Читать книгу Festschrift für Jürgen Taeger - Группа авторов - Страница 20

Die Produktbeobachtungspflicht sowie die damit verknüpfte Pflicht zur Abwendung von Gefahren stehen generell unter dem Vorbehalt der (wirtschaftlichen) Zumutbarkeit.30 Damit kann überhaupt nur dann eine Pflicht zur Bereitstellung und ggf. Durchführung von OTA-Updates bestehen, wenn die betreffenden Fahrzeuge mit der für die Durchführung von solchen Updates erforderlichen Technologie ausgestattet sind.31

Festzuhalten ist außerdem, dass dem Käufer eines fehlerbehafteten Gegenstandes kein Anspruch auf Nachbesserung aus der Produzentenhaftung zukommt.32 Letztere ist im Deliktsrecht verortet und dient nicht dazu, die auf das Erfüllungsinteresse des Käufers gerichteten vertraglichen Ansprüche auszuweiten.33 Aus diesem Grund wird im Schrifttum eine Pflicht zur Behebung von Sicherheitslücken durch Patches teilweise abgelehnt.34

Das Fehlen eines auf die Bereitstellung von Software-Updates gerichteten Anspruchs des Kfz-Käufers aus der Produzentenhaftung steht allerdings der Annahme einer entsprechenden Pflicht des Automobilherstellers grundsätzlich nicht entgegen. Kann der Käufer das Update zwar deliktsrechtlich nicht einfordern, so führt die pflichtwidrig unterlassene Gefahrenabwendung doch zu Schadensersatzansprüchen des Käufers gegenüber dem Hersteller. Denn: Dass sich aus der Produzentenhaftung nicht nur die Pflicht der Hersteller zur Haftung ergibt, sondern vielmehr eine auf die Abwendung eines diese begründenden Schadenfalls gerichtete Gefahrenbeseitigungspflicht, ist unumstritten (siehe bereits oben).

Sehr wohl umstritten ist allerdings der Umfang dieser Gefahrbeseitigungspflicht. Der BGH stellt richtungsweisend auf die Effektivität der Gefahrenabwehr ab.35 In der Folge sind alle Maßnahmen zu ergreifen, die die Gefahr beseitigen. Begrenzt wird diese Pflicht freilich durch die technische Möglichkeit der Gefahrenbeseitigung und die wirtschaftliche Zumutbarkeit. Eine allgemeingültige Festlegung dieser Zumutbarkeitsgrenze lässt sich nicht vornehmen, vielmehr ist die Zumutbarkeit für jeden Einzelfall neu zu bewerten.36 Grund für die dogmatische Entwicklung der Produzentenhaftung war und ist die Annahme, dass Hersteller für Gefahren, die von den von ihnen in Umlauf gebrachten Produkten ausgehen, haften sollen. Sie bleiben demnach weiterhin für die ursprünglich von ihnen gesetzte Gefahr verantwortlich. Die Bewertung der Zumutbarkeit muss sich daher richtigerweise an der Schwere der drohenden Gefahr sowie der Wahrscheinlichkeit ihrer Realisierung orientieren. Je schwerwiegender und wahrscheinlicher der Schadenseintritt ist, desto höher muss die Grenze des Zumutbaren gesteckt werden.37

Diese Überlegungen wurden bisher nur im Hinblick auf Warnungen und Rückrufaktionen vorgenommen. Eine Beschränkung auf diese Maßnahmen erscheint allerdings nicht zwingend.38 Die Fokussierung auf die vorgenannten Gefahrenabwehrmaßnahmen ist vielmehr auf die bisherigen tatsächlichen Begebenheiten zurückzuführen: Gefahren, die von „analogen“ Gegenständen ausgehen, lassen sich in der Regel – wenn überhaupt – nur unter erheblichem Aufwand durch Reparaturen abwenden. Ansonsten kann die Gefahrenabwendung nur dadurch erfolgen, dass die Verwendung des Gegenstands im Allgemeinen oder die die Gefahr begründende spezifische Verwendungsart unterlassen wird. Aufgrund dieser tatsächlichen Umstände stellt das Aussprechen angemessener Warnungen in solchen Fällen grundsätzlich die einzige (wirtschaftlich) zumutbare Maßnahme dar. Nur in Fällen, in denen von dem betreffenden Gegenstand solch erhebliche Gefahren ausgehen, dass die bloße Warnung nicht ausreicht, kann auf die eingriffsintensivere Rückrufpflicht zurückgegriffen werden.39

Bei vernetzten Gegenständen stellt sich die Situation hingegen anders dar. Fehler bzw. Sicherheitslücken in der Embedded Software können mittels OTA-Updates effektiv behoben werden, sodass sich die individualisierte Gefahr nicht mehr realisieren kann. Solche Updates werden also in aller Regel die effektivste Form der Gefahrenabwehr darstellen,40 sodass es dem Schutzzweck der Produzentenhaftung widerspräche, OTA-Updates nicht als Gefahrenabwendungsmaßnahme im Rahmen der Produktbeobachtungspflicht anzuerkennen.41

Nicht geklärt ist damit aber, wie sich die insofern prinzipiell bestehende Update-Pflicht zu den klassischen Gefahrenabwehrmaßnahmen verhält. § 823 BGB verlangt eine möglichst effektive Gefahrenabwehr. Die Hersteller sind aber nicht verpflichtet, die bestmögliche Lösung umzusetzen, sondern die effektivste, ihnen wirtschaftlich zumutbare. Zu beachten ist außerdem, dass die Produzentenhaftung nicht auf die Wahrung des Äquivalenzinteresses des Nutzers des betreffenden Gegenstandes, sondern auf die Wahrung des Integritätsinteresses aller der Gefahr ausgesetzten Personen gerichtet ist.42 Bei der Überlegung, welche Art der Gefahrenabwehr umzusetzen ist, ist einer Reparatur bzw. einem Software-Update also nicht deshalb der Vorzug einzuräumen, weil die Nutzbarkeit des Gegenstandes dadurch erhalten bleiben kann. Vielmehr ist unter Berücksichtigung der Schwere der Gefahr, ihrer Eintrittswahrscheinlichkeit und dem für die Umsetzung der jeweiligen Gefahrenabwendungsmaßnahme entstehenden (wirtschaftlichen) Aufwand beim Hersteller im Einzelfall zu entscheiden, welche Maßnahme anzuwenden ist.43 Im Ergebnis kann also auch für den Fall, dass es die technische Möglichkeit der Gefahrenabwendung durch ein Software-Update gibt, eine Warnung ausreichend sein, um der Produktbeobachtungspflicht zu genügen.

Die Gefahrenlage beim Betrieb von Kraftfahrzeugen ist allerdings eine spezielle: Er geht mit einer besonderen Gefahrenlage einher (sog. Betriebsgefahr44), welche unter anderem zu eigenen Haftungsgrundlagen wie der Halter- und der Führerhaftung gem. §§ 7 und 18 StVG geführt hat. Sie ist bei der Bestimmung der einschlägigen Gefahrenabwendungsmaßnahme zu berücksichtigen.

Der Einsatz von Software in Automobilen potenziert die genannte Gefahr. Ging diese bis vor wenigen Jahren noch ausschließlich vom Fahrer aus, kann sie nun durch das Auto selbst – genauer durch Fehlverhalten des Wagens begründende Softwarefehler – als auch durch gezielte Ein- bzw. Angriffe von Hackern hervorgerufen werden. Die Art der Gefahr bleibt dabei dieselbe; betroffen sind bei Kfz-Unfällen Leib und Leben der Insassen und (un-)beteiligter Dritter, mithin die gewichtigsten Rechtsgüter der betroffenen Personen.

Wird also im Rahmen der aufgrund dieses gewichtigen Gefahrenpotenzials umfangreichen Produktbeobachtung ein Fehler bzw. eine Sicherheitslücke in der Embedded Software eines vernetzten Kraftfahrzeuges entdeckt, muss zunächst geklärt werden, welche Funktionalitäten des Wagens davon betroffen sind, um einschätzen zu können, welche konkreten (fehlerbedingten) Gefahren von dem Fahrzeug ausgehen können. Zweifel müssen dabei grundsätzlich zulasten des Herstellers gehen,45 da ansonsten die Zielsetzung, Gefahren vorzubeugen, untergraben würde. Besteht daher das Risiko, dass sich der entdeckte Fehler bzw. die entdeckte Sicherheitslücke lebens- bzw. gesundheitsgefährdend auswirken könnte, ist die Grenze des Zumutbaren sehr hoch zu stecken. Anders als bei (sonstigen) analogen Geräten wird sich in der Folge die Auswahl der verfügbaren Gefahrenabwendungsmaßnahmen auf die effektivste, mithin auf die Durchführung von OTA-Updates reduzieren.

Zusammenfassend ergibt sich aus der deliktischen Produzentenhaftung eine Pflicht der Automobilhersteller, entdeckte Fehler bzw. Sicherheitslücken in der von ihnen eingesetzten integrierten Software durch Updates zu schließen, soweit die Grenze des wirtschaftlich Zumutbaren unter Beachtung des vom entdeckten Fehler ausgehenden Gefahrenpotenzials nicht überschritten ist. Alternativ stehen ihnen nach wie vor die Maßnahmen der Warnung und des Produktrückrufs zur Verfügung, allerdings nur, wenn die Gefahr dadurch angemessen beseitigt werden kann. Handelt es sich bei den betroffenen Fahrzeugen um Connected Cars, stellt sich die Durchführung von Updates über das Internet als effektivste (und vergleichsweise kostengünstigste) Lösung dar, sodass in solchen Fällen aufgrund der mit dem Betrieb von Kraftfahrzeugen grundsätzlich und im Falle von vernetzten Fahrzeugen in besonderem Maße verbundenen Gefahr für Leib und Leben von einer Pflicht zur Durchführung von OTA-Updates auszugehen ist.46