Cyber Resilience Act: Der neue digitale TÜV – Ihre Rechte bei Sicherheitslücken in smarten Geräten

Bild: KI-generiert, dient nur zur Veranschaulichung

Ihr smarter Fernseher streikt, der Saugroboter überträgt plötzlich unverschlüsselt Daten ins Netz, oder Ihre teure Smartwatch wird durch eine Software-Lücke zum Sicherheitsrisiko – und der Hersteller zuckt nur mit den Schultern? Damit ist jetzt Schluss. Mit dem neuen Cyber Resilience Act auf europäischer Ebene und verschärften Gesetzen im Bürgerlichen Gesetzbuch (BGB) haben Sie endlich handfeste Rechte auf Sicherheits-Updates für Ihre vernetzten Geräte.

Das Wichtigste in Kürze

• Ein digitaler TÜV kommt: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird künftig darüber wachen, dass smarte Geräte grundlegende IT-Sicherheitsstandards einhalten, bevor sie überhaupt verkauft werden dürfen.
• Gesetzliche Update-Pflicht: Verkäufer müssen Ihnen für smarte Geräte über einen angemessenen Zeitraum Funktions- und Sicherheits-Updates zur Verfügung stellen.
• Gerät ohne Update ist mangelhaft: Bleiben notwendige Aktualisierungen aus, gilt das Gerät rechtlich als defekt. Sie können dann Reparatur, Preisminderung oder sogar Ihr Geld zurückverlangen.
• Ihre Mitwirkungspflicht: Wenn der Hersteller ein Update bereitstellt, müssen Sie dieses auch zeitnah installieren. Wer Updates ignoriert, verliert bei daraus resultierenden Schäden seine Rechte.

Der Cyber Resilience Act: Das BSI als digitaler Türsteher

Bisher war der Markt für smarte Geräte, das sogenannte “Internet of Things” (IoT), ein bisschen wie der Wilde Westen. Vom smarten Kühlschrank bis zur WLAN-Steckdose kam vieles auf den Markt, was IT-Sicherheit nur aus dem Lexikon kannte. Standard-Passwörter wie “admin123”, die sich nicht ändern ließen, waren an der Tagesordnung.

Der neue europäische Cyber Resilience Act ändert die Spielregeln grundlegend. Er sorgt dafür, dass Produkte mit digitalen Elementen künftig “Secure by Design” sein müssen – die Sicherheit muss also schon bei der Entwicklung eingebaut werden. In Deutschland übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig die Rolle eines “digitalen TÜVs”. Vernetzte Produkte werden strenger kontrolliert. Wenn ein Hersteller gravierende Sicherheitslücken in seinen Geräten nicht schließt, kann das BSI künftig sogar Verkaufsverbote verhängen oder Rückrufe anordnen. Das Produktsicherheitsgesetz (ProdSG) und das BSI-Gesetz (BSIG) werden entsprechend angepasst, damit IT-Sicherheit genauso wichtig wird wie der Schutz vor einem Stromschlag.

Ihr Recht auf das rettende Update

Was aber, wenn Sie das Gerät schon zu Hause stehen haben? Hier greift das deutsche Bürgerliche Gesetzbuch (BGB) ein, das unsere Verbraucherrechte enorm gestärkt hat. Das Zauberwort lautet: Waren mit digitalen Elementen.

In § 475b BGB und § 327f BGB ist die sogenannte Aktualisierungspflicht verankert. Das bedeutet einfach gesagt: Wenn Sie ein smartes Gerät kaufen, schuldet Ihnen der Verkäufer nicht nur die Hardware, sondern auch die Software-Updates, die nötig sind, damit das Gerät sicher und funktionsfähig bleibt. Das Gesetz sagt, diese Updates müssen für einen Zeitraum bereitgestellt werden, den Sie als Verbraucher “aufgrund der Art und des Zwecks der Ware […] erwarten können”. Bei einem billigen USB-Stick mag das kurz sein, bei einem teuren Smart-TV oder einer Heizungssteuerung sind das durchaus mehrere Jahre.

Wie wichtig klare Regeln hier sind, zeigt ein Blick in die Vergangenheit. Ein Käufer in Rheinland-Pfalz hatte sich eine teure Digitalkamera gekauft. Im Prospekt wurde vollmundig versprochen, die Kamera sei dank “kostenloser Firmware-Updates” quasi immer auf dem neuesten Stand der Technik. Doch schon kurz nach dem Kauf stellte der Hersteller die Produktion und die Updates komplett ein. Der Käufer klagte auf Rückzahlung seines Geldes. Das Oberlandesgericht Koblenz wies die Klage damals ab (Aktenzeichen: 6 U 268/08), weil der reine Stopp des Supports nach damaligem Recht schwer greifbar war. Heute, mit den neuen Paragraphen zur Update-Pflicht, wäre der Fall glasklar: Ein solches Gerät entspricht nicht mehr den gesetzlichen Anforderungen.

