Richtlinie (EU) 2024/2853 des Europäischen Parlaments und des Rates vom
Die nachfolgend wiedergegebenen Artikel sind für Hersteller und Integratoren von Open-Source-Software besonders relevant: Definition von Produkt, Hersteller und Komponente, die erweiterten Schadenskategorien, die verschärfte Beweislast und die Regeln zur Haftung mehrerer Wirtschaftsakteure. Grundlage ist der amtliche deutsche Wortlaut der Richtlinie.
Die Richtlinie gilt für alle Produkte, die nach dem 9. Dezember 2026 in Verkehr gebracht werden. Freie und quelloffene Software außerhalb einer Geschäftstätigkeit ist ausdrücklich ausgenommen - parallel zur FOSS-Abgrenzung des CRA. Sobald Open-Source-Komponenten jedoch im Rahmen einer kommerziellen Tätigkeit integriert oder verbreitet werden, greift die Richtlinie.
(1) Diese Richtlinie gilt für Produkte, die nach dem 9. Dezember 2026 in Verkehr gebracht oder in Betrieb genommen werden.
(2) Diese Richtlinie gilt nicht für freie und quelloffene Software, die außerhalb einer Geschäftstätigkeit entwickelt oder bereitgestellt wird.
Art. 4 definiert zentrale Begriffe der Richtlinie. Die Definition von „Produkt" ist für Software von besonderer Bedeutung: Software wird ausdrücklich mit aufgenommen. Auch die Begriffe „Komponente", „Hersteller" und „Kontrolle des Herstellers" sind für Open-Source-Integratoren unmittelbar relevant, weil sie festlegen, wer für welche Bestandteile eines Produkts einzustehen hat.
1. „Produkt" bezeichnet jede bewegliche Sache, auch wenn diese in eine andere bewegliche oder unbewegliche Sache integriert oder damit verbunden ist; unter „Produkt" sind auch Elektrizität, digitale Konstruktionsunterlagen, Rohstoffe und Software zu verstehen;
3. „verbundener Dienst" bezeichnet einen digitalen Dienst, der so in ein Produkt integriert oder so mit ihm verbunden ist, dass das Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte;
4. „Komponente" bezeichnet jeden körperlichen oder nicht-körperlichen Gegenstand, Rohstoff oder verbundenen Dienst, der in ein Produkt integriert oder mit dem Produkt verbunden ist;
5. „Kontrolle des Herstellers" bezeichnet den Umstand, dass a) der Hersteller eines Produkts folgende Handlungen vornimmt oder - wenn es sich um Handlungen Dritter handelt - diese genehmigt bzw. ihnen zustimmt: i) die Integration, Verbindung oder Bereitstellung einer Komponente, einschließlich Software-Updates oder -Upgrades; oder ii) die Änderung des Produkts, einschließlich wesentlicher Änderungen; b) der Hersteller eines Produkts in der Lage ist, Software-Updates oder -Upgrades selbst bereitzustellen oder durch einen Dritten bereitstellen zu lassen;
10. „Hersteller" bezeichnet jede natürliche oder juristische Person, die a) ein Produkt entwickelt, herstellt oder produziert, b) ein Produkt entwerfen oder herstellen lässt oder durch Anbringen ihres Namens, ihrer Marke oder eines anderen Erkennungszeichens auf diesem Produkt als Hersteller auftritt oder c) ein Produkt für den Eigenbedarf entwickelt, herstellt oder produziert;
Art. 5 begründet den Schadensersatzanspruch jeder natürlichen Person, die durch ein fehlerhaftes Produkt einen Schaden erleidet. Anspruchsberechtigt sind auch Rechtsnachfolger und Verbraucherschutzverbände, die für Geschädigte handeln.
(1) Die Mitgliedstaaten stellen sicher, dass jede natürliche Person, die einen durch ein fehlerhaftes Produkt verursachten Schaden erleidet (im Folgenden „geschädigte Person"), Anspruch auf Schadensersatz gemäß dieser Richtlinie hat. (2) Die Mitgliedstaaten stellen sicher, dass auch folgende Personen Anspruch auf Schadensersatz nach Absatz 1 geltend machen können: a) Personen, auf die der Anspruch der geschädigten Person aufgrund von Unionsrecht oder nationalem Recht oder eines Vertrags übergegangen ist, oder b) Personen, die nach Unionsrecht oder nationalem Recht im Namen einer oder mehrerer geschädigter Personen handeln.
