Sie denken, Sie arbeiten nur im Auftrag? Rechtlich sind Sie Hersteller.

Agenturen, Systemhäuser, Software-Schmieden, Plattform-Partner, Managed Service Provider - sie alle teilen eine Eigenwahrnehmung: "Wir bauen nicht unser eigenes Produkt. Wir arbeiten für Kunden. Die Verantwortung für das, was am Ende produktiv geht, liegt beim Kunden."

Diese Sicht war bis vor kurzem rechtlich akzeptabel. Sie ist es nicht mehr.

Mit dem Cyber Resilience Act, der neuen Produkthaftungsrichtlinie, DORA und NIS2 ist eine neue regulatorische Landschaft entstanden, die Sie als Software-Entwickler direkt erfasst - unabhängig davon, ob das fertige Produkt unter Ihrem Namen oder unter dem Namen Ihres Kunden vertrieben wird. Die Pflichten treffen Sie als Entwickler, als Lieferant, als IKT-Drittdienstleister.

Vier Gesetze, eine Verantwortung #

Produkthaftungsrichtlinie (RL 2024/2853) #

Die neue EU-Produkthaftungsrichtlinie definiert erstmals Software ausdrücklich als Produkt (Art. 4 Nr. 1). Als Hersteller gilt nach Art. 8 ausdrücklich auch, wer ein Produkt entwickelt oder produziert - nicht nur, wer es vertreibt. Das heißt: Wenn Sie Code schreiben, der bei einem Kunden produktiv läuft, sind Sie rechtlich Entwickler und damit potenziell haftender Hersteller. Die Richtlinie kennt keine Ausnahme für Auftragsentwicklung.

Verschärfungen gegenüber der alten Richtlinie von 1985:

• Datenverlust ist neuer Haftungsgrund (Art. 6 Abs. 1 lit. c)
• Keine Obergrenze für die Gesamthaftung mehr (Art. 12)
• Beweislasterleichterung bei technischer Komplexität zugunsten der Geschädigten (Art. 10)
• Offenlegungspflicht für Beweismittel (Art. 9)

Rechtliche Konsequenzen bei Verstößen: Unbegrenzter Schadensersatz gegenüber Geschädigten - auch Dritten, die nicht Ihre Vertragspartner sind. Haftungsausschlüsse in Ihren Kundenverträgen wirken nicht gegenüber Endnutzern. Bei Insolvenz oder Nicht-EU-Sitz Ihres Kunden greifen Geschädigte direkt auf Sie durch. Zusätzlich persönliche Haftung der Geschäftsführung nach allgemeinem Gesellschaftsrecht, wenn Sorgfaltspflichten grob verletzt wurden.

Ausführlich: Produkthaftung für Unternehmen und Die neue EU-Produkthaftung.

Cyber Resilience Act (Verordnung (EU) 2024/2847) #

Der CRA gilt für alle "Produkte mit digitalen Elementen", die in der EU in Verkehr gebracht werden (Art. 2 Abs. 1, Art. 3 Nr. 1). Die Hersteller-Definition umfasst nach Art. 3 Nr. 13 auch, wer ein Produkt "entwickeln lässt" und unter eigenem Namen vertreibt. Wer der formal-rechtliche "Hersteller" ist - Sie oder Ihr Kunde - entscheidet das konkrete Vertragsverhältnis. Die Sorgfaltspflichten werden in jedem Fall vertraglich an Sie weitergereicht: Art. 13 Abs. 5 CRA verlangt "gebotene Sorgfalt" bei der Integration von FOSS-Komponenten. Diese Sorgfalt kann Ihr Kunde nur erfüllen, wenn Sie sie erbringen.

Ab 11. September 2026 gelten die Meldepflichten für Schwachstellen und Sicherheitsvorfälle (Art. 14 CRA). Ab 11. Dezember 2027 die vollständige Geltung aller Bestimmungen.

Rechtliche Konsequenzen bei Verstößen: Bußgelder bis 15 Mio. Euro oder 2,5 % des weltweiten Jahresumsatzes (Art. 64 CRA). Verlust des Marktzugangs in der gesamten EU - Produkte, die den CRA nicht erfüllen, dürfen nicht mehr in Verkehr gebracht werden, bereits ausgelieferte können zurückgerufen werden (Art. 52, 53 CRA). Meldepflichten an die zuständige Behörde und ENISA bei aktiv ausgenutzten Schwachstellen innerhalb von 24 Stunden bzw. 72 Stunden (Art. 14 Abs. 1, 2 CRA).

