Festschrift für Jürgen Taeger

Die Gefahrenlage beim Betrieb von Kraftfahrzeugen ist allerdings eine spezielle: Er geht mit einer besonderen Gefahrenlage einher (sog. Betriebsgefahr44), welche unter anderem zu eigenen Haftungsgrundlagen wie der Halter- und der Führerhaftung gem. §§ 7 und 18 StVG geführt hat. Sie ist bei der Bestimmung der einschlägigen Gefahrenabwendungsmaßnahme zu berücksichtigen.

Der Einsatz von Software in Automobilen potenziert die genannte Gefahr. Ging diese bis vor wenigen Jahren noch ausschließlich vom Fahrer aus, kann sie nun durch das Auto selbst – genauer durch Fehlverhalten des Wagens begründende Softwarefehler – als auch durch gezielte Ein- bzw. Angriffe von Hackern hervorgerufen werden. Die Art der Gefahr bleibt dabei dieselbe; betroffen sind bei Kfz-Unfällen Leib und Leben der Insassen und (un-)beteiligter Dritter, mithin die gewichtigsten Rechtsgüter der betroffenen Personen.

Wird also im Rahmen der aufgrund dieses gewichtigen Gefahrenpotenzials umfangreichen Produktbeobachtung ein Fehler bzw. eine Sicherheitslücke in der Embedded Software eines vernetzten Kraftfahrzeuges entdeckt, muss zunächst geklärt werden, welche Funktionalitäten des Wagens davon betroffen sind, um einschätzen zu können, welche konkreten (fehlerbedingten) Gefahren von dem Fahrzeug ausgehen können. Zweifel müssen dabei grundsätzlich zulasten des Herstellers gehen,45 da ansonsten die Zielsetzung, Gefahren vorzubeugen, untergraben würde. Besteht daher das Risiko, dass sich der entdeckte Fehler bzw. die entdeckte Sicherheitslücke lebens- bzw. gesundheitsgefährdend auswirken könnte, ist die Grenze des Zumutbaren sehr hoch zu stecken. Anders als bei (sonstigen) analogen Geräten wird sich in der Folge die Auswahl der verfügbaren Gefahrenabwendungsmaßnahmen auf die effektivste, mithin auf die Durchführung von OTA-Updates reduzieren.

Zusammenfassend ergibt sich aus der deliktischen Produzentenhaftung eine Pflicht der Automobilhersteller, entdeckte Fehler bzw. Sicherheitslücken in der von ihnen eingesetzten integrierten Software durch Updates zu schließen, soweit die Grenze des wirtschaftlich Zumutbaren unter Beachtung des vom entdeckten Fehler ausgehenden Gefahrenpotenzials nicht überschritten ist. Alternativ stehen ihnen nach wie vor die Maßnahmen der Warnung und des Produktrückrufs zur Verfügung, allerdings nur, wenn die Gefahr dadurch angemessen beseitigt werden kann. Handelt es sich bei den betroffenen Fahrzeugen um Connected Cars, stellt sich die Durchführung von Updates über das Internet als effektivste (und vergleichsweise kostengünstigste) Lösung dar, sodass in solchen Fällen aufgrund der mit dem Betrieb von Kraftfahrzeugen grundsätzlich und im Falle von vernetzten Fahrzeugen in besonderem Maße verbundenen Gefahr für Leib und Leben von einer Pflicht zur Durchführung von OTA-Updates auszugehen ist.46

Steht also fest, dass ein vernetztes Fahrzeug derart fehlerbehaftet ist, dass von ihm eine Gefahr ausgehen kann, kann der Hersteller – wie dargelegt – verpflichtet sein, ein Update, insbesondere ein OTA-Update durchzuführen.

Gänzlich unberücksichtigt geblieben ist bisher allerdings die Frage, ob der Hersteller hierauf auf die Mitwirkung des Fahrzeugnutzers angewiesen ist, ob also eine Zustimmung des Nutzers erforderlich ist.47 Dürfte der Nutzer die Durchführung des Updates verweigern, könnte sich die oben postulierte Update-Durchführungspflicht auf eine Update-Bereitstellungspflicht reduzieren.

Praxisbeispiele zeigen, dass Updates aktuell nur nach vorheriger Einwilligung des jeweiligen Fahrzeugnutzers installiert werden. So werden diese beispielsweise über in den Fahrzeugen installierte Schnittstellen oder über entsprechende Handy-Apps informiert, dass ein Update zur Verfügung steht. Die Installation erfolgt dann nach Aktivierung durch den Nutzer.

Dass sich die Hersteller durch ein solches Vorgehen einer Vielzahl von Risiken aussetzen, soll im Folgenden gezeigt werden (a)). Anschließend soll ein Vorschlag für eine dogmatische Verankerung einer Duldungspflicht der Fahrzeugnutzer hinsichtlich der Durchführung notwendiger Updates erarbeitet (b)) und der Umfang einer solchen Pflicht bestimmt werden (c)).