Art. 6 erweitert den ersatzfähigen Schaden erheblich. Neben Tod, Körper verletzung und Sachbeschädigung ist nun auch Vernichtung oder Beschädigung von Daten ein eigenständiger Haftungsgrund, sofern die Daten nicht ausschließlich für berufliche Zwecke verwendet werden. Für Software- Hersteller ist das der materiell bedeutsamste Ausbau gegenüber der alten Richtlinie 85/374/EWG.
(1) Das Recht auf Schadensersatz gemäß Artikel 5 gilt nur für die folgenden Arten von Schäden: a) Tod oder Körperverletzung, einschließlich medizinisch anerkannter Beeinträchtigungen der psychischen Gesundheit; b) Beschädigung oder Zerstörung von Sachen, mit Ausnahme i) des fehlerhaften Produkts selbst, ii) eines Produkts, das durch eine fehlerhafte Komponente beschädigt wurde, die vom Hersteller dieses Produkts oder unter der Kontrolle dieses Herstellers in das Produkt integriert oder mit diesem verbunden wurde, iii) von Sachen, die ausschließlich für berufliche Zwecke verwendet werden; c) Vernichtung oder Beschädigung von Daten, die nicht für berufliche Zwecke verwendet werden. (2) Der Anspruch auf Schadensersatz gemäß Artikel 5 deckt alle Vermögensschäden ab, die sich aus den in Absatz 1 des vorliegenden Artikels genannten Schäden ergeben. Der Anspruch auf Schadensersatz erstreckt sich auch auf immaterielle Schäden, die sich aus den in Absatz 1 des vorliegenden Artikels genannten Schäden ergeben, soweit für Schäden dieser Art nach nationalem Recht eine Entschädigung verlangt werden kann.
Art. 7 legt fest, wann ein Produkt als fehlerhaft anzusehen ist. Relevant für Software: ausdrücklich genannt werden die Auswirkungen lernender Systeme, das Verhalten in Verbindung mit anderen Produkten und die sicherheitsrelevanten Cybersicherheitsanforderungen (Buchstabe f) - die Schnittstelle zur CRA-Konformität.
(1) Ein Produkt ist als fehlerhaft anzusehen, wenn es nicht die Sicherheit bietet, die eine Person erwarten darf oder die gemäß Unionsrecht oder nationalem Recht vorgeschrieben ist. (2) Bei der Beurteilung der Fehlerhaftigkeit eines Produktes sind alle Umstände zu berücksichtigen, einschließlich: a) der Aufmachung und der Merkmale des Produkts, einschließlich seiner Kennzeichnung, seines Designs, seiner technischen Merkmale, seiner Zusammensetzung und seiner Verpackung und der Anleitungen für Montage, Installation, Gebrauch und Wartung; b) des vernünftigerweise vorhersehbaren Gebrauchs des Produkts; c) der Auswirkungen der Fähigkeit des Produkts, nach seinem Inverkehrbringen oder seiner Inbetriebnahme weiter zu lernen oder neue Funktionen zu erwerben, auf das Produkt; d) der vernünftigerweise vorhersehbaren Auswirkungen anderer Produkte auf das Produkt, bei denen davon ausgegangen werden kann, dass sie zusammen mit dem Produkt verwendet werden, einschließlich durch eine Verbindung mit dem Produkt; e) des Zeitpunktes, zu dem das Produkt in Verkehr gebracht oder in Betrieb genommen wurde, oder, wenn der Hersteller nach diesem Zeitpunkt die Kontrolle über das Produkt behält, des Zeitpunktes, in dem das Produkt die Kontrolle des Herstellers verlassen hat; f) der einschlägigen Anforderungen an die Produktsicherheit, einschließlich sicherheitsrelevanter Cybersicherheitsanforderungen; g) Produktrückrufen oder sonstiger relevanter Eingriffe einer zuständigen Behörde oder eines in Artikel 8 genannten Wirtschaftsakteurs im Zusammenhang mit der Produktsicherheit; h) der spezifischen Bedürfnisse der Gruppe von Nutzern, für deren Gebrauch das Produkt bestimmt ist; i) im Falle eines Produkts, dessen Zweck gerade darin besteht, Schäden zu verhindern, der Tatsache, dass das Produkt diesen Zweck nicht erfüllt. (3) Ein Produkt ist nicht allein deshalb als fehlerhaft anzusehen, weil ein besseres Produkt, einschließlich Updates oder Upgrades eines Produkts, bereits in Verkehr gebracht oder in Betrieb genommen wurde oder künftig in Verkehr gebracht oder in Betrieb genommen wird.
Art. 8 regelt den Herstellerbegriff in der Haftungskette. Hersteller sind sowohl die Hersteller des Produkts selbst als auch die Hersteller fehlerhafter Komponenten, wenn diese unter der Kontrolle des Produktherstellers integriert wurden. Absatz 2 erfasst ausdrücklich denjenigen, der ein bestehendes Produkt wesentlich verändert und anschließend bereitstellt - er gilt als neuer Hersteller.
(1) Die Mitgliedstaaten stellen sicher, dass die folgenden Wirtschaftsakteure gemäß dieser Richtlinie für Schäden haftbar sind: a) der Hersteller eines fehlerhaften Produkts, b) der Hersteller einer fehlerhaften Komponente, wenn diese Komponente unter der Kontrolle des Herstellers in ein Produkt integriert oder damit verbunden wurde und die Fehlerhaftigkeit dieses Produkts verursacht hat, unbeschadet der Haftung des Herstellers gemäß Buchstabe a, und c) in dem Fall, in dem ein Hersteller eines Produkts oder einer Komponente seinen Sitz außerhalb der Union hat, unbeschadet der Haftung dieses Herstellers: i) der Importeur des fehlerhaften Produkts oder der fehlerhaften Komponente, ii) der Bevollmächtigte des Herstellers und iii) wenn kein Importeur seinen Sitz in der Union hat und es keinen Bevollmächtigten gibt, der Fulfilment-Dienstleister. Die Haftung des Herstellers gemäß Unterabsatz 1 Buchstabe a erstreckt sich auch auf Schäden, die durch eine fehlerhafte Komponente verursacht werden, wenn diese unter der Kontrolle des Herstellers in ein Produkt integriert oder damit verbunden wurde.
(2) Jede natürliche oder juristische Person, die ein Produkt außerhalb der Kontrolle des Herstellers wesentlich verändert und es anschließend auf dem Markt bereitstellt oder in Betrieb nimmt, gilt für die Zwecke des Absatzes 1 als Hersteller dieses Produkts.
Art. 9 verpflichtet Beklagte zur Offenlegung relevanter Beweismittel, wenn der Kläger die Plausibilität seines Anspruchs ausreichend stützt. Für Softwarehersteller bedeutet das eine faktische Dokumentationspflicht: SBOM, Entwicklungsunterlagen, Testprotokolle und Schwachstellenhistorie können im Streitfall herausverlangt werden.
(1) Die Mitgliedstaaten stellen sicher, dass auf Antrag einer Person, die in einem Verfahren vor einem nationalen Gericht Klage auf Ersatz des durch ein fehlerhaftes Produkt verursachten Schadens erhoben (im Folgenden „Kläger") und Tatsachen vorgetragen und Beweismittel vorgelegt hat, welche die Plausibilität des Schadensersatzanspruchs ausreichend stützen, der Beklagte verpflichtet ist, unter den in diesem Artikel festgelegten Bedingungen in der Verfügungsgewalt des Beklagten befindliche relevante Beweismittel offenzulegen.
Art. 10 verschärft die Beweislast der Hersteller erheblich. Die Fehlerhaftigkeit wird vermutet, wenn der Beklagte keine Beweismittel offenlegt, wenn das Produkt nicht den verbindlichen Sicherheitsanforderungen entspricht oder wenn eine offensichtliche Funktionsstörung vorliegt. Bei technisch oder wissenschaftlich komplexen Fällen (insbesondere Software) kann das Gericht die Fehlerhaftigkeit sogar ohne vollen Nachweis annehmen, wenn die Wahrscheinlichkeit ausreicht.
(1) Die Mitgliedstaaten stellen sicher, dass der Kläger die Fehlerhaftigkeit des Produkts, den erlittenen Schaden und den ursächlichen Zusammenhang zwischen dieser Fehlerhaftigkeit und diesem Schaden zu beweisen hat. (2) Die Fehlerhaftigkeit des Produkts wird vermutet, wenn eine der folgenden Bedingungen erfüllt ist: a) Der Beklagte unterlässt es, relevante Beweismittel nach Artikel 9 Absatz 1 offenzulegen, b) der Kläger weist nach, dass das Produkt verbindlichen Anforderungen des Unionsrechts oder des nationalen Rechts an die Produktsicherheit nicht entspricht, die vor dem Risiko der Schädigung schützen sollen, die die geschädigte Person erlitten hat, oder c) der Kläger weist nach, dass der Schaden durch eine offensichtliche Funktionsstörung des Produkts bei vernünftigerweise vorhersehbarem Gebrauch oder unter gewöhnlichen Umständen verursacht wurde. (3) Der ursächliche Zusammenhang zwischen der Fehlerhaftigkeit des Produkts und dem Schaden wird vermutet, wenn festgestellt wurde, dass das Produkt fehlerhaft und der entstandene Schaden seiner Art nach typischerweise auf den betreffenden Fehler zurückzuführen ist. (4) Ein nationales Gericht geht von der Fehlerhaftigkeit des Produkts oder dem ursächlichen Zusammenhang zwischen dessen Fehlerhaftigkeit und dem Schaden oder beidem aus, wenn trotz der Offenlegung von Beweismitteln gemäß Artikel 9 und unter Berücksichtigung aller relevanten Umstände des Falles a) es für den Kläger insbesondere aufgrund der technischen oder wissenschaftlichen Komplexität übermäßig schwierig ist, die Fehlerhaftigkeit des Produkts oder den ursächlichen Zusammenhang zwischen dessen Fehlerhaftigkeit und dem Schaden oder beides zu beweisen, und b) der Kläger nachweist, dass es wahrscheinlich ist, dass das Produkt fehlerhaft ist oder dass ein ursächlicher Zusammenhang zwischen der Fehlerhaftigkeit des Produkts und dem Schaden besteht, oder beides. (5) Der Beklagte hat das Recht, jede der in den Absätzen 2, 3 und 4 genannten Vermutungen und Annahmen zu widerlegen.
Art. 11 listet die Haftungsausschlussgründe. Absatz 2 ist für Software entscheidend: Der sogenannte „Entwicklungsrisiko-Einwand" (Abs. 1 Buchstabe e) gilt nicht, wenn die Fehlerhaftigkeit auf einen verbundenen Dienst, auf Software bzw. Software-Updates oder auf das Fehlen sicherheitsrelevanter Updates zurückzuführen ist. Wer Updates schuldig bleibt, kann sich nicht mehr auf den Stand der Technik berufen.
(1) Ein Wirtschaftsakteur nach Artikel 8 haftet nicht für Schäden, die durch ein fehlerhaftes Produkt verursacht wurden, wenn er einen der folgenden Umstände beweist: a) als Hersteller oder Importeur, dass er das Produkt nicht in Verkehr gebracht oder in Betrieb genommen hat; b) als Lieferant, dass er das Produkt nicht auf dem Markt bereitgestellt hat; c) dass es wahrscheinlich ist, dass die Fehlerhaftigkeit, die den Schaden verursacht hat, zum Zeitpunkt des Inverkehrbringens, der Inbetriebnahme oder - bei einem Lieferanten - des Bereitstellens auf dem Markt noch nicht bestanden hat oder dass diese Fehlerhaftigkeit erst nach dem betreffenden Zeitpunkt entstanden ist; d) dass die Fehlerhaftigkeit, die den Schaden verursacht hat, darauf zurückzuführen ist, dass das Produkt rechtlichen Anforderungen entspricht; e) dass die Fehlerhaftigkeit nach dem objektiven Stand der Wissenschaft und Technik zum Zeitpunkt des Inverkehrbringens oder der Inbetriebnahme des Produkts oder in dem Zeitraum, in dem sich das Produkt unter der Kontrolle des Herstellers befand, nicht erkannt werden konnte; f) als Hersteller einer fehlerhaften Komponente nach Artikel 8 Absatz 1 Unterabsatz 1 Buchstabe b, dass die Fehlerhaftigkeit des Produkts, in das diese Komponente integriert wurde, auf die Gestaltung dieses Produkts oder auf die Anweisungen des Herstellers dieses Produkts an den Hersteller dieser Komponente zurückgeht; g) im Falle einer Person, die ein Produkt gemäß Artikel 8 Absatz 2 verändert, dass die Fehlerhaftigkeit, die den Schaden verursacht hat, mit einem Teil des Produkts zusammenhängt, der von der Änderung nicht betroffen ist.
(2) Abweichend von Absatz 1 Buchstabe c wird ein Wirtschaftsakteur nicht von der Haftung befreit, wenn die Fehlerhaftigkeit eines Produkts auf eine der folgenden Ursachen zurückzuführen ist, sofern sie der Kontrolle des Herstellers unterliegt: a) einen verbundenen Dienst, b) Software, einschließlich Software-Updates oder -Upgrades, c) ein Fehlen von Software-Updates oder -Upgrades, die zur Aufrechterhaltung der Sicherheit erforderlich sind, d) eine wesentliche Änderung des Produkts.
