Die neue EU-Produkthaftung

Die neue EU-Produkthaftungsrichtlinie verändert die Spielregeln grundlegend: Software gilt jetzt als Produkt. Datenverlust ist erstmals ein Haftungsgrund. Und eine maximale Schadenshöhe gibt es nicht mehr.

Was hat sich geändert?

Die bisherige Produkthaftungsrichtlinie stammt aus dem Jahr 1985 - einer Zeit, in der Software kein eigenständiges Produkt war. Die neue Fassung schließt diese Lücke:

• Software ist ein Produkt. Jede Software, die auf dem EU-Markt bereitgestellt wird, unterliegt der Produkthaftung - unabhängig davon, ob sie in ein physisches Gerät eingebettet ist oder eigenständig vertrieben wird.
• Datenverlust als Haftungsgrund. Erstmals können Geschädigte Schadensersatz für den Verlust oder die Beschädigung von Daten geltend machen.
• Keine maximale Schadenshöhe mehr. Die bisherige Obergrenze für Schadensersatzansprüche wurde gestrichen. Die Haftung ist damit theoretisch unbegrenzt.
• Erweiterte Haftungsgründe. Nicht nur der Hersteller haftet, sondern potenziell auch der Importeur oder der Vertreiber, wenn der Hersteller nicht greifbar ist.
• Offenlegungspflichten. Hersteller können verpflichtet werden, relevante Beweismittel offenzulegen. Verweigern sie das, kann das Gericht zugunsten des Klägers entscheiden.
• Beweislasterleichterung. In bestimmten Fällen wird der Fehler eines Produkts vermutet, wenn der Geschädigte zeigen kann, dass das Schadensbild typisch für einen Produktfehler ist.
• Cybersicherheit ist Sicherheitsmerkmal. Art. 7 Abs. 2 lit. f zählt die "sicherheitsrelevanten Cybersicherheitsanforderungen" ausdrücklich zu den Kriterien, nach denen die Fehlerhaftigkeit eines Produkts beurteilt wird. Ein Produkt, das einschlägige Cybersicherheitsanforderungen (etwa aus dem CRA) nicht erfüllt, gilt damit im Haftungsfall als fehlerhaft - auch dann, wenn es ansonsten funktioniert. Fehlende Sicherheitsupdates, ungepatchte Schwachstellen oder eine vernachlässigte Lieferkette sind nicht mehr nur Compliance-Themen, sondern unmittelbare Fehlerindizien.

Zusammenspiel mit dem CRA

Die Produkthaftungsrichtlinie und der Cyber Resilience Act ergänzen sich: Der CRA definiert die Sicherheitsanforderungen, die ein Produkt erfüllen muss. Die Produkthaftung greift, wenn ein Produkt trotz dieser Anforderungen Schäden verursacht. Ein Verstoß gegen CRA-Pflichten - etwa fehlende Sicherheitsupdates oder eine nicht gepflegte SBOM - kann als Nachweis für einen Produktfehler im Sinne der Produkthaftung herangezogen werden.

Gesetzesreferenzen

Die neue Produkthaftungsrichtlinie (RL EU 2024/2853):

• Art. 4 Nr. 1: Software ist ein Produkt im Sinne der Richtlinie
• Art. 6 Abs. 1 lit. c: Datenverlust als ersatzfähiger Schaden
• Art. 7 Abs. 2 lit. f: Cybersicherheitsanforderungen als Kriterium der Fehlerhaftigkeit
• Art. 8: Haftung des Herstellers für fehlerhafte Produkte und Komponenten
• Art. 9: Offenlegungspflicht - Hersteller müssen auf Verlangen relevante Beweismittel offenlegen
• Art. 10: Beweislasterleichterung - bei technischer Komplexität kann das Gericht den Fehler vermuten
• Art. 11 Abs. 2: Kein Entwicklungsrisiko-Einwand bei fehlenden Sicherheitsupdates
• Art. 12: Gesamtschuldnerische Haftung, kein Haftungsdeckel mehr

Im Zusammenspiel mit dem CRA:

• CRA Art. 13 Abs. 5: Sorgfaltspflicht bei der Integration von Open-Source-Komponenten
• CRA Anhang I Teil II Nr. 1: SBOM-Pflicht zur Dokumentation aller Komponenten
• CRA Anhang I Teil II Nr. 2: Unverzügliche Behandlung und Behebung von Schwachstellen
• CRA Art. 13 Abs. 8: Mindestens 5 Jahre Security-Support
• CRA Art. 65: Verbandsklagen für Verbraucherschutz anwendbar

Wer diese Pflichten nachweislich erfüllt, reduziert sein Haftungsrisiko erheblich. Wer sie vernachlässigt, schafft eine Angriffsfläche für Schadensersatzklagen.

Umsetzung in Deutschland

Die neue EU-Produkthaftungsrichtlinie muss national umgesetzt werden. In Deutschland ersetzt sie das bestehende Produkthaftungsgesetz (ProdHaftG). Bis zur vollständigen Umsetzung gelten Übergangsfristen. Die konkreten nationalen Ausgestaltungen - etwa zur Zuständigkeit der Gerichte und zu Verfahrensregeln -werden im Rahmen der Umsetzung festgelegt. In anderen EU-Ländern gelten vergleichbare Regelungen mit potenziell abweichenden Details.

Was bedeutet das für Sie?

Wenn Ihr Unternehmen Software herstellt, importiert oder vertreibt, haften Sie für Schäden - einschließlich Datenverluste. Die beste Verteidigung ist dokumentierte Sorgfalt: Eine aktuelle SBOM, nachweisbares Schwachstellenmanagement und eine lückenlose Maßnahmenhistorie zeigen, dass Sie Ihre Pflichten ernst nehmen. Ohne diese Nachweise stehen Sie im Schadensfall ohne Verteidigungslinie da.

Weiterlesen

• Produkthaftung und OTTRIA im Detail
• Was ist der Cyber Resilience Act?
• D&O-Haftung und die neuen Cybergesetze

Factsheet herunterladen: Produkthaftungs-Factsheet (in Erstellung)

Sie möchten Ihr Haftungsrisiko im Open-Source-Bereich bewerten lassen? Sprechen Sie mit uns.