Wenn das Update fehlt: Das Gerät ist rechtlich “kaputt”

Was passiert nun, wenn eine Sicherheitslücke bekannt wird und der Hersteller einfach kein Update liefert? Das Gesetz ist hier erfreulich deutlich.

Nach § 434 BGB in Verbindung mit § 327e BGB ist ein Produkt schlichtweg mangelhaft (also rechtlich “kaputt”), wenn die geschuldeten Updates fehlen. Es erfüllt dann nicht mehr die sogenannten “objektiven Anforderungen” an die Sicherheit, die bei solchen Geräten üblich sind.

Für Sie bedeutet das: Sie haben die vollen Gewährleistungsrechte. Sie können zum Händler (nicht zum Hersteller!) gehen und Nacherfüllung verlangen. Wenn der Händler das Software-Problem nicht lösen kann, können Sie den Kaufpreis mindern oder vom Vertrag zurücktreten – also das Gerät zurückgeben und Ihr Geld wiederbekommen.

Vorsicht Falle: Wer Updates ignoriert, haftet selbst

Jetzt kommt allerdings das Kleingedruckte, bei dem Sie als Nutzer aufpassen müssen. Die Rechte sind stark, aber sie fordern auch Ihre Mitarbeit.

In § 475b Abs. 5 BGB steht eine ganz wichtige Einschränkung: Wenn der Hersteller ein Update bereitstellt und Sie darüber informiert, Sie es aber einfach nicht installieren, dann haftet der Verkäufer nicht für Fehler, die genau auf dieses fehlende Update zurückzuführen sind. Wer also die nervige “Bitte aktualisieren”-Meldung auf dem Bildschirm wochenlang wegklickt, ist bei einem Hackerangriff selbst schuld.

Das Prinzip der Eigenverantwortung bei der Installation hat in der Rechtsprechung Tradition. Schon 2013 stellte der Bundesgerichtshof (BGH) in einem Fall um einen geplatzten Heißwasser-Boiler klar (Aktenzeichen: VI ZR 1/12): Ein Hersteller muss sein Produkt nur für die “vorhersehbare übliche Verwendung unter Beachtung der Gebrauchs- bzw. Installationsanleitung” sicher machen. Wer ein Gerät völlig fachwidrig und entgegen der Anleitung installiert, kann den Hersteller später nicht für den Wasserschaden haftbar machen.

Genau diese Logik wendet das BGB nun auf die digitale Welt an. Die Ausnahme: Wenn die Installationsanleitung für das Update so fehlerhaft oder unverständlich war, dass Sie es deshalb falsch oder gar nicht installieren konnten, bleiben Ihre Rechte erhalten.

Was Sie jetzt tun können

1. Dokumentieren Sie Versprechen: Machen Sie Screenshots von Werbeaussagen oder Produktbeschreibungen beim Kauf. Wenn der Hersteller dort “5 Jahre garantierte Sicherheits-Updates” verspricht, wird diese Aussage Teil Ihres Kaufvertrags und ist rechtlich bindend.
2. Aktivieren Sie Auto-Updates: Gehen Sie in die Einstellungen Ihrer smarten Geräte (TV, Router, Saugroboter) und aktivieren Sie die automatische Installation von Updates. So kommen Sie Ihrer gesetzlichen Mitwirkungspflicht ganz bequem nach.
3. Wenden Sie sich an den Händler: Wenn ein Gerät wegen einer Software-Lücke spinnt, ist Ihr erster Ansprechpartner immer der Verkäufer (der Händler, bei dem Sie gekauft haben), nicht der Hersteller in Asien. Der Händler ist Ihr Vertragspartner für die gesetzliche Gewährleistung.
4. Setzen Sie Fristen: Wenn ein wichtiges Sicherheits-Update fehlt, fordern Sie den Händler schriftlich zur “Nacherfüllung” auf und setzen Sie eine konkrete Frist (z.B. 14 Tage). Verstreicht diese fruchtlos, können Sie die Rückgabe des Geräts gegen Erstattung des Kaufpreises fordern.

Fazit

Die Zeiten, in denen Käufer von smarten Geräten bei Software-Fehlern und Sicherheitslücken im Regen standen, sind vorbei. Mit dem Cyber Resilience Act und der Update-Pflicht im BGB hat der Gesetzgeber den digitalen TÜV eingeführt und Ihre Rechte massiv gestärkt. Nutzen Sie diese Rechte selbstbewusst – denn echte IT-Sicherheit fängt beim Kauf an und endet erst, wenn das Gerät endgültig entsorgt wird.