Die Nutzung von Health-Apps ist nur so sicher wie das unsicherste Element in der Nutzungskette. Daher ist es als bedenklich zu bewerten, dass Smartphones teils schon mit Sicherheitslücken und fehlenden Updates verkauft werden. Das Oberlandesgerichts Köln meint jedoch: Händler müssen auf diesen Umstand nicht hinweisen.

Neues Gerät mit 15 Sicherheitslücken

Die Verbraucherzentrale Nordrhein-Westfalen hatte bei dem beklagten Elektronikmarkt Testkäufe durchgeführt und die erworbenen Smartphones von Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) auf Sicherheitslücken untersuchen lassen. Eines der Geräte wies 15 von 28 getesteten Sicherheitslücken auf, ein anderes nur eine Sicherheitslücke, obwohl bei beiden Geräten nominell dieselbe ältere Version des Betriebssystems Android werksseitig aufgespielt war.

Das BSI gelangte zu der Einschätzung, dass das Gerät mit den 15 Sicherheitslücken für die Nutzer ein eklatantes Sicherheitsrisiko darstelle. Nachdem sich das BSI erfolglos an den Hersteller gewandt hatte, verlangte der Kläger vom Betreiber des Elektronikmarktes, die Geräte nicht weiter ohne Hinweis auf die Sicherheitslücken zu verkaufen.

OLG: Hinweis auf Sicherheitslücken ist ein unzumutbarer Aufwand

Die in der Folge erhobene Unterlassungsklage haben Landgericht und Oberlandesgericht Köln abgewiesen.

„… Zwar sei die Information über das Vorliegen von Sicherheitslücken für die Verbraucher von großer Bedeutung, da hierdurch die Privatsphäre der Verbraucher verletzt und erlangte Daten zu betrügerischen Zwecken missbraucht werden könnten. Es sei aber auch zu berücksichtigen, dass die Beklagte die Sicherheitslücken nur durch Tests feststellen könne, welche sich auf den jeweiligen Typ des Smartphones beziehen müssten. Auch sei es nicht möglich, alle vorhandenen Sicherheitslücken festzustellen. Alle Anbieter von Betriebssystemen würden selbst immer wieder – teilweise erst aufgrund von Angriffen durch Dritte – Sicherheitslücken im Betriebssystem finden. Schließlich könnten sich die feststellbaren Sicherheitslücken jederzeit ändern, so dass die Beklagte die Tests in regelmäßigen Abständen wiederholen müsste. … Nichts anderes gelte für die Information über die Bereitstellung von Sicherheitsupdates. … Eine Revision wurde nicht zugelassen.“pi OLG Köln, 31.10.2019

Was bedeutet das für die Nutzung von z.B. Health Apps?

Werden Health Apps auf Smartphones genutzt, die nicht den neuesten Sicherheitsrichtlinien entsprechen, können die gespeicherten oder ggf. übertragenen Gesundheitsdaten von Cyberkriminellen ausgespäht werden.

Was ist also zu tun?

  • Das genutzte Smartphone-Modell sollte möglichst neu sein. (Finger weg vom „Ladenhüter“.)
  • Das Betriebssystem aktuell halten.
  • Alle genutzten Apps aktuell halten.
  • Firewall und Virenscanner auch auf dem Smartphone nutzen.

(Quelle: pi OLG Köln, PM 38/19, 31.10.2019, Urteil OLG Köln vom 30.10.2019 – AZ.: 6 U 100/19)