Wie bereits angerissen, wird bei der Durchführung von Updates der Software von vernetzten Automobilen aktuell auf die Mitwirkung des Nutzers gesetzt. Hält man diese Zustimmung für erforderlich, um das Update durchführen zu können, misst man ihr offenbar rechtswirksamen Charakter zu.48

In diesem Fall drängen sich eine Vielzahl von Fragen auf: Wie ist damit umzugehen, sollte nicht der berechtigte Fahrzeugnutzer das Update freigeben, sondern eine dritte, sich zum Zeitpunkt der Zustimmungsabfrage zufälligerweise im Auto bzw. am betreffenden Handy befindliche Person? Wie wirkt es sich aus, wenn diese dritte Person minderjährig oder gar geschäftsunfähig ist? Insbesondere diese letzte Situation wird mit einer nicht zu vernachlässigenden Wahrscheinlichkeit auftreten, da dieselbe Schnittstelle – sei es der Board Computer wie auch das Handy – im Alltag regelmäßig von Dritten einschließlich minderjähriger Kinder der Fahrzeugnutzer verwendet werden.49 Fraglich ist aber auch ganz grundsätzlich, wer der berechtigte Fahrzeugnutzer ist. Ist in Leasingkonstellationen auf den Fahrzeugeigentümer oder auf den langfristigen Nutzer, also den Leasingnehmer abzustellen?

Während auf die aufgeworfenen rechtlichen Fragen akzeptable Antworten gefunden werden können,50 stellt die Annahme eines Zustimmungserfordernisses durch den berechtigten Fahrzeugnutzer die Hersteller vor ein schwerwiegendes Problem tatsächlicher Natur. Ist ein solches Zustimmungserfordernis gegeben, bedeutet dies im Umkehrschluss auch ein Zustimmungsverweigerungsrecht der Fahrzeugnutzer. Zwar könnte, sollte es nach einem aufgrund einer Zustimmungsverweigerung nicht erfolgten Update zu einem Unfall und entsprechenden Schäden kommen, der Hersteller sich die Zustimmungsverweigerung wohl als Mitverschulden gem. § 254 BGB anspruchsmindernd anrechnen lassen.51 Die wirtschaftlichen Risiken im Zusammenhang mit dieser deliktischen Haftung des Herstellers aus §§ 823ff. BGB wären daher kontrollierbar. Allerdings ist zu beachten, dass – wie bereits mehrfach dargelegt – Unfälle mit Kraftfahrzeugen neben kostspieligen Sachschäden ohne Weiteres gravierende Gesundheitsschäden bis hin zum Tod der Fahrzeuginsassen und sonstiger Dritter verursachen können. Die zu erwartende negative Berichterstattung in der Presse, welche nach einem Unfall aufgrund einer nicht geschlossenen Sicherheitslücke oder eines sonstigen Fehlers in der Software eines vernetzten Autos mit Sicherheit folgen würde, sowie der möglicherweise massive Vertrauensverlust bereits bestehender Kunden als auch potenzieller Neukunden in die betreffende Technologie und die Marke als solche stellen ein nicht zu vernachlässigendes wirtschaftliches Risiko für die Automobilhersteller dar.52

Das aufgezeigte Risiko ließe sich nur dann minimieren, wenn der Hersteller die erforderlichen Updates flächendeckend bei allen betroffenen Fahrzeugen durchführen könnte, wenn also die Fahrzeugnutzer zur Duldung der Durchführung von Updates verpflichtet wären.

Die Herleitung einer solchen Duldungspflicht des berechtigten Fahrzeugnutzers ist jedoch nicht ganz einfach.

Denkbar wäre zunächst, eine Mitwirkungspflicht hinsichtlich der Abwendung von Schäden des Vertragspartners bzw. hinsichtlich der Erfüllung seiner Pflichten bzgl. des Produktes anzunehmen. Dies würde bedeuten, dass der Fahrzeugnutzer aufgrund eines vertraglichen Verhältnisses verpflichtet wäre, die Durchführung des Updates zu dulden, da der Vertragspartner, also der Hersteller, ansonsten nicht zumutbaren (Reputations-)Schäden ausgesetzt wäre oder seiner Gefahrenabwendungspflicht aus der deliktischen Produzentenhaftung nicht ausreichend nachkommen könnte. Anknüpfungspunkt für eine solche Duldungspflicht wäre § 241 Abs. 2 BGB, welcher die Vertragsparteien dazu verpflichtet, auf die Rechte, Rechtsgüter und Interessen des jeweils anderen Teils Rücksicht zu nehmen.