Die Richtlinie (EU) 2024/2853 weitet die verschuldensunabhängige Haftung von fehlerhaften Produkten auf Software und künstliche Intelligenz aus. Dieser Artikel beleuchtet die spezifischen Auswirkungen für alle, die im Rahmen ihrer Tätigkeit Software – einschließlich KI-Systemen – entwickeln, vertreiben oder integrieren. Für einen allgemeinen Überblick über die Richtlinie, einschließlich Definitionen, verpflichteter Akteure und Übergangsregelungen, lesen Sie den Einführungsleitfaden zur Richtlinie (EU) 2024/2853.

Software ist ein Produkt: Was das in der Praxis bedeutet

Die Richtlinie stellt Software im Hinblick auf die verschuldensunabhängige Haftung formell einem physischen Produkt gleich. Unter diese Definition fallen Betriebssysteme, Firmware, Anwendungen, Computerprogramme und Systeme der künstlichen Intelligenz, unabhängig vom Vertriebskanal: lokale Installation, Cloud, SaaS oder die Integration in ein physisches Gerät.

Ausgenommen sind freie und Open-Source-Software, die außerhalb einer kommerziellen Tätigkeit entwickelt oder vertrieben wird, reiner Quellcode sowie Mediendateien wie E-Books. Eine detaillierte Analyse der betroffenen digitalen Produkte finden Sie unter Digitale Produkte und Richtlinie (EU) 2024/2853.

Die praktische Konsequenz ist, dass der Geschädigte kein Verschulden des Herstellers nachweisen muss: Es reicht aus, den Fehler, den Schaden und den ursächlichen Zusammenhang zu belegen.

Haftung nach dem Verkauf und Sicherheitsupdates

Die Haftung des Softwareherstellers endet nicht mit der Auslieferung des Produkts. Solange der Hersteller in der Lage ist, Updates bereitzustellen – direkt oder über Dritte –, bleibt das Produkt unter seiner Kontrolle.

Das bedeutet, dass das Unterlassen notwendiger Sicherheitsupdates das Produkt fehlerhaft machen kann, selbst wenn es zum Zeitpunkt der Auslieferung konform war. Die Haftung erstreckt sich zudem auf Fehler, die durch vom Hersteller autorisierte spätere Updates oder Änderungen eingeführt wurden.

Für Unternehmen, die ihre eigene Gefährdung prüfen möchten, ermöglicht ein regelmäßiges Vulnerability Assessment die Identifizierung bekannter Schwachstellen, bevor diese zur Haftungsquelle werden.

Künstliche Intelligenz: Maschinelles Lernen und Fehlervermutung

Die Sicherheitsbewertung eines KI-Systems berücksichtigt dessen Fähigkeit, nach der Inbetriebnahme zu lernen und neue Funktionen zu erwerben. Der Hersteller bleibt auch dann haftbar, wenn der Schaden aus einem unerwarteten Verhalten resultiert, das durch maschinelles Lernen entstanden ist.

In Fällen, in denen die technische oder wissenschaftliche Komplexität es für das Opfer übermäßig schwierig macht, den Fehler oder den ursächlichen Zusammenhang zu beweisen, kann das Gericht den Fehler oder die Kausalität vermuten, sofern das Opfer die Wahrscheinlichkeit einer dieser Bedingungen nachweist. Dies senkt die Hürde für den Zugang zu Schadensersatz bei Schäden durch undurchsichtige oder komplexe KI-Systeme erheblich.

Offenlegung von Beweismitteln und Geschäftsgeheimnisse

Im Falle eines Rechtsstreits können Gerichte Softwarehäuser dazu verpflichten, relevante Beweismittel offenzulegen: technische Dokumentationen, Systemprotokolle, Designspezifikationen. Es gibt Schutzmaßnahmen für Geschäftsgeheimnisse, doch die Weigerung, die angeforderten Beweise vorzulegen, birgt das Risiko, dass das Gericht automatisch einen Produktfehler vermutet.

Dies macht das Dokumentenmanagement und die Rückverfolgbarkeit des Entwicklungszyklus nicht nur für die Softwarequalität, sondern auch für die Verteidigungsfähigkeit vor Gericht zu einem wesentlichen Element.

Datenschäden: Was ist ersatzfähig?

Die Richtlinie erkennt das Recht auf Schadensersatz für die Zerstörung oder Korruption von Daten an, die durch ein fehlerhaftes Produkt verursacht wurde. Der Schadensersatz deckt die materiellen Kosten für die Wiederherstellung oder Wiederbeschaffung ab, gilt jedoch nur für Daten, die nicht ausschließlich für berufliche Zwecke genutzt werden, und nur für natürliche Personen.

