Sind IT-Sicherheitslücken ein Sachmangel?
Sehr geehrte Damen und Herren,
ich habe mir vor rund acht Monaten bei einem großen Elektronikhändler ein neues Smartphone gekauft. Das Gerät verfügt über einen Prozessor vom Typ "Snapdragon 430". Anfang dieses Monats hat der Prozessorhersteller Qualcomm eingeräumt, dass das WLAN-Modem des Prozessors (und etlicher vergleichbarer) eine gravierende Sicherheitslücke besitzt, die es Angreifern ermöglicht, das gesamte Gerät zu kapern (s.a. https://www.qualcomm.com/company/product-security/bulletins, https://www.theregister.co.uk/2019/08/06/qualcomm_android_security_patches/). Das BSI warnt (https://www.cert-bund.de/advisoryshort/CB-K19-0689) vor der Verwendung betroffener Geräte.
Ich kann mein Smartphone jetzt also nicht mit WLAN nutzen; Wobei ich nicht sicher bin, dass das reine Abschalten von WLAN die Sicherheitslücke überhaupt hinreichend mitigiert. Falls ein Angreifer Vollzugriff auf das Gerät erlangen kann, sind auch alle dort gespeicherten Passwörter kompromitiert.
Ein Update für das Betriebssystem Android an sich steht seit etwa einer Woche bereit. Der Hersteller meines Smartphones hat aber bisher kein Update für das von mir verwendete Modell zur Verfügung gestellt – das letzte "große" Android-Update für mein Smartphone ist fünf Monate alt.
Ich habe mich daher an den Händler (den Elektronikmarkt) gewandt. Meiner Auffassung handelt es sich hier um einen Fehler, der zweifelsfrei bereits bei Auslieferung vorlag. Der Fehler schränkt mich in der Nutzung erheblich ein und gefährdet die Sicherheit und Vertrautheit meiner Kommunikation (und der Dritter). Ich habe den Händler daher aufgefordert, den Mangel zu beheben, also z.B. ein Update zur Verfügung zu stellen.
Daraufhin schrieb der Händler mir: "Ein (sic) nachträglich entdeckte Sicherheitslücke im Betriebssystem Android stellt kein (sic) Mangel da, welcher über die gesetzliche Gewährleistung abgedeckt wird." Diese Einschätzung überrascht mich: Das Smartphone eignet sich offensichtlich nicht für die gewöhnliche Verwendung von Smartphones (nämlich neben dem Telefonieren noch zu Surfen, und das auch per WLAN), so wie das Gerät auch beworben wurde.
Folgt die Argumentation des Elektronikhändlers der üblichen Lehrmeinung in dieser Sache? Gibt es vergleichbare Fälle, in denen ein Kunde einen Händler erfolgreich zur Nachbesserung (bzw., da der Hersteller anscheinend nicht nachbessern will, vermutlich eher zur Rückabwicklung des Kaufvertrags) gebracht hat? Habe ich eine realistische Chance, auf Nachbesserung zu bestehen?
