Die EU-Produkthaftungsrichtlinie ändert sich. Das bedeutet verschärfte Auflagen für Software-Hersteller. Sie haften künftig für fehlerhafte Produkte, KI-Fehler und unzureichende Cybersicherheit – teilweise unbegrenzt. Die Hintergründe.
„Seit der Annahme der Produkthaftungsrichtlinie im Jahr 1985 hat sich die Art und Weise, wie Produkte hergestellt, vertrieben und betrieben werden, erheblich verändert“: So beginnt die Begründung im Vorschlag für eine Neufassung der Produkthaftungsrichtlinie (ProdHaftRL) der Europäischen Kommission vom 28. Oktober 2022.
Die bisherige Norm konnte die Herausforderungen moderner Technologien wie Software, Künstliche Intelligenz und Cybersicherheit nicht abbilden. Im Oktober 2024 wurde der Änderungsvorschlag allerdings vom Europäischen Rat angenommen und ersetzt die bisher geltende Regelung vollständig.
Software-Anbieter haften für fehlerhafte Produkte
Eine der folgenreichsten Änderungen: Softwareanbieter haften künftig verstärkt für fehlerhafte Produkte. „Ziel der Produkthaftungsrichtlinie ist es, ein EU-weites System zur Entschädigung von Personen zu schaffen, die durch fehlerhafte Produkte Körper- oder Sachschäden erlitten haben“, heißt es dazu vonseiten der EU.
Erstmals wird reine Software deshalb als Produkt definiert, obwohl sie keine haptische Körperlichkeit aufweist. Das war bisher umstritten, vor allem im Hinblick auf die Produkthaftung. Nun gilt offiziell: Der Hersteller einer Software wird juristisch zum Hersteller des künftigen, fehlerhaften Produkts.
Neu ist auch, dass Stand-Alone-Software als haftungspflichtig gilt. Der Anwendungsbereich wurde auch insgesamt erweitert: Neben physischen Produkten und Elektrizität umfasst die Richtlinie nun auch digitale Konstruktionsunterlagen, Software-as-a-Service sowie integrierte Software-Komponenten.
Open-Source-Software, also freie, quellenoffene Software, bleibt jedoch unter bestimmten Bedingungen von der Haftung ausgenommen. Wie weit diese Ausnahme reicht, wird derzeit allerdings noch diskutiert.
Haftung besteht, solang ein Hersteller Kontrolle auf ein Produkt ausüben kann
Ein Produkt gilt als fehlerhaft, wenn es berechtigte Sicherheitserwartungen nicht erfüllt. Für eine entsprechende Beurteilung sieht die ProdHaftRL neue Kriterien vor. Dazu gehören beispielsweise die Lernfähigkeit, Cybersicherheit oder Nutzung mit anderen Produkten. So haften Hersteller künftig auch für Schäden, die durch Hackerangriffe oder Manipulationen Dritter entstehen.
Auch der zeitliche Rahmen für die Haftung verändert sich: Sie endet nicht mit dem Verkauf eines Produkts. Stattdessen bleibt sie solange bestehen, wie der Hersteller Updates bereitstellen und somit weiterhin Kontrolle ausüben kann.
Die Haftung hört beim Hersteller allerdings nicht auf. Denn hat ein entsprechendes Unternehmen seinen Sitz außerhalb der EU, können auch Importeure, Bevollmächtigte oder Fulfillment-Dienstleister zur Rechenschaft gezogen werden. Sind auch diese nicht verfügbar, kann die Haftung ebenfalls auf Lieferanten und Anbieter von Online-Plattformen übergehen.
Software-Anbieter haften auch für immaterielle Schäden
Der Schadensersatzanspruch umfasst laut neuer ProdHaftRL neben allen Vermögensschäden auch immaterielle Schäden – solang sie nach nationalem Recht ersatzfähig sind. Dazu gehört nun auch die Vernichtung und Beschädigung von Daten, die nicht im beruflichen Kontext verwendet werden. Außerdem gelten psychische Beeinträchtigungen von nun an als Personenschaden.
Für Geschädigte entfallen die bisherigen Hürden wie der Selbstbehalt von 500 Euro und die Haftungsobergrenze von 85 Millionen Euro. Hersteller haften ab dem ersten Euro unbegrenzt.
Außerdem wird die Beweislast zugunsten der Geschädigten verändert und mögliche Verfahren erleichtert. Hat die Klägerschaft einen plausiblen Grund, sind Hersteller dazu verpflichtet, interne Dokumente offenzulegen. Tun sie das nicht, gilt das als Indiz für die Fehlerhaftigkeit eines Produkts.
Hersteller und andere Akteure müssen sich also insgesamt auf strengere Haftungsauflagen einstellen. Sie müssen künftig noch wachsamer sein und sich vor Cyberattacken gezielter schützen. Insbesondere bei digitalen Produkten sollten sie deshalb Sicherheitsstandards wie den Cyber Resilience Act (CRA) einhalten. Er wurde gemeinsam mit der neuen Produkthaftungsrichtlinie im Oktober 2024 verabschiedet.
Auch interessant:
