24.06.2022

Zulässigkeit von Produktwarnungen durch Aufsichtsbehörden

I. Produktwarnung bei IT-Produkten

Immer wieder kommt es vor, dass Aufsichtsbehörden öffentliche Produktwarnungen aussprechen, was für die Hersteller der betreffenden Produkte weitreichende Reputationsschäden zur Folge haben kann. Weltweite Beachtung hat zuletzt die öffentliche Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor der Nutzung von Virenschutzprodukten des russischen Unternehmens Kaspersky gefunden. Grund für die Warnung vom 15. März 2022 war laut BSI das „Vorgehen militärischer und/ oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland“. Daher sei der Einsatz von Kapersky-Programmen mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden. Ein Eilantrag des Herstellers auf Erlass einer einstweiligen Anordnung auf Unterlassung und Widerruf der Warnung wurde durch das Verwaltungsgericht Köln bereits abgelehnt.

II. Voraussetzungen für behördliche Produktwarnungen

Im Regelfall ist eine spezielle, gesetzlich normierte Ermächtigungsgrundlage erforderlich, wenn eine Aufsichtsbehörde eine öffentliche Produktwarnung aussprechen möchte. Diese legt die Voraussetzungen für die Zulässigkeit von Produktwarnungen fest und kann darüber hinaus besondere Rechte der betroffenen Hersteller bestimmen, wie etwa ein Anhörungs- oder Informationsrecht im Vorfeld der öffentlichen Warnung. Für das BSI ergibt sich eine solche Ermächtigungsgrundlage aus § 7 BSIG. Hiernach ist das BSI ermächtigt, die Öffentlichkeit vor Sicherheitslücken in informationstechnischen Produkten und Diensten, vor Schadprogrammen und vor dem Verlust oder unerlaubten Zugriff auf Daten zu warnen, sowie über sicherheitsrelevante IT-Eigenschaften von Produkten zu informieren.

III. Gegenmaßnahmen betroffener Hersteller

Öffentliche Produktwarnungen können für die betroffenen Hersteller weitreichende Folgen haben. So sehen beispielsweise die Nutzungsbedingungen der gängigen App-Stores vor, dass Apps aus dem Store entfernt oder dort gesperrt werden können oder ihre Sichtbarkeit eingeschränkt werden kann, wenn diese sicherheitsbezogene oder den Ruf des Store-Betreibers betreffende Auswirkungen haben können. Eine öffentliche Warnung durch – in diesem Fall – das BSI würde solche Auswirkungen implizieren. Zudem könnte eine Warnung weitere Aufsichtsbehörden alarmieren, beispielweise die zuständige Datenschutzaufsichtsbehörde im Falle einer Warnung vor IT-Sicherheitslücken.

In vielen Fällen geht einer öffentlichen Produktwarnung eine entsprechende Untersuchung durch die jeweilige Aufsichtsbehörde voraus. In diesem Rahmen kann etwa das BSI gemäß § 7a BSIG Auskünfte, insbesondere zu technischen Details, von den Herstellern informationstechnischer Produkte und Systeme verlangen. Nimmt eine Aufsichtsbehörde daher Kontakt zu einem Hersteller auf und fordert etwa Nachweise oder andere Unterlagen zu den Produkten an, sollte mit der Aufsichtsbehörde umfassend kooperiert werden. Äußert sich die Behörde zu irgendwelchen Defiziten des Produkts, die sie im Rahmen ihrer Untersuchung ermittelt hat, sollten diese schnellstmöglich beseitigt und die Behörde hierüber proaktiv informiert werden. Eine engagierte Zusammenarbeit mit der Aufsichtsbehörde kann eine Produktwarnung so möglicherweise bereits im Voraus verhindern.