. Resümee

Abschließend ist festzuhalten, dass Smart-Home-Produkte zwar einen gewissen Grad an IT-Sicherheit aufweisen müssen. Eine genaue Ausgestaltung, wie groß das Maß an IT-Sicherheit sein muss, ist jedoch im Einzelfall zu bestimmen.

Der Ersatz von Schäden, die auf IT-Sicherheitslücken von Smart-Home-Produkten beruhen, ist zwar grundsätzlich möglich, allerdings kann es im Einzelfall äußerst schwierig sein, diese durchzusetzen. Es ist deshalb jedem Verbraucher anzuraten, zusätzlich eigene IT-Sicherheitsmaßnahmen, vor allem zum Schutz seines Netzwerkes, zu ergreifen, um bestmöglich selbst etwaigen Schäden vorzubeugen.