Art. 12 ordnet die gesamtschuldnerische Haftung mehrerer Wirtschaftsakteure an. Der frühere Haftungsdeckel aus der Richtlinie 85/374/EWG ist damit abgeschafft - es gibt keine Obergrenze für die Gesamthaftung mehr. Absatz 2 enthält eine Sonderregel zugunsten von Kleinstunternehmen und kleinen Unternehmen, die Software als Komponente liefern: Gegen sie besteht unter bestimmten Voraussetzungen kein Rückgriffsrecht.
(1) Unbeschadet des nationalen Rechts über Tatbeiträge und Rückgriffsrechte stellen die Mitgliedstaaten sicher, dass in Fällen, in denen zwei oder mehr Wirtschaftsakteure für denselben Schaden gemäß dieser Richtlinie haftbar sind, diese gesamtschuldnerisch haftbar gemacht werden können. (2) Ein Hersteller, der Software als Komponente in ein Produkt integriert, hat kein Rückgriffsrecht gegen den Hersteller einer fehlerhaften Softwarekomponente, die einen Schaden verursacht, wenn a) der Hersteller der fehlerhaften Softwarekomponente zum Zeitpunkt des Inverkehrbringens dieser Softwarekomponente ein Kleinstunternehmen oder ein kleines Unternehmen war, d. h. ein Unternehmen, das nach Beurteilung zusammen mit gegebenenfalls allen Partnerunternehmen im Sinne von Artikel 3 Absatz 2 des Anhangs der Empfehlung 2003/361/EG der Kommission und verbundenen Unternehmen im Sinne von Artikel 3 Absatz 3 des genannten Anhangs ein Kleinstunternehmen im Sinne von Artikel 2 Absatz 3 des genannten Anhangs oder ein kleines Unternehmen im Sinne von Artikel 2 Absatz 2 des genannten Anhangs ist, und b) der Hersteller, der diese fehlerhafte Softwarekomponente in das Produkt integriert hat, mit dem Hersteller der fehlerhaften Softwarekomponente vertraglich vereinbart hat, auf dieses Recht zu verzichten.
Art. 16 setzt eine dreijährige Verjährungsfrist ab Kenntnis von Schaden, Fehlerhaftigkeit und Hersteller. Art. 17 verlängert die absolute Ausschlussfrist auf zehn Jahre ab Inverkehrbringen - bei wesentlichen Änderungen beginnt die Frist neu. Für Personenschäden mit langer Latenzzeit gilt eine erweiterte Frist von 25 Jahren.
(1) Die Mitgliedstaaten stellen sicher, dass für die Einleitung von Verfahren zur Geltendmachung von Schadensersatzansprüchen, die in den Anwendungsbereich dieser Richtlinie fallen, eine Verjährungsfrist von drei Jahren gilt. Die Verjährungsfrist läuft ab dem Tag, an dem die geschädigte Person Kenntnis von allem Folgendem erlangt hat oder vernünftigerweise hätte erlangen müssen: a) dem Schaden, b) der Fehlerhaftigkeit, c) der Identität des betreffenden Wirtschaftsakteurs, der gemäß Artikel 8 für diesen Schaden haftbar gemacht werden kann.
(1) Die Mitgliedstaaten stellen sicher, dass eine geschädigte Person nach Ablauf von zehn Jahren keinen Anspruch auf Schadensersatz gemäß dieser Richtlinie mehr hat, es sei denn, diese geschädigte Person hat in der Zwischenzeit ein Verfahren gegen einen Wirtschaftsakteur eingeleitet, der nach Artikel 8 haftbar gemacht werden kann. Diese Frist beginnt a) mit dem Datum, an dem das fehlerhafte Produkt, das den Schaden verursacht hat, in Verkehr gebracht oder in Betrieb genommen wurde, oder b) im Falle eines wesentlich veränderten Produkts mit dem Datum, an dem dieses Produkt nach seiner wesentlichen Änderung auf dem Markt bereitgestellt oder in Betrieb genommen wurde. (2) Wenn eine geschädigte Person aufgrund der Latenzzeit einer Körperverletzung nicht in der Lage war, innerhalb von zehn Jahren nach den Daten in Absatz 1 ein Verfahren einzuleiten, so hat die geschädigte Person abweichend von Absatz 1 nach Ablauf von 25 Jahren keinen Anspruch mehr auf Schadensersatz gemäß dieser Richtlinie, es sei denn, diese geschädigte Person hat in der Zwischenzeit ein Verfahren gegen einen Wirtschaftsakteur eingeleitet, der nach Artikel 8 haftbar gemacht werden kann.
Der vollständige Text der Richtlinie (EU) 2024/2853 ist im Download-Bereich als PDF verfügbar: Produkthaftungsrichtlinie herunterladen.