Die staatliche Bewertung von IT-Produkten ist für Softwareanbieter ein zweischneidiges Schwert: Während positive Testate den Absatz fördern, können kritische Berichte von Cybersicherheitsbehörden die Marktposition eines Unternehmens erschüttern. Ein aktueller Beschluss des Verwaltungsgerichts Köln (Az.: 1 L 3105/25) vom 2. Dezember verdeutlicht nun, dass sich Firmen gegen solche drohenden Veröffentlichungen nur in extremen Ausnahmefällen im Voraus wehren können.

In dem Verfahren ging ein Unternehmen, das auch Software herstellt, gegen das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Die Bonner Behörde untersuchte laut der jetzt veröffentlichten Entscheidung im Rahmen des Projekts "E.W." die Sicherheitsarchitektur bestimmter Produkte und beanstandete diese. Die 1. Kammer entschied, dass ein Softwarehersteller nicht ohne Weiteres die Unterlassung einer geplanten behördlichen Produktbewertung verlangen kann. Daran änderte auch die Tatsache nichts, dass eine solche Warnung negative Auswirkungen auf den Markt haben könnte.

Der Streit entzündete sich an dem geplanten Abschlussbericht, in dem das BSI das Sicherheitskonzept der betroffenen Produkte als "auffällig" bezeichnete und ihnen eine mangelnde Erfüllung üblicher Sicherheitserwartungen attestierte. Das betroffene Unternehmen fühlte sich damit unzulässig an den Pranger gestellt und befürchtete irreversible Reputationsschäden.

Gegendarstellungen bleiben möglich

Mit einem Eilantrag auf vorbeugenden Rechtsschutz wollte der Hersteller erzwingen, dass die Behörde diese Erkenntnisse nicht veröffentlicht – noch bevor der Bericht überhaupt erschien. Das Verwaltungsgericht betonte nun aber im Einklang mit der gefestigten Rechtsauffassung, dass ein vorbeugender Rechtsschutz nach Paragraf 123 der Verwaltungsgerichtsordnung (VwGO) die Ausnahme bleiben müsse. Grundsätzlich setze die VwGO auf nachträglichen Rechtsschutz, um die Gewaltenteilung zu wahren. Ein Eingriff in behördliches Handeln vor dessen Vollzug sei nur dann gerechtfertigt, wenn dem Betroffenen das Abwarten nicht zugemutet werden könne. Dies träfe etwa zu, wenn irreversible Fakten geschaffen würden.

In dem Fall fehlte es laut den Kölner Richtern an einem solchen qualifizierten Rechtsschutzbedürfnis: Die potenziellen Nachteile waren für den Softwareanbieter nicht als irreparabel einzustufen.

Der IT-Rechtler Jens Ferner wertet die Entscheidung als richtungsweisend für die Branche: „Die Veröffentlichung behördlicher Sicherheitsbewertungen kann für Softwareanbieter existenzbedrohend sein. Doch nicht jede Warnung rechtfertigt einen vorbeugenden gerichtlichen Eingriff“ – das zeige dieser Beschluss deutlich. Wer sich gegen staatliche Produktbewertungen wehren wolle, müsse nachweisen, dass die Publikation „unwiederbringliche Schäden verursacht – etwa durch gezielte Prangerwirkung oder unwiderlegbare Falschdarstellungen.“