Ausführlich: CRA für Unternehmen, Was ist der Cyber Resilience Act?, CRA - Relevante Artikel im Wortlaut.

DORA (Verordnung (EU) 2022/2554) #

Sobald einer Ihrer Kunden unter DORA fällt - Banken, Versicherungen, Kapitalmärkte, Fonds, 21 Kategorien insgesamt - werden Sie automatisch zum IKT-Drittdienstleister im Sinne von Art. 2 Abs. 1 lit. u DORA. Das ist keine Frage der Größe Ihres Vertrags, sondern der Rechtsbeziehung.

Was das bedeutet:

• Ihr Kunde muss Sie in ein Informationsregister über alle IKT-Drittvereinbarungen aufnehmen (Art. 28 Abs. 3)
• Vor Vertragsschluss und laufend: Due-Diligence-Bewertung Ihrer Sicherheitsprozesse (Art. 28 Abs. 4)
• Bei kritischen Funktionen: höchste Qualitätsstandards als Vertragspflicht (Art. 28 Abs. 5)
• Ausstiegsstrategie muss vorliegen (Art. 28 Abs. 8) - Ihr Kunde muss nachweisen können, wie er ohne Sie weiterarbeitet
• Bei bedrohungsorientierten Penetrationstests (TLPT) können Sie als Drittdienstleister einbezogen werden (Art. 26)
• Die Aufsichtsbehörde kann Ihren Kunden verpflichten, Zugang zu Ihren Prozessen zu gewähren

Rechtliche Konsequenzen bei Verstößen: Sie selbst sind zwar nicht direkter Adressat der DORA-Bußgelder, aber Ihr Kunde haftet mit bis zu 1 % seines durchschnittlichen weltweiten Tagesumsatzes pro Tag (Art. 50 DORA) - und wird jede Bußgeldzahlung zivilrechtlich bei Ihnen regressieren, wenn Sie die Ursache waren. Praktisch bedeutet das: Verlust des gesamten Finanzmarkt-Kundensegments, wenn Sie die DORA-Anforderungen nicht erfüllen. Kein Finanzinstitut darf Sie weiter beauftragen, wenn Sie die Due-Diligence-Prüfung nicht bestehen. Zusätzlich greift bei kritischen IKT-Drittdienstleistern die direkte Aufsicht durch die Europäischen Aufsichtsbehörden (Art. 31 ff. DORA) mit eigenen Bußgeldern bis 1 % des weltweiten Tagesumsatzes des Drittdienstleisters.

Ausführlich: DORA für Unternehmen, Was ist DORA?, DORA - Relevante Artikel im Wortlaut.

NIS2 (Richtlinie (EU) 2022/2555) #

NIS2 verpflichtet 18 Sektoren kritischer und wichtiger Infrastruktur zur Absicherung ihrer Lieferkette (Art. 21 Abs. 2 lit. d). Das umfasst ausdrücklich die Bewertung der Sicherheitsprozesse und Entwicklungsprozesse unmittelbarer Anbieter (Art. 21 Abs. 3). Sobald Ihre Kunden in einem dieser Sektoren tätig sind - Energie, Gesundheit, Verkehr, Finanzwesen, digitale Infrastruktur, Wasserversorgung, öffentliche Verwaltung, Automobilindustrie, Halbleiterherstellung, und viele mehr - sind Sie Zulieferer im Sinne der Richtlinie.

Ihre Kunden müssen bei Ihnen Nachweise einfordern: dokumentierte Sicherheitsprozesse, Schwachstellenmanagement, sichere Entwicklung, Incident-Response. Können Sie diese nicht vorlegen, ist Ihr Kunde nicht compliant - und wird Sie entsprechend behandeln.

Rechtliche Konsequenzen bei Verstößen: Für wesentliche Einrichtungen Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis 7 Mio. Euro oder 1,4 %. Die deutsche Umsetzung (NIS2UmsuCG, § 38) sieht darüber hinaus die persönliche Haftung der Geschäftsleitung Ihrer Kunden vor - diese wird jede Verantwortung auf Zulieferer durchreichen, die Sicherheitsmängel verursacht haben. Für Sie als Zulieferer bedeutet das: Verlust des Kundensegments aller regulierten Branchen, wenn Sie die Lieferantenprüfung nicht bestehen. Zusätzlich Meldepflichten über Ihre Kunden innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (Meldung) bei erheblichen Sicherheitsvorfällen (Art. 23 NIS2) - das greift auch dann, wenn die Ursache bei Ihnen liegt.

Ausführlich: NIS2 für Unternehmen, Was ist NIS2?, NIS2 - Relevante Artikel im Wortlaut.

Der Grundirrtum: "Wir bauen ja nur im Auftrag" #

Wer Software für Kunden entwickelt, denkt oft, die Verantwortung liege komplett beim Kunden. Das ist aus drei Gründen falsch:

Erstens macht Sie die Produkthaftungsrichtlinie unmittelbar zum Entwickler-Hersteller, egal was im Vertrag steht. Haftungsausschlüsse gegenüber Geschädigten sind nicht wirksam - die Richtlinie schützt Endnutzer und Geschädigte Dritter, nicht Vertragsparteien. Wenn Ihr Kunde insolvent wird oder außerhalb der EU sitzt, werden Geschädigte Sie direkt in Anspruch nehmen.

Zweitens werden CRA-Pflichten vertraglich zwangsläufig an Sie weitergereicht. Art. 13 Abs. 5 CRA verpflichtet Hersteller zur "gebotenen Sorgfalt" bei der Integration von FOSS-Komponenten. Ihr Kunde kann diese Sorgfalt nicht selbst erfüllen - er kennt die Komponenten nicht, die Sie integriert haben. Also wird er die Sorgfalt vertraglich auf Sie abwälzen. Dasselbe gilt für Vulnerability-Handling (Art. 14 CRA), Schwachstellenmeldung und SBOM-Bereitstellung.

Drittens regulieren DORA und NIS2 die Lieferkette direkt. Sie als Entwickler sind Teil dieser Lieferkette. Die regulatorische Last fällt nicht von selbst ab, nur weil Sie "nur im Auftrag" arbeiten. Im Gegenteil: Je weniger Sie kommunizieren, desto härter wird die Due-Diligence-Prüfung durch Ihre Kunden.

Was bedeutet das konkret für Sie? #

Sie müssen Prozesse etablieren, die bisher nur Produktunternehmen hatten:

• SBOM-Pflege für jedes Projekt, das Sie ausliefern, einschließlich transitiver Abhängigkeiten
• Vulnerability-Management - Sie müssen wissen, welche Schwachstellen in Ihren eingesetzten Komponenten bekannt werden, und reagieren können. Scanner zeigen nur registrierte CVEs - Silent Fixes bleiben unsichtbar
• Responsible-Disclosure-Prozess - eine Stelle, an die Sicherheitsforscher Schwachstellen melden können (security.txt, dokumentierter Prozess)
• Dokumentierte Sicherheitsstrategie - schriftlich, überprüfbar, vorlegbar bei Kundenaudits und Aufsichtsbehörden
• Incident-Response-Kapazität - bei Sicherheitsvorfällen in Projekten Ihrer Kunden müssen Sie schnell reagieren können, auch außerhalb der Geschäftszeiten
• Sichere Entwicklung nach dem Stand der Technik (ISO/IEC 27001, ISO/IEC 18974) - als dokumentierte Maßnahme, nicht nur als Anspruch
• Nachweise über die Eignung eingesetzter FOSS-Komponenten - woher sie kommen, wie sie gepflegt werden, wer für ihre Sicherheit einsteht

Die meisten Dienstleister haben nichts davon in dokumentierter Form. Das ist nicht fahrlässig - es ist schlicht die bisherige Branchennorm. Aber die Norm hat sich geändert.

Jenseits der Pflicht: Sicherheit als Wettbewerbsvorteil #

Selbst wenn Sie heute nicht unmittelbar von CRA, DORA oder NIS2 betroffen wären - und das ist in der Praxis selten - wäre es dennoch klug, diese Prozesse aufzubauen. Der Grund ist simpel: Verantwortung und Professionalität heben Sie im Markt deutlich ab.

Ihre Kunden vergleichen Anbieter. Wer nachweisen kann, dass er seine Lieferkette kennt, Schwachstellen aktiv behebt, auf Meldungen reagiert und jede Entscheidung dokumentiert, wirkt nicht nur regelkonform - sondern erwachsen. In einem Markt, in dem viele Dienstleister auf "machen wir schon irgendwie" vertrauen, ist das ein handfester Unterschied.

Konkret bedeutet das:

• Bessere Abschlussquoten bei anspruchsvollen Kunden. Wer heute im Einkauf großer Unternehmen oder der öffentlichen Hand sitzt, hat einen Fragenkatalog zu Lieferkettensicherheit auf dem Tisch. Wer vollständig antworten kann, bleibt im Rennen. Wer ausweicht, fliegt raus.
• Höhere Tagessätze, weil Sie nicht als austauschbare Umsetzungskraft wahrgenommen werden, sondern als Partner, der die Verantwortung für das Ergebnis mitträgt.
• Weniger Reibung im Projekt, weil Sicherheitsthemen nicht mehr im Livebetrieb nachgezogen werden müssen, sondern Teil des Prozesses sind.
• Versicherungsvorteile: Cyber- und Haftpflichtversicherer bewerten dokumentierte Sicherheitsprozesse bei der Prämienberechnung zunehmend positiv. Ohne solche Nachweise werden Prämien teurer oder Verträge ganz abgelehnt.
• Schutz der Marke: Ein einziger öffentlich gewordener Vorfall kann Jahre an Vertriebsarbeit zerstören. Wer vorbereitet ist, vermeidet genau diesen Fall - und kann im Ernstfall belegen, wie er gehandelt hat.
• Mitarbeiter-Attraktivität: Entwicklerinnen und Entwickler arbeiten lieber dort, wo saubere Prozesse existieren. Pfusch frustriert Ihre besten Leute zuerst.

Die gute Nachricht: Die gleichen Prozesse, die Sie für die Regulierung brauchen, machen Sie auch im Markt besser. Compliance und Qualität fallen hier zusammen. Was Sie investieren, um Ihre Kunden compliant zu machen, investieren Sie gleichzeitig in Ihr eigenes Profil.

Welche Sparte sind Sie? #

Die konkreten Anforderungen unterscheiden sich je nach Art Ihrer Arbeit. Wählen Sie Ihren Einstieg:

Agenturen - Web-, Digital-, Creative- und E-Commerce-Agenturen. Websites, Mobile Apps, Kampagnen, Shops, Kundenportale.

Systemhäuser - IT-Systemhäuser und klassische Integratoren. Heterogene Kundenlandschaften, Infrastruktur, Betrieb, Customizing.

Software-Entwicklung - Individualsoftware, App-Entwicklung, Embedded Software. Kern-Software für Kundengeschäftsprozesse.

Plattform-Partner - SAP-, Salesforce-, Microsoft-Partner, CMS-Integratoren, E-Commerce-Spezialisten. Custom Extensions auf Fremdplattformen.

MSP und Cloud-Dienstleister - Managed Service Provider, Cloud-Integratoren, DevOps-Dienstleister. Betrieb plus Tooling plus Custom-Lösungen.

Wie OTTRIA hilft #

OTTRIA ist ein europäischer Dienstleister, der die Open-Source-Lieferkette systematisch absichert. Für Software-Dienstleister übernehmen wir die Prozesse, die Sie zur Erfüllung Ihrer neuen Pflichten brauchen:

• SBOM-Analyse und -Pflege für alle Projekte, die Sie ausliefern
• Schwachstellenmanagement einschließlich Silent-Fix-Detection
• Responsible-Disclosure-Kanal für Ihre Projekte
• Auditfähige Dokumentation für Kunden und Aufsichtsbehörden
• Fehlerbehebung direkt im Open-Source-Projekt bei FOSS-Komponenten, die Sie einsetzen
• Steward-Rolle für besonders kritische Komponenten Ihrer Kunden

Sie bleiben der Ansprechpartner für Ihren Kunden. OTTRIA arbeitet im Hintergrund und liefert die Nachweise, die Sie brauchen.

Erstgespräch vereinbaren

Alle OTTRIA-Leistungen im Überblick

Weiterlesen

• Was ist eine SBOM?
• Silent Fixes - Die unsichtbare Mehrheit
• Open Source hat keinen Vertragspartner