Ein Jahr nach dem Start der elektronischen Patientenakte kritisiert die IT-Sicherheitsforscherin Bianca Kastl weiterhin Mängel an deren Sicherheitsarchitektur – vorrangig bei Identitäten, Transparenz und Verantwortung. Kurz vor dem Start von Version 3.0 der elektronischen Patientenakte hatte sie gemeinsam mit Martin Tschirsich Sicherheitslücken bei der ePA aufgezeigt.

Aus Kastls Sicht liegt der Kern der Schwächen in den Identitäts- und Authentifizierungsverfahren der Telematikinfrastruktur: Unsichere oder organisatorisch fehleranfällige Prozesse machten Missbrauch möglich und ließen sich nicht durch nachträgliche Maßnahmen beheben.

Redaktion: Keywan Tonekaboni
Video: Özgür Uludaǧ, Anna Gundler

Dass viele Versicherte kaum über Risiken und Nebenwirkungen der ePA informiert seien, führt Kastl auf intransparente Kommunikation und beschönigende Darstellungen zurück, wie der Kampagne des Bundesgesundheitsministeriums: „ePA, na sicher!“. Kritische Hinweise von Experten würden von Politik und Behörden häufig ignoriert oder relativiert und Verantwortung werde zwischen den Akteuren hin- und hergeschoben.

Das größte Risiko tragen nach Kastls Einschätzung die Versicherten selbst – durch mögliche Datenschutzverletzungen, falsche Zugriffe oder Systemausfälle. Vertrauen könne nur entstehen, wenn Sicherheitsrisiken unabhängig bewertet, offen kommuniziert und strukturelle Fehler behoben würden. Mit Blick auf die geplante staatliche EU-ID-Wallet warnt Kastl vor einer Wiederholung derselben Fehler, allerdings mit noch größerer Tragweite. Das ganze Interview hier auf heise online, bei YouTube und auf Peertube.

(mack)

Die Energiewende findet seit vielen Jahren auch in deutschen Kellern statt, doch die dort verbaute Speichertechnik sorgt zunehmend für juristisches Gewitter. In einem richtungsweisenden, inzwischen mit Begründung veröffentlichtem Urteil hat das Landgericht Traunstein die Klage eines Hausbesitzers abgewiesen, der sich gegen die Drosselung seines Batteriespeichers aus der Ferne zur Wehr setzen wollte. Die unlängst vom Oberlandesgericht München bestätigte Entscheidung macht deutlich, dass der Schutz von Leib und Leben im Zweifel schwerer wiegt als das individuelle Recht auf maximale Speicherkapazität.

Der Fall liest sich wie ein Krimi der modernen Haustechnik: Ein Kunde erwarb im August 2021 für rund 17.200 Euro einen Akkumulator mit 7,5 kWh Kapazität. Die Leistung basiert auf der Lithium-Nickel-Cobalt-Aluminium-Oxid-Technologie (NCA-Zellen). Kurze Zeit später häuften sich Berichte über Brandvorfälle und Verpuffungen bei baugleichen Modellen des Herstellers. Die beklagte Firma reagierte prompt und drastisch: Per Fernzugriff versetzte sie zehntausende Speicher in einen Standby-Modus oder drosselte sie in der Ladekapazität auf zeitweise 50 bis 70 Prozent, um das Risiko von Zellkurzschlüssen zu minimieren.

Der Kläger forderte daraufhin die sofortige Wiederherstellung der vollen Leistung, die Beseitigung der Brandgefahr und faktisch den Austausch der Zellmodule gegen die als sicherer geltende Lithium-Eisenphosphat-Technologie (LFP). Er argumentierte, dass physische Defekte der Hardware nicht durch Software-Updates geheilt werden könnten. Ferner sei die Brandgefahr bereits bei Auslieferung im Material angelegt gewesen.

Die Grenzen der Herstellergarantie

Doch die Traunsteiner Richter sahen keine rechtliche Grundlage für diese Forderungen (Az.: 2 O 312/24). Herausstechend ist dabei ihre juristische Bewertung der Herstellergarantie. Der Kläger berief sich darauf, dass ihm vertraglich eine nutzbare Kapazität von 100 Prozent der Nennkapazität für zehn Jahre zugesichert worden war. Das Gericht urteilte jedoch, dass ein Garantiefall nach den spezifischen Bedingungen des Herstellers überhaupt nicht vorlag.

