Die EU hat sich politisch auf eine Anpassung der Produkthaftungsrichtlinie verständigt. Für Softwarehersteller sind diese weitreichend. Software ist künftig „Produkt“. Für Schäden nach dem Produkthaftungsrecht wird dann verschuldensunabhängig gehaftet, die Produkte müssen fortlaufend überwacht werden. Auch müssen rechtzeitig Sicherheitsupdates bereitgestellt werden, wenn CVEs (Common Vulnerabilities and Exposures) bekannt werden.
Die fortschreitende Digitalisierung bringt neue Risiken, die von dem seit 40 Jahren bestehenden Haftungsrecht nicht mehr ausreichend abgedeckt werden. Ob „Software“ als Produkt erfasst ist, ist seit langem umstritten. Die wohl herrschende Meinung lehnt das ab.
Grund genug für die EU, eine Novellierung der Produkthaftungsrichtlinie anzugehen. Der erste Entwurf stammt von September 2022. Mitte Dezember 2023 haben sich Rat und EU-Parlament politisch geeinigt. Der Text hierzu ist inzwischen auch schriftlich verfügbar, der aktuellste Text wurde Ende Januar veröffentlicht. Voraussichtlich wird die Novellierung noch im 1. Halbjahr 2024 verkündet (ProdHaftRL-E). Danach bleiben 24 Monate zur Umsetzung für die EU-Mitgliedstaaten.
Software als Produkt
Das Produkthaftungsrecht erstreckt sich nach der Reform auch ausdrücklich auf Software. Im Gegensatz dazu werden vom bisherigen Produkthaftungsgesetz (ProdHaftG) sicher nur bewegliche Sachen (und Elektrizität) erfasst, was den heutigen wirtschaftlichen Entwicklungen nicht mehr gerecht wird. Software ist isoliert und als Bestandteil von Produkten derart verbreitet, dass auch potentielle Schäden durch den Einsatz von Software erfasst sein müssen.
Dass Software als Produkt gelten soll, wird zwar auch ohne explizite Regelung zum aktuellen Recht vertreten. Software an sich ist allerdings eigentlich kein beweglicher Gegenstand, insbesondere, da sie immer seltener auf Datenträgern verbreitet wird. Dies führt zu erheblichen Rechtsunsicherheiten.
Diese Rechtsunsicherheit wird durch die EU-rechtliche Neuerung nun beseitigt. Damit können zweifellos auch Schäden, die durch fehlerhafte Software, digitale Elemente, Apps oder KI-Systeme entstehen, über die Regeln der Produkthaftung geltend gemacht werden (EG 12 ProdHaftRL-E). Hersteller oder Inverkehrbringer von Software haften danach verschuldensunabhängig und müssen ihre Produkte auf dem Markt beobachten.
Hinsichtlich der grundsätzlichen Haftungsvoraussetzungen ändert sich wenig: Es kommt darauf an, ob ein Produkt fehlerhaft ist und, ob dieser Fehler einen Schaden verursacht hat. Gehaftet wird nur für bestimmte Schäden, dafür allerdings zwingend. Weiter wird allerdings der Herstellerbegriff und damit der Kreis der Verpflichteten:
- Verpflichteter: Der „Hersteller“
Die Produkthaftungsrichtlinie (ProdHaftRL) und das ProdHaftG als deren deutsche Umsetzung verpflichten an Hersteller fehlerhafter Produkte. Hersteller ist nach dem Entwurf der neuen Richtlinie nicht mehr nur, wer ein Produkt, einen Grundstoff oder ein Teilprodukt hergestellt hat (§ 4 Abs. 1 ProdHaftG), sondern wer ein Produkt entwickelt, herstellt oder produziert. Unter den Herstellerbegriff fällt ebenfalls, wer ein Produkt entwickeln oder herstellen lässt oder es unter seinem eigenen Namen oder der eigenen Marke vermarktet. Schließlich werden auch solche (natürlichen oder juristischen) Personen erfasst, die ein Produkt für den Eigenbedarf entwickeln, herstellen oder produzieren (Art. 4 Abs. 11 ProdHaftRL-E). Auch Quasi-Hersteller, Importeure, Bevollmächtigte des Herstellers oder Händler können haftbar gemacht werden, wenn der Hersteller selbst nicht in der EU niedergelassen ist.
- Fehlerhafte Produkte
Die Haftung greift nur, wenn ein Produkt fehlerhaft ist. Das ist der Fall, wenn das Produkt nicht die Sicherheit bietet, die berechtigterweise erwartet werden kann. Das ist jedenfalls – aber nicht nur – dann der Fall, wenn das Produkt nicht die gesetzlichen Sicherheitsanforderungen erfüllt. Der Richtlinienentwurf enthält eine Reihe von Kriterien, die zur Beurteilung der Fehlerhaftigkeit heranzuziehen sind. Nennenswert ist die Fähigkeit eines Produkts, nach Inbetriebnahme weiter zu lernen oder neue Features zu erwerben, womit vor allem KI gemeint ist. Auch Anforderungen zu Cyber-Security eines Produkts werden miteinbezogen.
Für Software bedeutet das: Sicherheitsupdates müssen gemäß der gesetzlichen Pflichten und berechtigten Erwartungen bereitgestellt werden. Hier spielen dann die vielen neuen Updatepflichten herein, etwa aus dem digitalen Verbrauchervertragsrecht und dem – ebenfalls politisch „abgesegneten“ – Cyber Resilience Act, der aus der EU kommen wird.
Dass benötigte, aber nicht bereitgestellte Sicherheitsupdates zu einem Fehler führen, sagt der ProdHaftRL-E denn auch ausdrücklich. Und er sagt auch, dass Fehler, die durch ein Update entstehen, ebenso eine Haftung begründen.
- Haftungsauslösende Schäden
Nur bestimmte Schäden lösen eine Haftung aus. Zum einen muss der Schaden kausal auf dem Fehler des Produkts beruhen. Zum anderen muss es sich um einen Schaden handeln aus:
- Tod oder Körperverletzung, einschließlich Schäden an der psychischen Gesundheit
- Beschädigung oder Zerstörung von Sachen, ausgenommen das fehlerhafte Produkt selbst oder mit diesem bestimmungsgemäß integrierte oder verbundene Produkte und Sachen, die ausschließlich für berufliche Zwecke genutzt werden
- Zerstörung oder Verfälschung von Daten, die nicht für berufliche Zwecke genutzt werden
Gerade die letzte Ergänzung ist weitreichend und für Software-Haftungsfälle relevant.
Was gilt jetzt für Unternehmen?
Softwarehersteller sollten die Haftungsverschärfung im Blick halten. Noch ist genügend Zeit, um die eigenen Produkte zu überprüfen und Neuentwicklungen entsprechend abzusichern. Auch können Updateprozesse optimiert werden.
In jedem Fall sollten sich Softwarehersteller mit den wachsenden Anforderungen an die IT-Sicherheit auseinandersetzen: Schritt für Schritt kommen hier neue gesetzliche Pflichten, zunächst ab Oktober 2024 das verschärfte IT-Sicherheitsrecht:
Insgesamt wird die Haftung durch einen erweiterten Anwendungsbereich der ProdHaftRL-E und die erleichterten prozessualen Anforderungen der Geschädigten in Sachen Beweislast deutlich verschärft. Ein Hersteller kann künftig vom Gericht verpflichtet werden, Beweismittel vorzulegen, auf die der Kläger nicht selbst zugreifen kann.
Haftungsrisiken können durch optimierte Prozesse im Unternehmen für Freigaben und Updates sowie die Produktbeobachtung verringert werden. Vor allem sollte darauf geachtet werden, dass Sicherheits- und Datenschutzlücken in Software vermieden und Cybersicherheitsanforderungen eingehalten werden. Welche Pflichten dabei konkret das Management treffen, durch den „Cyber-Vorstand“, erläutern wir Ihnen gerne im Rahmen unseres Exklusivseminars bei der Bitkom mit dem nächsten Termin am 13.03.2024.
Sie haben Informations-, Trainings- oder Schulungsbedarf zu diesem Thema? Sprechen Sie uns gerne an.
Ihre Ansprechpartnerin: Dr. Kristina Schreiber ist Fachanwältin für Verwaltungsrecht und CIPP/E und Partnerin bei Loschelder Rechtsanwälte in Köln. Sie ist spezialisiert auf rechtliche Begleitung von Digitalisierungsprojekten und die Beratung und Vertretung in allen Fragen des Datenschutzes, der Datennutzung und der Cyber-Sicherheit. Sie publiziert regelmäßig in Fachzeitschriften zu diesen Themen, ist Lehrbeauftragte an der FernUniversität Hagen und Referentin auf diversen Fachveranstaltungen.
Der Blog-Artikel wurde von Kristina Schreiber und Pauline Brinke verfasst.