Digital BusinessIT-Recht und Datenschutz / Produktsicherheit und -haftung / Commercial15.10.2024 Newsletter
Überarbeitung des Produkthaftungs- und Produktsicherheitsrechts: Neue Herausforderungen für Software-Entwickler und Hersteller digitaler Produkte
Insbesondere die KI-Verordnung ist spätestens seit ihrer Verabschiedung am 21. Mai 2024 in aller Munde. Der europäische Gesetzgeber arbeitet derzeit an weiteren Rechtsakten, die für Softwareentwickler und Hersteller digitaler Produkte aufgrund ihres weitreichenden Anwendungsbereichs von besonderer Bedeutung sein werden. Zum Teil hat er diese bereits veröffentlicht.
Namentlich sind das die Neufassung der in die Jahre gekommenen Produkthaftungsrichtlinie sowie eine europäische Produktsicherheitsverordnung. Letztere soll das System von europäischer Produktsicherheitsrichtlinie und nationalen Umsetzungsgesetzen ablösen. Im Gegensatz zur KI-Verordnung (und auch der KI-Haftungsrichtlinie, die sich noch im Entwurfsstadium befindet) ist in diesen Rechtsakten nicht allein künstliche Intelligenz, sondern daneben Software generell Regelungsgegenstand.
1. Neue Produktsicherheitsverordnung
Ab dem 13. Dezember 2024 wird ohne weiteren nationalen Umsetzungsakt die neue Produktsicherheitsverordnung (EU) Nr. 2023/988 gelten. Sie verfolgt das Ziel, den regulatorischen Rahmen für die Sicherheit von Non-Food-Produkten für Verbraucher zu aktualisieren, unter Berücksichtigung der spezifischen Herausforderungen neuer Technologien und Geschäftsmodelle. So findet erstmals die Berücksichtigung digitaler Eigenschaften und Funktionen von Produkten Einzug in das allgemeine Produktsicherheitsrecht, wie nachfolgend gezeigt wird.
Zentral ist die Definition von „Produkt“ (Art. 3 Ziff. 1), wonach ein Produkt jeder Gegenstand ist, der für sich allein oder in Verbindung mit anderen Gegenständen entgeltlich oder unentgeltlich – auch im Rahmen der Erbringung einer Dienstleistung – geliefert oder bereitgestellt wird und für Verbraucher bestimmt ist oder unter vernünftigerweise vorhersehbaren Bedingungen wahrscheinlich von Verbrauchern benutzt wird, selbst wenn er nicht für diese bestimmt ist.
Die Bezugnahme auf jede Art von Verbindung mit anderen Gegenständen bezieht die Risiken durch Cyberangriffe und generell Software mit ein, ohne dass es einer Verkörperung in einem anderen „Gegenstand“ bedarf, wie der Wortlaut es auf den ersten Blick nahelegt. Dies untermauern insbesondere die Erwägungsgründe der neuen EU-Verordnung:
„Neue Technologien könnten neue Risiken für die Gesundheit und Sicherheit von Verbrauchern mit sich bringen oder die Art und Weise verändern, wie bestehende Risiken auftreten könnten, beispielsweise im Falle eines externen Eingriffs, mit dem ein Produkt gehackt wird oder dessen Eigenschaften verändert werden. Durch neue Technologien könnte das ursprüngliche Produkt erheblich verändert werden, etwa durch Software-Updates, sodass es in der Folge einer neuen Risikobewertung unterzogen werden sollte, falls sich diese erhebliche Veränderung auf die Sicherheit des Produkts auswirkt.“ (Erwägungsgrund 25)
„Bestimmte Cybersicherheitsrisiken, die sich auf die Sicherheit von Verbrauchern sowie Protokolle und Zertifizierungen auswirken, können in sektorspezifischen Rechtsvorschriften behandelt werden. In Fällen, in denen keine derartigen sektorspezifischen Rechtsvorschriften gelten, sollte jedoch sichergestellt werden, dass die betreffenden Wirtschaftsakteure und nationalen Behörden Risiken im Zusammenhang mit neuen Technologien bei der Gestaltung der Produkte bzw. bei deren Bewertung berücksichtigen, damit gewährleistet ist, dass an dem Produkt vorgenommene Änderungen dessen Sicherheit nicht beeinträchtigen.“ (Erwägungsgrund 26)
Die neue Produktsicherheitsverordnung verpflichtet die verantwortlichen Wirtschaftsakteure zu einer Risikobewertung ihrer Produkte, wobei sie den Einfluss verbundener Komponenten berücksichtigen müssen. Die Verpflichtungen aus der Verordnung bestehen sowohl hinsichtlich bereits im Markt befindlicher als auch beim Vertrieb weiterer und neuer Produkte.
Wenn ein Hersteller Grund zu der Annahme hat, dass ein von ihm in Verkehr gebrachtes Produkt gefährlich ist, hat er unverzüglich Korrekturmaßnahmen zu ergreifen um die Konformität des Produkts wirksam herzustellen. Zudem hat er sowohl die Verbraucher als auch die Marktüberwachungsbehörden der Mitgliedstaaten, in denen das Produkt auf dem Markt bereitgestellt wurde, zu unterrichten. Maßnahmen der Marktüberwachungsbehörden bei Nichteinhaltung der regulatorischen Vorgaben reichen von Vertriebsverboten über Sanktionen, die von den Mitgliedstaaten festzulegen sind und wirksam, verhältnismäßig und abschreckend sein müssen, bis zu Marktmaßnahmen (insbesondere Produktrückrufe) bezüglich der bereits in Verkehr gebrachten Produkte.
Der Pflichtenkatalog erweitert sich gegenüber dem bisherigen Produktsicherheitsrecht signifikant, indem dem Wirtschaftsakteuer verpflichtende Mindestinhalte für Abhilfemaßnahmen vorgegeben werden. So ist er gemäß Art. 37 Abs. 2 gezwungen, unbeschadet anderer Abhilfemaßnahmen, die er dem Verbraucher möglicherweise anbietet, dem Verbraucher die Wahl zwischen mindestens zwei der folgenden Abhilfemaßnahmen anzubieten: (i) Reparatur des zurückgerufenen Produkts, (ii) Ersatz des zurückgerufenen Produkts durch ein sicheres Produkt desselben Typs mit mindestens demselben Wert und derselben Qualität oder (iii) angemessene Erstattung des Wertes des zurückgerufenen Produkts, sofern der Erstattungsbetrag mindestens dem vom Verbraucher gezahlten Preis entspricht. Nur in Ausnahmefällen ist es zulässig, eine einzige Abhilfemaßnahme anzubieten, namentlich bei Unmöglichkeit anderer Abhilfemaßnahmen oder bei Unverhältnismäßigkeit. Letzteres wäre der Fall, wenn unter Berücksichtigung aller Umstände, einschließlich der Frage, ob die alternative Abhilfemaßnahme ohne erhebliche Unannehmlichkeiten für den Verbraucher bereitgestellt werden könnte, dem verantwortlichen Wirtschaftsakteur im Vergleich zur von ihm vorgeschlagenen Abhilfemaßnahme Kosten auferlegen würden, die unverhältnismäßigen wären.
Diese Regelung erinnert an das zivilrechtliche Gewährleistungsrecht. Offenbar verquickt der europäische Gesetzgeber nun unabhängig von vertraglichen Verbindungen ein auf Eigenschaften der Produktsicherheit beschränktes Gewährleistungsregime zugunsten der Verbraucher mit Maßnahmen der Marktüberwachung, wodurch die Grenzen zwischen Zivil- und öffentlichem Recht verschwimmen.
In Hinblick auf Software bedeutet dies, dass durch Software ausgelöste Produktfehler zwar durch ein Update behoben werden können, dem Nutzer in aller Regel aber mindestens eine weitere Abhilfemaßnahme, die einen Umtausch des Produkts zum Gegenstand hat, angeboten werden muss. Durch Software oder Konnektivität bedingte Produktrisiken führen demnach bald zu einem betriebswirtschaftlichen Risiko, das so bislang nicht existiert.
2. Modernisierung der Produkthaftungsrichtlinie
Die Haftungsrisiken für Hersteller von Software oder Produkten mit digitalen Komponenten steigen durch die Neufassung der Produkthaftungsrichtlinie erheblich. Das Europäische Parlament hat sie am 12. März 2024 verabschiedet. Sobald sie in Kraft getreten ist, haben die Mitgliedstaaten ihre nationalen Produkthaftungsgesetze innerhalb von zwei Jahren entsprechend anzupassen.
Die überarbeitete Richtlinie soll den Entwicklungen im Zusammenhang mit neuen Technologien, einschließlich künstlicher Intelligenz (AI), neuen Geschäftsmodelle der Kreislaufwirtschaft und neuen globale Lieferketten und generell den Unsicherheiten des Produktbegriffs Rechnung tragen. Bislang ist umstritten, ob Software ein „Produkt“ im Sinne des Produkthaftungsrechts ist (siehe Erwägungsgrund 3). Nunmehr umfasst der Begriff „Produkt“ gemäß Art. 4 Abs. 1 ausdrücklich „jede bewegliche Sache, auch wenn sie in eine andere bewegliche Sache integriert oder mit dieser verbunden ist oder wenn sie in eine unbewegliche Sache integriert ist. Der Begriff „Produkt“ umfasst Elektrizität, digitale Fertigungsdateien, Rohstoffe und Software.“
Free und Open-Source Software, die außerhalb einer kommerziellen Tätigkeit entwickelt oder bereitgestellt werden, sollen nicht in den Anwendungsbereich des Produkthaftungsrechts fallen. Ob dies bei fehlender Definition von „Kommerzialität“ ausreichend trennscharf geregelt ist, bleibt abzuwarten.
Da nun auch nicht-physische Produkte (neben Elektrizität) als Produkt gelten, ist es nur konsequent, wenn auch die Verletzung nicht-materieller Rechtsgüter einen Schaden darstellen können. Der neue Art. 5a Ziff. 1 lit. c) sieht vor, dass zerstörte oder korrumpierte Daten, wenn diese nicht zu beruflichen Zwecken genutzt werden, als Schaden gelten und ein Recht auf Schadensersatz nach Art. 5 auslösen.
Den Entwicklungen im Bereich der KI trägt insbesondere Art. 6 Ziff. 1 lit. c) Rechnung, wenn im Rahmen der Bewertung, ob ein Produkt fehlerhaft ist, auch die Auswirkungen einer etwaigen Fähigkeit, nach Einsatzbeginn weiter zu lernen oder neue Funktionen zu erwerben, zu berücksichtigen ist.
Gemäß Art. 6 Ziff. 1 lit. d) sind zudem die Auswirkungen anderer Produkte auf das Produkt, bei denen nach vernünftigem Ermessen davon ausgegangen werden kann, dass sie zusammen mit dem Produkt verwendet werden, auch durch Zusammenschaltung, in die Bewertung der Fehlerhaftigkeit mit einzubeziehen.
Und schließlich sind gemäß Art. 6 Ziff. 1 lit. f) die relevanten Sicherheitsanforderungen des Produkts einschließlich sicherheitsrelevanter Cybersecurity-Anforderungen zu berücksichtigen. Effekte maschinellen Lernens als auch von Produkten, von denen damit gerechnet werden muss, dass sie gemeinsam mit dem betroffenen Produkt genutzt werden, können demnach zu Produktfehlern führen. Letzteres adressiert das Internet of Things (IoT).
Außerdem können zukünftig Cyberangriffe zur Offenlegung haftungsrelevanter Produktfehler führen. Hier wird es darauf ankommen, ob die Software zum Zeitpunkt des Angriffs dem verfügbaren Stand von Wissenschaft und Technik entsprach oder ob ein Angriff durch ein Unterlassen möglicher Sicherheitsmaßnahmen erst stattfinden konnte. Anders als nach der bisherigen Dogmatik ist für den Hersteller eines Produkts damit nicht mehr allein der Zeitpunkt des Inverkehrbringens des Produkts relevant.
Das neue europäische Produkthaftungsrecht sieht auch ansonsten weitreichende Änderungen vor, insbesondere im prozessualen Bereich: Ein in dieser Form bisher nicht bekannter Anspruch auf Offenlegung relevanter Beweise (Art. 8), was an die „Disclosure“ aus dem US-amerikanischen Recht erinnert, als auch weitreichende gesetzliche Vermutungswirkungen zugunsten des Geschädigten (Art. 9). Dies scheint insgesamt ein neuer Ansatz zu sein, den der europäischen Gesetzgeber verfolgen möchte. So sieht auch der aktuelle Entwurf der Europäischen Kommission für eine KI-Haftungsrichtlinie vom 28. September 2022 in Art. 3 und 4 solche Regelungen vor.
3. Fazit
Durch die Umgestaltung des europäischen Produktsicherheits- und Produkthaftungsrechts ergeben sich für die Hersteller von Software und digitalen Produkten erhebliche, bislang nicht vorhandene regulatorische Anforderungen sowie erweiterte Haftungsrisiken. Denn während es für die produzierende Industrie altbekanntes Terrain ist, Konformitätsbewertungsverfahren für ihre Produkte unter Zuhilfenahme harmonisierter Normen zu durchlaufen, stellt dies für die Softwareindustrie Neuland dar.
Da in der Rechtsprechung eine Tendenz dazu zu erkennen ist, produkthaftungsrechtliche Verfahren im Zweifel zugunsten des geschädigten Verbrauchers zu entscheiden, wird durch das – voraussichtlich 2026 zu erwartende – neue deutsche Produkthaftungsgesetz zudem das Risiko einer zivilrechtlichen Haftung massiv ausgeweitet. Hiermit sollten sich die betroffenen Hersteller rechtzeitig auseinandersetzen.
Auch sollten die Entwicklungen in Bezug auf den „Cyber Resilience Act“ im Blick behalten werden. In ihrem Vorschlag vom 15. September 2022 sieht die Europäische Kommission nämlich vor, darin Anforderungen für die produktbezogene Cybersicherheit festzulegen, die für die Herstellung von Software und Hardware gelten sollen. Damit ist zugleich beabsichtigt, den Regelungsaufwand, der den Herstellern durch die Rechtsakte zur Produktsicherheit entsteht, so gering wie möglich zu halten. Die Verordnung soll noch 2024 in Kraft treten. Bis 2027 müssen Hersteller dann sicherstellen, nur noch entsprechend konforme Produkte auf den Markt zu bringen.
Dr. Hanna Schmidt
Junior PartnerinRechtsanwältin
Konrad-Adenauer-Ufer 23
50668 Köln
T +49 221 2091 613
M +49 172 1475 126