Ein Defekt im Sinne der Garantie liege demnach nur vor, heißt es in dem Urteil, wenn Material- oder Verarbeitungsfehler die Funktion beeinträchtigten oder die Kapazität infolge von Verschleiß unterschritten werde. Da der Kläger keine konkreten, individuellen Mängel oder Betriebsstörungen an seinem spezifischen Gerät nachweisen konnte, blieb der Vortrag für die Richter eine bloße „Behauptung ins Blaue hinein“. Die statistische Wahrscheinlichkeit durch Brandvorfälle bei anderen Speichern reichte nicht aus, um einen Mangel am eigenen zu beweisen.

Zudem stellte das Gericht fest, dass die Leistungsreduzierung durch den Hersteller eben gerade keine „Degradation“ sei. Würden die Speicher aus Sicherheitsgründen gedrosselt, greife die Leistungsgarantie nicht: Diese solle nur den natürlichen Kapazitätsverlust über die Zeit absichern.

Keine Inhaltskontrolle für einseitige Versprechen

Ein weiterer entscheidender Punkt des Urteils betrifft die rechtliche Natur von Herstellergarantien im Vergleich zu klassischen Kaufverträgen. Da der Kläger das Gerät bei einem Zwischenhändler und nicht direkt beim Hersteller gekauft hatte, schieden direkte kaufvertragliche Gewährleistungsansprüche gegen die Beklagte ohnehin aus. Übrig blieb nur das Garantieversprechen des Produzenten.

Hier setzt das Gericht einen Akzent: Eine Herstellergarantie ist ihm zufolge eine einseitige Erklärung des Verwenders und fällt bereits begrifflich nicht unter die Paragrafen zur Inhaltskontrolle von Allgemeinen Geschäftsbedingungen (Paragraf 305 BGB). Während AGB streng kontrolliert würden, um Verbraucher vor überraschenden Benachteiligungen zu schützen, gelte dies für die freiwillige Garantie nicht in gleichem Maße. Der Hersteller kann die Bedingungen seiner Zusatzleistung also weitgehend frei definieren.

Die Richter betonten auch, dass selbst bei einem vorliegenden Garantiefall der Hersteller laut seinen Bedingungen das Wahlrecht behalte, wie er einen Mangel beseitigt. Ein direkter Anspruch auf den Austausch gegen einen anderen Zelltyp (LFP statt NCA) lasse sich daraus keinesfalls ableiten, solange die verbauten NCA-Zellen dem Stand der Technik entsprächen. Das Gericht bejahte dies.

Auch der Versuch, über das Eigentumsrecht nach Paragraf 1004 BGB eine Beseitigung der Software-Drossel zu erzwingen, scheiterte. Zwar räumten die Richter ein, dass die Fernabschaltung oder Reduzierung der Leistung einen Eingriff in das Eigentum des Klägers darstellen. Dieser sei jedoch nicht rechtswidrig.

Der Grund liegt in der sogenannten Verkehrssicherungspflicht. Ein Hersteller ist gesetzlich dafür verantwortlich, sein Produkt auch nach dem Inverkehrbringen zu beobachten und bei erkannten Gefahren Maßnahmen zu ergreifen, um Schäden von Nutzern oder Dritten abzuwenden. Sobald Anhaltspunkte für eine Brandgefahr bestehen, ist der Produzent nicht nur berechtigt, sondern sogar verpflichtet, schnell und effektiv zu handeln.

Die zeitlich befristete Drosselung wertete das Gericht als eine solche wirksame und verhältnismäßige Aktion zum Schutz vor weiteren Bränden. Dass die Beklagte für die Zeit der Einschränkung eine pauschale finanzielle Entschädigung zwischen 7,50 und 25 Euro pro Woche leistete, untermauerte für die Kammer die Angemessenheit des Vorgehens.

Auch erfolgreiche Klagen gegen Senec

Der IT-Rechtler Jens Ferner sieht in der Entscheidung eine Weichenstellung für die Branche. Er gibt zu bedenken, dass das Urteil zwar pragmatisch sei, aber auch die Grenzen für Hersteller aufzeige: „Die dauerhafte Reduzierung ist ein rechtlicher Mangel, der Konsequenzen nach sich zieht.“ Wer als Produzent über das notwendige Maß der Gefahrenabwehr hinausgehe oder die Einschränkungen ohne transparente Kommunikation dauerhaft aufrechterhalte, müsse dennoch mit Schadensersatzforderungen rechnen. Für Solarspeicher-Besitzer bedeutet das Urteil: Technische Innovation bringt Restrisiken mit sich. Solange eine Drosselung der Sicherheit dient und durch den Hersteller untersucht wird, müssen Kunden diesen Eingriff dulden.

Hierzulande sorgte seit 2022 vor allem Senec für Schlagzeilen: Binnen zweier Monate brannten damals drei Solarstromspeicher des Leipziger Herstellers in den Häusern ihrer Besitzer ab. Die EnBW-Tochterfirma schaltete daraufhin Tausende Solarspeicher ihrer Kunden einfach aus und begrenzte später die Speicherkapazität. Diverse Betroffene wollten sich damit nicht abfinden und verklagten Senec-Händler auf Erstattung des Kaufpreises. Vielfach waren sie damit auch bereits erfolgreich. Mitte 2024 startete Senec eine Austauschaktion in Richtung LFP. Doch auch hier verbleiben Risiken.

(ndi)

Die Association for Computing Machinery, die weltweit größte wissenschaftliche Gesellschaft für Informatik, hat bekannt gegeben, die digitale Bibliothek des Verbandes ab Januar 2026 der Öffentlichkeit vollständig frei zugänglich zu machen. Darauf hat sich die Vereinigung im Dialog mit den Autoren, Vertretern der Fachgruppen (Special Interest Groups, SIG), der redaktionellen Leitung, Bibliotheken und den Forschungseinrichtungen verständigt.

Mehr Sichtbarkeit fördert Innovation

Die ACM verspricht sich vom freien und öffentlichen Zugang eine größere Sichtbarkeit für die Forschung, wodurch neben steigenden Zitationen auch mehr Anwendungen in der Praxis entstehen sollen. Vorteile hat der freie Zugang besonders für Studierende und Forschungsinstitutionen, die mit knappen Mitteln zu kämpfen haben. Die ACM betont, dass die Autoren durch diesen Schritt nicht das geistige Eigentum an ihren Werken verlieren und der Verband sich auch in Zukunft gegen Verstöße gegen das Urheberrecht und für die Integrität der Werke starkmachen will. Der freie Zugriff soll Zusammenarbeit, Transparenz und gemeinsamen Fortschritt fördern und damit die Weiterentwicklung der Informatik als Disziplin stärken. Open Access als Strategie für den Wissensaustausch nimmt auch in Deutschland immer mehr an Fahrt auf.

Digital Library Basic und Premium

Das Open-Access-Modell der ACM Digital Library beinhaltet den Volltext-Zugriff auf wissenschaftliche Journale, Konferenzbände, Magazine und Newsletter. Diese Variante der Digital Library Basic wird von der ACM gehostet und gepflegt und beinhaltet grundsätzliche Suchfunktionen und verlinkt zwischen Autoren und Institutionen. Mitglieder der ACM, die einen Beitrag zahlen, erhalten Zugriff auf Digital Library Premium. Das beinhaltet den ACM Guide to Computing Literature, den Indexing- und Abstracting-Service der ACM. Hinzu kommen erweiterte Such-, Filter- und Recherchefunktionen, Massen-Downloads, gespeicherte Suchanfragen und Benachrichtigungen sowie Autoren- und Institutionsprofile. Auch KI-Funktionen wie Zusammenfassungen, Podcasts und Empfehlungen sind Teil der Abo-Variante.

Das Veröffentlichungsmodell erklärt die Vereinigung in einem YouTube-Video. Weitere Informationen zum freien Zugang sowie der Basic- und Premium-Edition finden sich in der Pressemitteilung der ACM und auf der About-Page der Vereinigung.

(pst)