Dieses Kapitel ist Teil des Minileitfadens zur Richtlinie (EU) 2024/2853 über die Haftung für fehlerhafte Produkte. Der Schwerpunkt liegt auf der Definition des digitalen Produkts, die durch die Richtlinie eingeführt wurde: Software, SaaS, Dateien für die digitale Fertigung, verbundene Dienste und die Rolle von Marktplätzen. Für die spezifische Behandlung von Software als Produkt siehe das entsprechende Kapitel EU-Richtlinie 2024/2853 und Softwarehaftung.

Die Richtlinie (EU) 2024/2853, die am 23. Oktober 2024 verabschiedet wurde, ersetzt die Richtlinie 85/374/EWG und aktualisiert die europäischen Regeln zur Haftung für fehlerhafte Produkte. Die bedeutendste Neuerung für den digitalen Sektor ist die Ausweitung der Definition von „Produkt“ auf zuvor ausgeschlossene Kategorien, was direkte Auswirkungen auf Softwarehersteller, SaaS-Anbieter, Marktplatzbetreiber und alle, die funktionale digitale Inhalte vertreiben, hat.

Was unter einem digitalen Produkt zu verstehen ist

Artikel 4, Punkt 1, definiert ein „Produkt“ als jede bewegliche Sache, wobei explizit Folgendes eingeschlossen ist:

• Software — unabhängig von der Bereitstellungsart: lokal installiert, in der Cloud bereitgestellt oder als SaaS erbracht.
• Dateien für die digitale Fertigung — digitale Modelle, die für die automatisierte Produktion bestimmt sind, wie z. B. 3D-Druckdateien.
• Verbundene digitale Dienste — Dienste, deren Fehlen das ordnungsgemäße Funktionieren des physischen oder digitalen Produkts, mit dem sie verbunden sind, verhindert.
• Elektrizität und Rohstoffe — die explizit in die Definition aufgenommen wurden.

Der kritische Punkt für SaaS- und Cloud-Anbieter ist, dass die Art der Bereitstellung keine Rolle spielt: Eine als Dienstleistung erbrachte Anwendung fällt unter die Definition eines Produkts und kann bei einem Fehler, der einen Schaden verursacht, eine verschuldensunabhängige Haftung begründen.

Anwendungsbereich und wesentliche Ausschlüsse

Die Richtlinie gilt für Produkte, die nach dem 9. Dezember 2026 in Verkehr gebracht oder in Betrieb genommen werden (Art. 2). Die für den digitalen Bereich relevantesten Ausschlüsse sind:

• Freie und Open-Source-Software, die außerhalb einer kommerziellen Tätigkeit entwickelt oder vertrieben wird.
• Reiner Quellcode, der nicht unter die verschuldensunabhängige Haftung fällt.
• Nuklearschäden, die bereits durch internationale Übereinkommen geregelt sind.

Wer haftet: Wirtschaftsakteure und Marktplätze

Artikel 8 identifiziert die verantwortlichen Akteure und stellt sicher, dass immer ein Ansprechpartner in der Europäischen Union vorhanden ist:

• Hersteller des Produkts oder einer fehlerhaften Komponente.
• Importeur für Produkte, die von außerhalb der EU stammen.
• Bevollmächtigter Vertreter des Nicht-EU-Herstellers.
• Logistikdienstleister, subsidiär, wenn keine Importeure oder EU-Vertreter identifizierbar sind.
• Online-Plattformen (Marktplätze) — verantwortlich, wenn sie das Produkt so präsentieren, dass es den Anschein erweckt, als würde es direkt von der Plattform selbst geliefert.

Für Marktplätze führt die Norm ein Kriterium ein, das auf der Wahrnehmung des Endnutzers basiert: Wenn die Plattform den Eindruck erweckt, der direkte Anbieter zu sein, haftet sie auch so. Dies hat erhebliche Auswirkungen auf Geschäftsmodelle, die Produkte Dritter aggregieren.

Ersatzfähige Schäden

Artikel 6 beschränkt den Schadensersatz für natürliche Personen auf:

• Tod oder Körperverletzung, einschließlich zertifizierter psychischer Schäden.
• Sachschäden, ausgenommen das fehlerhafte Produkt selbst und Güter, die ausschließlich für berufliche Zwecke genutzt werden.
• Zerstörung oder Korruption von Daten, die nicht für berufliche Zwecke verwendet werden, einschließlich der Kosten für die Wiederherstellung.