Unternehmen als juristische Personen sowie Schäden an Gütern oder Daten, die ausschließlich für berufliche Zwecke genutzt werden, bleiben vom Anwendungsbereich der Richtlinie ausgeschlossen: Für diese Fälle gelten weiterhin die ordentlichen Regelungen zur vertraglichen und außervertraglichen Haftung.

Auswirkungen auf Kleinst- und Kleinunternehmen im Softwarebereich

Wenn ein Fehler auf eine Softwarekomponente zurückzuführen ist, die von einem Kleinst- oder Kleinunternehmen geliefert wurde, kann der Hersteller des Endprodukts vertraglich auf sein Regressrecht gegenüber dem kleinen Softwarehaus verzichten. Diese Klausel schützt KMU vor untragbaren Rechtsstreitigkeiten zwischen professionellen Akteuren, während das Recht des Endverbrauchers auf Schadensersatz durch den Produkthersteller unberührt bleibt.

Häufig gestellte Fragen

• Unterliegt eine über einen Store vertriebene mobile App der Richtlinie?
• Ja. Mobile Anwendungen fallen unabhängig vom Vertriebskanal unter die Definition von Software als Produkt. Wenn die App im Rahmen einer kommerziellen Tätigkeit vertrieben wird und aufgrund eines Fehlers einen Schaden verursacht, kann der Hersteller verschuldensunabhängig haftbar gemacht werden.
• Wird ein SaaS-System als Produkt oder Dienstleistung betrachtet?
• Software, die über SaaS bereitgestellt wird, fällt als Produkt in den Anwendungsbereich der Richtlinie. Die für das Funktionieren des Produkts notwendigen digitalen Dienste werden als Bestandteile desselben behandelt, sodass die Unterscheidung zwischen Produkt und Dienstleistung die Anwendbarkeit der Regelung nicht ausschließt.
• Gilt die Haftung auch für Open-Source-Software?
• Freie und Open-Source-Software, die außerhalb einer kommerziellen Tätigkeit entwickelt oder vertrieben wird, ist ausgeschlossen. Wenn Open-Source-Software jedoch in ein kommerzielles Produkt integriert oder im Rahmen einer wirtschaftlichen Tätigkeit vertrieben wird, haftet der Hersteller des Endprodukts für Fehler, einschließlich derer, die aus Open-Source-Komponenten stammen.
• Wann greift die Fehlervermutung bei KI-Systemen?
• Die Vermutung greift, wenn das Opfer nachweist, dass ein Fehler oder ein ursächlicher Zusammenhang wahrscheinlich ist, die technische oder wissenschaftliche Komplexität den vollen Beweis jedoch übermäßig erschwert. In diesen Fällen kann das Gericht den Fehler oder die Kausalität vermuten und damit die Beweislast faktisch auf den Hersteller umkehren.
• Was riskiert ein Unternehmen, das keine Sicherheitsupdates bereitstellt?
• Solange der Hersteller in der Lage ist, das Produkt zu aktualisieren, kann das Unterlassen notwendiger Updates zur Behebung bekannter Schwachstellen das Produkt im Sinne der Richtlinie fehlerhaft machen. Der durch diese nicht behobene Schwachstelle verursachte Schaden kann somit eine verschuldensunabhängige Haftung begründen.
• Können Unternehmenskunden auf Basis der Richtlinie klagen?
• Juristische Personen (Unternehmen) gehören nicht zu den durch die Richtlinie geschützten Personen. Schäden an Gütern oder Daten, die ausschließlich für berufliche Zwecke genutzt werden, sind ausgeschlossen. Unternehmen können jedoch weiterhin auf Basis der ordentlichen vertraglichen oder außervertraglichen Haftungsregelungen klagen, die davon unberührt bleiben.

Nützliche weiterführende Informationen

• Allgemeiner Leitfaden zur Richtlinie (EU) 2024/2853 — umfassender Überblick über Akteure, Definitionen und Übergangsregelungen.
• Digitale Produkte und Richtlinie (EU) 2024/2853 — Analyse der abgedeckten digitalen Güter und Ausschlüsse.
• Vulnerability Assessment und Richtlinie (EU) 2024/2853 — wie regelmäßige Kontrollen das regulatorische Risiko reduzieren.
• Penetration Tests und Herstellerhaftung — die Rolle offensiver Tests beim Management regulatorischer Risiken.

[Callforaction-VCISO-Footer]