ISGroup Cybersicherheitsberatung

Richtlinie (EU) 2024/2853 zur Produkthaftung: Ein Leitfaden für Unternehmen

Die Richtlinie (EU) 2024/2853 schreibt die europäischen Regeln zur Haftung für fehlerhafte Produkte neu und ersetzt ab Ende 2024 die Richtlinie 85/374/EWG. Die bedeutendste Neuerung für den Technologiesektor ist die explizite Einbeziehung von Software, Systemen der künstlichen Intelligenz und digitalen Diensten in den Bereich der zivilrechtlichen Haftung.

Dieser Artikel ist der allgemeine Überblick des Minileitfadens zur Richtlinie. Die verlinkten Kapitel vertiefen spezifische Themen: Digitale Produkte und verbundene Dienste, Software und künstliche Intelligenz, Vulnerability Assessment als Compliance-Instrument und Penetration Tests und Herstellerhaftung.

Warum diese Richtlinie auch Technologieunternehmen betrifft

Bis zur Richtlinie von 1985 war Software im Allgemeinen von der verschuldensunabhängigen Haftung für fehlerhafte Produkte ausgenommen. Die neue Regelung schließt diese Lücke: Eine SaaS-Anwendung, ein KI-System oder eine Firmware, die einen ersatzfähigen Schaden verursacht, unterwirft den Anbieter denselben Regeln, die für ein physisches Produkt gelten. Für Unternehmen, die digitale Produkte entwickeln, vertreiben oder integrieren, ändert dies das rechtliche Risikoprofil grundlegend.

Was unter den Anwendungsbereich fällt: Produkte und haftbare Akteure

Die Richtlinie erweitert die Definition von “Produkt” und umfasst nun:

  • Software und KI-Systeme — Betriebssysteme, Firmware, Anwendungen und Dienste der künstlichen Intelligenz, unabhängig von der Bereitstellungsart (physisches Gerät oder Cloud/SaaS).
  • Digitale Fertigungsdateien — zum Beispiel Modelle für den 3D-Druck.
  • Verbundene digitale Dienste — Dienste, die für das Funktionieren eines physischen Produkts erforderlich sind, wie z. B. Verkehrsinformationen für Navigationssysteme.
  • Rohstoffe und Elektrizität.

Ausgenommen bleiben Quellcode, Mediendateien (wie E-Books) sowie freie und Open-Source-Software, die außerhalb kommerzieller Aktivitäten entwickelt oder vertrieben wird. Eine detaillierte Analyse der digitalen Produkte und verbundenen Dienste finden Sie im entsprechenden Kapitel: Richtlinie (EU) 2024/2853 und digitale Produkte.

Zu den Akteuren, die haftbar gemacht werden können, gehören der Hersteller, der Importeur, der bevollmächtigte Vertreter, der Logistikdienstleister (sofern kein EU-Importeur vorhanden ist), Online-Plattformen, die als Händler agieren, sowie jeder, der das Produkt wesentlich verändert und damit die Rolle eines neuen Herstellers übernimmt.

Ersatzfähige Schäden

Die Richtlinie deckt drei Schadenskategorien ab:

  1. Tod oder Körperverletzung, einschließlich anerkannter und medizinisch attestierter psychischer Schäden.
  2. Schäden an Sachgütern für den persönlichen oder gemischten Gebrauch, sofern sie nicht ausschließlich beruflich genutzt werden.
  3. Zerstörung oder Beschädigung von Daten, die nicht für berufliche Zwecke verwendet werden.

Beweislast und Cybersicherheit als zwingende Anforderung

Die Richtlinie erleichtert die Beweislast für Geschädigte durch drei Hauptmechanismen:

  • Zugang zu Beweismitteln — Gerichte können den Hersteller zur Offenlegung relevanter Dokumente verpflichten, unter Wahrung des Schutzes von Geschäftsgeheimnissen.
  • Vermutung der Fehlerhaftigkeit — Ein Produkt gilt als fehlerhaft, wenn der Betreiber beim Zugang zu Beweismitteln nicht kooperiert, zwingende Sicherheitsvorschriften verletzt oder offensichtliche Fehlfunktionen aufweist.
  • Komplexe technische Fälle — Wenn wissenschaftliche oder technische Komplexität die Beweisführung erschwert, kann das Gericht den Fehler oder den Kausalzusammenhang vermuten, sofern der Geschädigte nachweist, dass der Schaden wahrscheinlich mit dem Fehler zusammenhängt.