Beweise und Vermutung der Fehlerhaftigkeit

Um das Informationsgefälle zwischen den Parteien zu verringern, führt die Richtlinie spezifische Verfahrensmaßnahmen ein:

• Offenlegung von Beweismitteln (Art. 9): Das Gericht kann den Beklagten anweisen, relevante Beweise vorzulegen, unter Wahrung der Verhältnismäßigkeit und des Schutzes von Geschäftsgeheimnissen.
• Vermutung der Fehlerhaftigkeit (Art. 10): Ein Fehler wird vermutet, wenn der Betreiber die angeforderten Beweise nicht vorlegt, wenn das Produkt verbindliche Sicherheitsanforderungen (z. B. aus dem Cyber Resilience Act) nicht erfüllt oder bei offensichtlichen Fehlfunktionen.
• Technische Komplexität: Wenn der Nachweis des Fehlers aus wissenschaftlichen Gründen übermäßig schwierig ist, kann das Gericht den Fehler vermuten, wenn der Schaden wahrscheinlich durch diesen verursacht wurde.

Haftungsausschlüsse

Artikel 11 erlaubt es dem Betreiber, seine Haftung auszuschließen, wenn er unter anderem nachweist, dass:

• Er das Produkt nicht in Verkehr gebracht hat.
• Der Fehler erst nach dem Inverkehrbringen aufgetreten ist, es sei denn, er beruht auf Software-Updates oder Änderungen unter seiner Kontrolle.
• Der Stand der wissenschaftlichen und technischen Erkenntnisse zum Zeitpunkt des Inverkehrbringens es nicht ermöglichte, den Fehler zu erkennen (Entwicklungsrisiko), vorbehaltlich der Möglichkeit der Mitgliedstaaten, für bestimmte Produkte Ausnahmen vorzusehen.

Umsetzung in Italien

Italien hat die Umsetzung durch das Europäische Delegationsgesetz 2025 eingeleitet. Die Richtlinie 2024/2853 ist in Anhang A, Punkt 4, des Gesetzes vom 17. März 2026, Nr. 36, aufgeführt. Die Regierung ist ermächtigt, die notwendigen Gesetzesdekrete bis zum 9. Dezember 2026 zu erlassen, was gleichzeitig das Datum für das Inkrafttreten der neuen nationalen Vorschriften ist.

Verknüpfter Minileitfaden

Dieser Artikel ist Teil eines mehrteiligen Minileitfadens zur Richtlinie (EU) 2024/2853:

• Allgemeiner Überblick über die Richtlinie — Struktur, Ziele und wichtigste Neuerungen gegenüber der Richtlinie 85/374/EWG.
• Softwarehaftung — wie sich die rechtliche Position von Softwareherstellern ändert, einschließlich Fällen von Updates und Patches.
• Vulnerability Assessment und kontinuierliche Kontrolle — wie Überwachung, Updates und Schwachstellenmanagement dokumentiert werden.
• Penetration Tests und Herstellerhaftung — wann technische offensive Nachweise vor der Veröffentlichung oder nach wesentlichen Änderungen erforderlich sind.

Häufig gestellte Fragen

• Fällt eine SaaS-Anwendung unter die Produktdefinition der Richtlinie?
• Ja. Die Richtlinie schließt Software explizit ein, unabhängig von der Art der Bereitstellung. Eine als SaaS erbrachte Anwendung gilt als Produkt und kann eine verschuldensunabhängige Haftung begründen, wenn sie fehlerhaft ist und einer natürlichen Person einen Schaden zufügt.
• Ist Open-Source-Software von der Richtlinie ausgeschlossen?
• Nur, wenn sie außerhalb kommerzieller Tätigkeiten entwickelt oder vertrieben wird. Open-Source-Software, die in ein kommerzielles Produkt integriert oder im Rahmen einer unternehmerischen Tätigkeit vertrieben wird, fällt in den Anwendungsbereich.
• Wann haftet ein Marktplatz wie ein Hersteller?
• Wenn er das Produkt so präsentiert, dass der Endnutzer den Eindruck gewinnt, die Plattform selbst würde es direkt liefern. In diesem Fall wird die Plattform für Haftungszwecke dem Hersteller gleichgestellt.
• Ist Datenkorruption ein ersatzfähiger Schaden?
• Ja, für natürliche Personen und begrenzt auf Daten, die nicht für berufliche Zwecke verwendet werden. Der Schadensersatz deckt auch die Kosten für die Wiederherstellung zerstörter oder korrupter Daten ab.
• Bis wann müssen sich Unternehmen anpassen?
• Die Richtlinie gilt für Produkte, die nach dem 9. Dezember 2026 in Verkehr gebracht werden. Unternehmen, die Software, SaaS oder Produkte mit digitalen Komponenten vertreiben, müssen vor diesem Datum Verträge, Update-Prozesse und technische Dokumentationen überprüfen.

[Callforaction-VCISO-Footer]