Der explizite Verweis auf Cybersicherheit als zwingende Sicherheitsanforderung ist eines der relevantesten Elemente für Technologieunternehmen: Nicht verwaltete Schwachstellen in einem Softwareprodukt oder einem IoT-System können zu einer direkten zivilrechtlichen Haftung führen. Die operativen Auswirkungen auf Vulnerability Assessments und Penetration Tests werden in den Kapiteln Vulnerability Assessment und Richtlinie (EU) 2024/2853 sowie Penetration Tests und Herstellerhaftung vertieft.

Operative Fristen für italienische Unternehmen

  • Umsetzungsfrist: Die Mitgliedstaaten müssen die nationalen Maßnahmen bis zum 9. Dezember 2026 verabschieden.
  • Anwendung: Die neuen Regeln gelten für Produkte, die ab dem 9. Dezember 2026 in Verkehr gebracht werden; für frühere Produkte bleibt die Regelung von 1985 in Kraft.
  • In Italien ist die Richtlinie im “Legge di delegazione europea 2025” (Gesetz vom 17. März 2026, Nr. 36) enthalten, das die Regierung zur Erlassung der umsetzenden Gesetzesdekrete ermächtigt.

Häufig gestellte Fragen (FAQ)

  • Was ist der Hauptunterschied zur Richtlinie von 1985?
  • Die Richtlinie von 1985 schloss Software im Allgemeinen vom Anwendungsbereich der verschuldensunabhängigen Haftung für fehlerhafte Produkte aus. Die neue Regelung umfasst explizit Software, KI-Systeme und verbundene digitale Dienste und schließt damit eine Lücke, die Schadensersatzforderungen für durch Technologieprodukte verursachte Schäden erschwert hatte.
  • Fällt eine SaaS-App unter den Anwendungsbereich der Richtlinie?
  • Ja. Die Richtlinie umfasst explizit Software, die über die Cloud bereitgestellt wird, einschließlich SaaS-Diensten. Wenn eine Anwendung einen ersatzfähigen Schaden verursacht, kann der Anbieter nach den neuen Regeln haftbar gemacht werden.
  • Gilt die Richtlinie für Open-Source-Software?
  • Nein, freie und Open-Source-Software, die außerhalb kommerzieller Aktivitäten entwickelt oder vertrieben wird, ist ausgenommen. Kommerzielle Produkte, die Open-Source-Komponenten enthalten, bleiben jedoch eingeschlossen.
  • Was bedeutet die Vermutung der Fehlerhaftigkeit im Zusammenhang mit Cybersicherheit in der Praxis?
  • Wenn ein Produkt zwingende Sicherheitsvorschriften — einschließlich solcher zur Cybersicherheit — verletzt, kann das Gericht vermuten, dass es fehlerhaft ist, ohne dass der Geschädigte dies umfassend beweisen muss. Für Unternehmen macht dies das Schwachstellenmanagement zu einem Thema der rechtlichen Haftung, nicht nur der Technik.
  • Wer haftet, wenn das Produkt über einen Online-Marktplatz verkauft wird?
  • Die Online-Plattform kann haftbar gemacht werden, wenn sie als Händler agiert oder den Verbraucher glauben lässt, das Produkt stamme direkt von ihr. In Ermangelung eines Importeurs oder EU-Vertreters kann auch der Logistikdienstleister einbezogen werden.
  • Überschneidet sich diese Richtlinie mit anderen regulatorischen Anforderungen wie NIS2 oder dem Cyber Resilience Act?
  • Ja, teilweise. NIS2 und der Cyber Resilience Act legen aktive Sicherheitsverpflichtungen fest (technische Maßnahmen, Meldepflichten, Updates); die Richtlinie 2024/2853 wirkt auf der Ebene der zivilrechtlichen Haftung für bereits eingetretene Schäden. Die drei Regelwerke ergänzen sich: Die Einhaltung der Sicherheitsanforderungen von NIS2 und CRA reduziert das Risiko, der in der Haftungsrichtlinie vorgesehenen Vermutung der Fehlerhaftigkeit zu unterliegen.
  • Wie kann sich ein Unternehmen vor Dezember 2026 vorbereiten?
  • Der Ausgangspunkt ist eine Bewertung der Sicherheitslage der Produkte und internen Prozesse, mit Fokus auf das Schwachstellenmanagement und die Dokumentation der getroffenen Kontrollen. Ein strukturierter Weg der Sicherheits-Governance reduziert die rechtliche Risikoexposition, bevor die neuen Regeln in Kraft treten.

Nützliche weiterführende Informationen

[Callforaction-VCISO-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *