Die neue EU-Produkthaftungsrichtlinie – Risiken (auch) für Softwarehersteller

Neue und verschärfte Regelungen zur Produkthaftung nach fast 40 Jahren

Fast 40 Jahre, nachdem die verschuldensunabhängige Haftung von Herstellern für Schäden, die durch fehlerhafte Produkte verursacht wurden, erstmalig auf europäischer Ebene geregelt wurde, hat der europäische Gesetzgeber eine neue Regelung erlassen: Am 18.11.2024 wurde die Richtlinie (EU) 2024/2853 „über die Haftung für fehlerhafte Produkte“ (im Folgenden: ProdHaftRL-2024) im Amtsblatt der EU veröffentlicht.[1] Sie trat am 08.12.2024 in Kraft.[2] Die Mitgliedsstaaten müssen die Richtlinie bis zum 09.12.2026 in nationales Recht umsetzen.[3] Die Umsetzung wird zu einer spürbaren Verschärfung der Haftung von Herstellen und anderen Wirtschaftsakteuren gegenüber natürlichen Personen für durch Produkte verursachte Schäden führen, wobei auch „digitale“ Produkte (z. B. Software) betroffen sind.

Im Folgenden geben wir Ihnen einen Überblick über den Inhalt der ProdHaftRL-2024:

Wozu eine neue EU-Produkthaftungsrichtlinie?

Die bisherige Produkthaftungsrichtline der EU[4], auf der auch das deutsche Produkthaftungsgesetz beruht, stammt aus dem Jahre 1985 – einer Zeit, als gerade Windows 1.0 eingeführt wurde und das World Wide Web noch nicht verfügbar war. Es liegt auf der Hand, dass heutige Technologien wie Internet of Things (IoT) und künstliche Intelligenz (KI) in dieser Richtlinie nicht adäquat berücksichtigt wurden. Hinzu kommt, dass der europäische Gesetzgeber es sich zum Ziel gesetzt hat, den Binnenmarkt der Union durch ein einheitliches und möglichst hohes Niveau des Schutzes der Verbraucher zu fördern. Der EU-Gesetzgeber war der Auffassung, dass erhebliche Änderungen an der bestehenden EU-Produkthaftungsrichtline erforderlich geworden wären, um u. a. den vorgenannten Umständen Rechnung zu tragen. Da die erforderlichen Änderungen als zu umfangreich angesehen wurden, entschloss sich der EU-Gesetzgeber, eine neue Richtlinie zur Produkthaftung zu erlassen, die die bisherige Produkthaftungsrichtline in Gänze ersetzt.

Software als Produkt im Sinne der ProdHaftRL-2024

In der bisherigen Produkthaftungsrichtline – und auch im Produkthaftungsgesetz – fand Software keine ausdrückliche Erwähnung als „Produkt“ (im Gegensatz zur ebenfalls immateriellen „Elektrizität“). Daher bestand Uneinigkeit darüber, ob Software ein „Produkt“ im Sinne des Produkthaftungsgesetzes ist. Ganz anders ist nunmehr die Situation nach der ProdHaftRL-2024:

Was unter einem „Produkt“ im Sinne der ProdHaftRL-2024 zu verstehen ist, ergibt sich aus Art. 4 Nr. 1 der Richtlinie. Dies ist zunächst einmal jede „bewegliche Sache“, und zwar auch dann, wenn die bewegliche Sache in eine andere bewegliche oder unbewegliche Sache integriert oder damit verbunden ist. Auch „digitale Konstruktionsunterlagen“ zählen zu den vom Anwendungsbereich der Richtlinie erfassten Produkten; dies können z. B. Konstruktionszeichnungen sein, die mittels CAD-Software erstellt wurden. Weiterhin stellt Art. 4 Nr. 1 der Richtlinie ausdrücklich klar, dass unter „Produkt“ auch „Software“ zu verstehen ist. 

Was wiederum alles unter den Begriff „Software“ fällt, dazu enthält die Richtlinie zwar keine eigenständige Definition. Aber im Erwägungsgrund 13 der Richtlinie hat der EU-Gesetzgeber einige Beispiele aufgeführt und nennt „Betriebssysteme, Firmware, Computerprogramme, Anwendungen oder KI-Systeme“. In Erwägungsgrund 13 der ProdHaftRL-2024 wird weiterhin Bezug genommen auf „Anbieter von KI-Systemen im Sinne der Verordnung (EU) 2024/1689“, die als Hersteller betrachtet werden sollen. Damit nimmt die Richtlinie Bezug auf die sog. „KI-Verordnung“[5] (auch „AI Act“), die am 01.08.2024 in Kraft trat. Diese soll u. a. „den Schutz vor schädlichen Auswirkungen von KI-Systemen in der Union […] gewährleisten“. Der ProdHaftRL-2024 liegt mithin ein weiter Begriff von Software zugrunde, der auch Systeme umfasst, die auf Künstlicher Intelligenz beruhen.[6]

Der europäische Gesetzgeber hat in der ProdHaftRL-2024 weiterhin zum Ausdruck gebracht, dass es nicht darauf ankommt, in welcher Art und Weise die Software zur Verfügung gestellt oder genutzt wird. Auch Software, die „unkörperlich“ bereitgestellt und/oder genutzt wird (beispielsweise wenn die Software im Wege des Herunterladens aus dem Internet bezogen wird oder ein „Software-as—a–Service“ („SaaS“) Modell genutzt wird), soll dem Anwendungsbereich der ProdHaftRL-2024 unterfallen, wie sich aus Erwägungsgrund 13 der Richtlinie ergibt.

Der Hersteller der Software soll gemäß Art. 8 Abs. 1 (b) ProdHaftRL-2024 auch dann grundsätzlich haftbar sein, wenn folgende Konstellation gegeben ist: Der Softwarehersteller stellt einem Hersteller eines Produkts die Software bereit, damit die Software in ein von dem Hersteller produziertes Produkt integriert oder mit diesem Produkt verbunden wird – die Software wird damit zu einer „Komponente“ des Produkts im Sinne des Art. 4 Abs. 4 ProdHaftRL-2024. Das Produkt verursacht aufgrund eines Fehlers einen Schaden, wobei der Fehler des Produkts durch einen Fehler der Software verursacht wurde. Ein Beispiel hierfür wäre ein Navigationsgerät, das vom Hersteller A produziert wird und in das fehlerhafte Software des Softwareherstellers B integriert wird, die einen Fehler des Navigationsgerätes verursacht. Softwarehersteller müssen daher in den Fällen, in denen die fehlerhafte Software zur Komponente eines Produkts wurde, nicht nur einen möglichen Regress im Innenverhältnis zum Herstellers des Produkts fürchten, sondern haften ggf. auch unmittelbar gegenüber den Geschädigten.

Allerdings ist nicht jeder, der Software entwickelt, haftbar für Schäden, die durch eine fehlerhafte Software verursacht wurden. Die ProdHaftRL-2024 differenziert nämlich zwischen verschiedenen Lizenzierungsarten von Software. So soll „freie und quelloffene Software, die außerhalb einer Geschäftstätigkeit entwickelt oder bereitgestellt wird“, nicht dem Anwendungsbereich der Richtlinie unterfallen (Art. 2 Abs. 2 ProdHaftRL-2024). Wer als „Hobbyentwickler“ ein Computerprogramm erschafft, das als freie Software oder als Open Source verbreitet wird, muss daher grundsätzlich nicht befürchten, dem Haftungsregime der ProdHaftRL-2024 zu unterfallen.

Für etwaige Fehler von freier und quelloffener Software, die nicht im Rahmen einer Geschäftstätigkeit bereitgestellt wird, soll der Hersteller der Software nach dem Willen des europäischen Gesetzgebers auch dann nicht haften, wenn die Software von einem anderen Hersteller im Rahmen seiner Geschäftstätigkeit in dessen Produkt als Komponente integriert wird; haften soll vielmehr der Hersteller des Produkts, in das die Software als Komponente integriert wird.[7]

Wird die quelloffene Software allerdings gegen einen Preis bereitgestellt, so soll diese Bereitstellung nach dem Erwägungsgrund 14 der ProdHaftRL-2024 als „im Rahmen einer Geschäftstätigkeit“ gelten, so dass der Anwendungsbereich der Richtlinie eröffnet ist. Dasselbe gilt, wenn die Software gegen personenbezogene Daten bereitgestellt wird, sofern diese Daten nicht „ausschließlich zur Verbesserung der Sicherheit, Kompatibilität oder Interoperabilität der Software verwendet werden“. Damit wäre streng genommen der Anwendungsbereich der Richtlinie schon dann eröffnet, wenn ein Entwickler von Open Source Software ein personenbezogenes Datum wie die E-Mail-Adresse des (zukünftigen) Benutzers der Software erfasst und ausschließlich dazu verwendet, um diesem per E-Mail einen Link zum Herunterladen der Software zu übermitteln. Es darf bezweifelt werden, ob dies dem tatsächlichen Willen des EU-Gesetzgebers entspricht.

Welchen Schaden kann Software schon anrichten?

Bei flüchtiger Betrachtung könnte man zu dem Schluss kommen, dass eine nicht fehlerfrei funktionierende Software allenfalls zu Petitessen wie einem „Bluescreen“ führt, der sich durch einen Neustart des Rechners beseitigen lässt. Die bloßen „Bits und Bytes“ können eine Person jedenfalls – anders als die ebenfalls immaterielle Elektrizität – nicht verletzen.

Tatsächlich aber können Schäden durch fehlerhafte Software gravierend sein: Man stelle sich eine nicht allzu ferne Zukunft vor, in der ein voll autonom fahrendes Fahrzeug im Straßenverkehr unterwegs ist. Es gibt nur vier Passagiere, aber keinen Fahrer mehr, der die Kontrolle über das Fahrzeug übernehmen könnte, da kein Lenkrad und keine Pedale vorhanden sind. Das Fahrzeug verfügt über eine Software, welche die von den Kameras des Fahrzeuges gelieferten Daten verarbeitet und ggf. Fahrmanöver ausführt. Die Software ist grundsätzlich so programmiert, dass sie eine Vollbremsung ausführt, wenn sie ein Hindernis im Fahrweg detektiert und nur so ein Zusammenstoß vermieden werden kann. Aufgrund eines Programmfehlers interpretiert die Software während einer Fahrt ein auf der anderen Fahrspur entgegenkommendes Fahrzeug als „Geisterfahrer“ und leitet eine Vollbremsung ein. Dadurch gerät das Fahrzeug auf der nassen und rutschigen Fahrbahn ins Schleudern, kollidiert mit einem entgegenkommenden LKW und gerät in Brand. Die Insassen des Fahrzeugs werden schwer verletzt.

Für welche Schäden wird gehaftet?

Nach Art. 6 der ProdHaftRL-2024 besteht ein Recht auf Schadensersatz bei Schäden an den folgenden Rechtsgütern:

• Tod oder Körperverletzung (einschließlich Beeinträchtigungen der psychischen Gesundheit, sofern medizinisch anerkannt).
• Beschädigung oder Zerstörung von Sachen, wobei hier wichtige Ausnahmen bestehen: So werden Schäden am fehlerhaften Produkt selbst nicht ersetzt. Ebenfalls nicht ersetzt werden Schäden an Sachen, die ausschließlich für berufliche Zwecke verwendet werden.
• Vernichtung oder Beschädigung von Daten – dies ist ein Novum, da nach dem derzeitigen deutschen Produkthaftungssetz nur Schäden an Sachen ersetzt werden. Sachen im Sinne des Gesetzes sind aber „nur körperliche Gegenstände“ (§ 90 BGB). Da Daten immateriell sind, gab es bisher für die Beschädigung oder Zerstörung von Daten keinen Schadensersatz. Mit der Aufnahme von Daten als geschütztem Rechtsgut trägt der europäische Gesetzgeber „der wachsenden Bedeutung und [dem] zunehmenden Wert“[8] von Daten Rechnung. Allerdings gibt es die wichtige Ausnahme, dass nur solche Daten erfasst werden, die nicht für berufliche Zwecke verwendet werden.

Der Anspruch auf Schadensersatz deckt zum einen alle Vermögensschäden ab, die aus der Verletzung der oben genannten Rechtsgüter resultieren. Dabei ergibt sich mit der ProdHaftRL-2024 eine weitere Änderung im Vergleich zu jetzigen Rechtslage: Derzeit hat der Geschädigte im Falle einer Sachbeschädigung einen Schaden bis zu einer Höhe von 500,00 € noch selbst zu tragen.[9] Die ProdHaftRL-2024 hingegen sieht keine Selbstbeteiligung des Geschädigten im Falle der Beschädigung einer Sache vor.

Der Anspruch auf Schadensersatz umfasst auch den Ausgleich für immaterielle Schäden, die sich aus der Schädigung der oben erwähnten Rechtsgüter ergeben – jedenfalls sofern nach nationalem Recht für immaterielle Schäden Ersatz gewährt wird. Nach dem deutschen ProdHaftG besteht bei einer Verletzung des Körpers oder der Gesundheit durch ein fehlerhaftes Produkt bereits ein Anspruch auf „eine billige Entschädigung in Geld“, sprich Schmerzensgeld.[10] Insofern ist der Ausgleich für immaterielle Schäden im Rahmen der Produkthaftung aus deutscher Sicht kein Novum.

Neu ist indes, dass es zukünftig keinen Haftungshöchstbetrag mehr geben wird. Derzeit ist die Haftung des Ersatzpflichtigen auf 85 Mio. Euro begrenzt (§ 10 ProdHaftG). Art. 15 ProdHaftRL-2024 schreibt aber vor, dass die Haftung für Schäden durch fehlerhafte Produkte nicht durch nationales Recht beschränkt oder ausgeschlossen werden darf. Dies kann zu einer erheblichen finanziellen Mehrbelastung führen, insbesondere dann, wenn viele Personen durch fehlerhafte gleiche Produkte Personenschäden erleiden.

Es sei an dieser Stelle nochmals erwähnt, dass es sich bei der Produkthaftung um eine verschuldensunabhängige Haftung für durch fehlerhafte Produkte verursachte Schäden handelt. Es ist daher für Geschädigte nicht erforderlich, beispielsweise nachzuweisen, dass der Hersteller bei der Herstellung des fehlerhaften Produkts die im Verkehr erforderliche Sorgfalt außer Acht gelassen hat, mithin Fahrlässigkeit vorliegt. Eine Haftung besteht vielmehr auch dann, wenn bei der Herstellung die im Verkehr erforderliche Sorgfalt beachtet wurde, das Produkt aber trotzdem fehlerhaft war.

Nur wenn bestimmte Umstände vorliegen, ist eine Haftung für Schäden durch fehlerhafte Produkte nach der ProdHaftRL-2024 ausgeschlossen. [11] Einer dieser in Art. 11 Abs. 1 ProdHaftRL-2024 aufgezählten Umstände ist, „dass es wahrscheinlich ist, dass die Fehlerhaftigkeit, die den Schaden verursacht hat, zum Zeitpunkt des Inverkehrbringens, der Inbetriebnahme oder — bei einem Lieferanten — des Bereitstellens auf dem Markt noch nicht bestanden hat oder dass diese Fehlerhaftigkeit erst nach dem betreffenden Zeitpunkt entstanden ist“ (Art. 11 Abs. 1 ProdHaftRL-2024). Wer sich auf solche Umstände beruft, muss im Übrigen beweisen, dass diese Umstände vorliegen (Art. 11 Abs. 1 ProdHaftRL-2024).

Allerdings gibt es von diesem Ausschluss der Haftung wichtige Ausnahmen, soweit Software betroffen ist. Art. 11 Abs. 2 ProdHaftRL-2024 regelt nämlich zum einen, dass eine Haftungsbefreiung dann nicht eintritt, wenn die Fehlerhaftigkeit des Produkts auf „Software, einschließlich Software-Updates oder -Upgrades“ als Ursache zurückzuführen ist, „sofern sie der Kontrolle des Herstellers unterliegt“. Zum anderen tritt eine Haftungsbefreiung nicht ein, wenn „ein Fehlen von Software-Updates oder -Upgrades, die zur Aufrechterhaltung der Sicherheit erforderlich sind“, Ursache für die Fehlerhaftigkeit ist, wobei auch in diesem Fall die Ursache „der Kontrolle des Herstellers“ unterliegen muss.

Was unter „Kontrolle des Herstellers“ zu verstehen ist, wird in Art. 4 Nr. 5 ProdHaftRL-2024 definiert. Diese besteht insbesondere dann, wenn „der Hersteller eines Produkts in der Lage ist, Software-Updates oder -Upgrades selbst bereitzustellen oder durch einen Dritten bereitstellen zu lassen“. Softwareherstellern kann es daher auch noch lange Zeit nach dem Inverkehrbringen der Software verwehrt sein, sich auf einen Haftungsausschluss zu berufen, wenn sie wegen Schäden, die durch fehlerhafte Software verursacht wurden, in Anspruch genommen werden. Streitpotential wohnt der Frage inne, was genau es bedeutet, wenn die Richtlinie davon spricht, dass der Hersteller „in der Lage ist“ Software-Updates oder -Upgrades bereitzustellen. Ist er das auch noch, wenn er „nur“ die geschäftliche Entscheidung getroffen hat, für eine ältere Software keine Updates mehr zur Verfügung zu stellen, obwohl er technisch grundsätzlich dazu in der Lage wäre? Hier sollten – ggf. durch die Rechtsprechung – vernünftige zeitliche Grenzen der Haftung gezogen werden, um nicht eine Haftung ad infinitum entstehen zu lassen.

Die Produkthaftung kann im Übrigen nicht durch vertragliche Bestimmungen eingeschränkt oder ausgeschlossen werden (Art. 15 ProdHaftRL-2024). Es nützt daher einem Softwarehersteller nichts, wenn er z. B. in seinen Lizenzbestimmungen Regelungen vorsieht, wonach er für Schäden wie Datenverlust keine Haftung übernimmt, die Haftung der Höhe nach auf den Kaufpreis der Software begrenzt etc.

Wann liegt ein fehlerhaftes Produkt vor?

Nach der Legaldefinition in der ProdHaftRL-2024 ist ein Produkt „als fehlerhaft anzusehen, wenn es nicht die Sicherheit bietet, die eine Person erwarten darf oder die gemäß Unionsrecht oder nationalem Recht vorgeschrieben ist“ (Art. 7 Abs. 1 ProdHaftRL-2024).

Im Rahmen der Beurteilung, ob eine Fehlerhaftigkeit des Produkts gegeben ist, sind verschiedene Umstände zu berücksichtigen, die in Art. 7 Abs. 2 ProdHaftRL-2024 aufgeführt sind. Soweit Software betroffen ist, so ist insbesondere von Relevanz, dass zu den zu berücksichtigenden Umständen auch die „einschlägigen Anforderungen“ an die Cybersicherheit zählen. Insofern kommen der jüngst in Kraft getretenen Cyberresilienz-Verordnung[12], die ab Dezember 2027 gilt, und der – eigentlich bis zum 17.10.2024 in nationales Recht umzusetzenden – NIS-2-Richtlinie[13] der EU besondere Bedeutung zu. Softwarehersteller werden noch mehr Sorge dafür tragen müssen, dass sowohl ihre innere Organisation als auch die von ihnen entwickelte Software ein hohes Maß an Cybersicherheit bieten – andernfalls droht die Haftung für Schäden durch die fehlerhafte Software.

Hinzu kommt, dass hinsichtlich der Beurteilung der Fehlerhaftigkeit nicht nur (wie bisher) auf den Zeitpunkt, an dem das Produkt (die Software) in Verkehr gebracht wurde, abzustellen ist. Vielmehr kann es nunmehr auch auf den Zeitpunkt ankommen, an dem das Produkt in Betrieb genommen wurde. Weiterhin kann der Zeitpunkt relevant sein, „in dem das Produkt die Kontrolle des Herstellers verlassen hat“, sofern das Produkt nach dem Inverkehrbringen der Kontrolle des Herstellers unterlag (Art. 7 Abs. 2 e) ProdHaftRL-2024). Das bedeutet: Der relevante Zeitpunkt kann lange nach dem Inverkehrbringen der Software liegen. Die Software unterliegt nämlich, wie bereits erwähnt, solange der Kontrolle des Herstellers, wie er in der Lage ist, Software-Updates oder -Upgrades bereitzustellen oder durch Dritte bereit stellen zu lassen (Art 4 Abs. 5 b) ProdHaftRL-2024). Damit kann die Situation eintreten, dass der Hersteller lange nach dem Inverkehrbringen einer initial fehlerfreien Software verschuldensunabhängig haften muss, wenn die Software durch ein von ihm bereitgestelltes Update oder Upgrade fehlerhaft wird und dadurch Schäden verursacht. 

Wer haftet (Verpflichtete)?

Die ProdHaftRL-2024 führt zu einer Erweiterung des Kreises derjenigen, die ggf. für Schäden, die durch fehlerhafte Produkte verursacht wurden, haften (Art. 8 ProdHaftRL-2024). Zu diesen sog. „Wirtschaftsakteuren“ zählt – was insofern nicht neu ist – zunächst einmal der Hersteller eines fehlerhaften Produkts. Weiterhin haftet der Hersteller einer fehlerhaften Komponente eines Produkts, „wenn diese Komponente unter der Kontrolle des Herstellers in ein Produkt integriert oder damit verbunden wurde und die Fehlerhaftigkeit dieses Produkts verursacht hat“. Sofern der Hersteller seinen Sitz außerhalb der Union hat, so haften der Importeur des fehlerhaften Produkts sowie – und das ist neu – der Bevollmächtigte des Herstellers.[14] Neu ist weiterhin, dass der Fulfillment-Dienstleister[15] haftbar sein kann, wenn es bei einem Hersteller mit Sitz außerhalb der Union weder einen Importeur mit Sitz in der EU noch einen Bevollmächtigten gibt. Sofern keiner dieser Wirtschaftsakteure ermittelt werden kann, dann kann schließlich – wenn weitere Voraussetzungen vorliegen – jeder Lieferant des fehlerhaften Produkts haftbar sein (Art. 8 Abs. 3 ProdHaftRL-2024). Dasselbe gilt grundsätzlich auch für den Betreiber eines Online-Marktplatzes (Art. 8 Abs. 4 ProdHaftRL-2024); dies ist eine weitere Neuerung der ProdHaftRL-2024.

Wem gegenüber besteht die Haftung (Anspruchsberechtigte)?

Eine Haftung besteht zunächst einmal gegenüber jeder „natürlichen Person“, mithin gegenüber jedem Menschen, der „einen durch ein fehlerhaftes Produkt verursachten Schaden erleidet“ (Art. 5 (1) ProdHaftRL-2024). Wichtig zu wissen ist, dass eine Haftung gegenüber einer anspruchsberechtigten Person auch ohne direkte vertragliche Beziehungen bestehen kann. Wer mithin Software in einem Geschäft kauft, hat ggf. keine direkten vertraglichen Beziehungen mit dem Softwarehersteller, sondern nur mit dem Verkäufer. Gleichwohl kann der Softwarehersteller gegenüber dem Erwerber der Software haftbar sein, wenn dieser durch die Software aufgrund eines Fehlers derselben einen Schaden erleidet.

Ein erhöhtes Risiko wird sich für diejenigen, die für Schäden durch fehlerhafte Produkte haften, daraus ergeben, dass zukünftig auch Verbandsklagen zulässig sein werden. Bei diesen können u. a. qualifizierte Verbraucherzentralen und Verbraucherverbände im Wege der sog. Abhilfeklage ggf. für eine Vielzahl von geschädigten Personen Ansprüche auf Leistung an die betroffenen Personen geltend machen, wobei als Leistung auch die Zahlung eines kollektiven Gesamtbetrages begehrt werden kann.[16] Dies könnte zu einer Zunahme von Rechtsstreitigkeiten führen, wenn fehlerhafte Produkte durch eine Vielzahl von Verbrauchern genutzt werden und diesen Schäden zufügen.

Wer trägt die Beweislast?

In Art. 10 enthält die ProdHaftRL-2024 recht ausführliche Regelungen zu der Frage, wer in einem Rechtsstreit zwischen einem Anspruchsberechtigten und einem Wirtschaftsakteur jeweils die Beweislast trägt. Grundsätzlich hat demnach der Kläger „die Fehlerhaftigkeit des Produkts, den erlittenen Schaden und den ursächlichen Zusammenhang zwischen dieser Fehlerhaftigkeit und diesem Schaden zu beweisen“ (Art. 10 Abs. 1 ProdHaftRL-2024). Es gibt allerdings gesetzliche Vermutungen für die Fehlerhaftigkeit des Produkts. Dies kommt beispielsweise dann zum Tragen, wenn der Kläger nachweist, dass „der Schaden durch eine offensichtliche Funktionsstörung des Produkts bei vernünftigerweise vorhersehbarem Gebrauch oder unter gewöhnlichen Umständen verursacht wurde“.

Die Fehlerhaftigkeit des Produkts wird weiterhin dann vermutet, wenn der in Anspruch genommene Wirtschaftsakteur es unterlässt, einer ihm nach der ProdHaftRL-2024 obliegenden gänzlich neuen Pflicht nachzukommen: Art. 9 der ProdHaftRL-2024 enthält Regelungen, die an das „discovery“-Verfahren erinnern, das u. a. in den USA praktiziert wird. Das ist dem deutschen Zivilprozessrecht bis dato grundsätzlich unbekannt und man darf gespannt sein, wie und wo (Produkthaftungsgesetz? Zivilprozessordnung?) der deutsche Gesetzgeber diese Regelungen umsetzen wird. Die fraglichen Regelungen sehen im Wesentlichen vor, dass dann, wenn der anspruchsberechtigte Kläger „Tatsachen vorgetragen und Beweismittel vorgelegt hat, welche die Plausibilität des Schadensersatzanspruchs ausreichend stützen“, der Beklagte „verpflichtet ist, […] in der Verfügungsgewalt des Beklagten befindliche relevante Beweismittel offenzulegen“ (Art. 9 Abs. 1 ProdHaftRL-2024). Es könnte daher dazu kommen, dass die betroffenen Wirtschaftsakteure Geschäftsunterlagen, wie beispielsweise Dokumentationen über das Ergebnis von Tests des Produkts, offenlegen müssen. Es erscheint sogar vorstellbar, dass im Falle von fehlerhafter Software der Quellcode der Software zu den Beweismitteln, die offenzulegen sind, zählt, wenn der Beklagte ansonsten für die Fehlerhaftigkeit der Software keinen Vollbeweis[17] erbringen kann. Zwar enthält Art. 9 der ProdHaftRL-2024 Regelungen dazu, dass die Offenlegung von Beweismitteln auf das erforderliche und notwendige Maß zu beschränken ist und Maßnahmen zu ergreifen sind, um Geschäftsgeheimnisse zu schützen (vgl. Art. 9 Abs. 4 und 5 ProdHaftRL-2024). Aber ungeachtet dessen könnten sich diese Regelungen als scharfes Schwert erweisen, da im Falle der Verweigerung der Offenlegung ein Rechtsstreit aufgrund der Regelungen der ProdHaftRL-2024 zur Verteilung der Beweislast verloren werden könnte.

Eine weitere gesetzliche Vermutung enthält die ProdHaftRL-2024 in Bezug auf den ursächlichen Zusammenhang zwischen der Fehlerhaftigkeit des Produkts und dem Schaden. Insofern wird ein Kausalzusammenhang vermutet, „wenn festgestellt wurde, dass das Produkt fehlerhaft und der entstandene Schaden seiner Art nach typischerweise auf den betreffenden Fehler zurückzuführen ist“ (Art. 10 Abs. 3 ProdHaftRL-2024).

Schließlich regelt Art. 10 Abs. 4 ProdHaftRL-2024, dass die nationalen Gerichte unter bestimmten Voraussetzungen „von der Fehlerhaftigkeit des Produkts oder dem ursächlichen Zusammenhang zwischen dessen Fehlerhaftigkeit und dem Schaden oder beidem“ auszugehen haben. Dies soll dann erfolgen, wenn es für den Kläger, trotz der oben erwähnten Offenlegung von Beweismitteln und „unter Berücksichtigung aller relevanten Umstände des Falles […] insbesondere aufgrund der technischen oder wissenschaftlichen Komplexität übermäßig schwierig ist, die Fehlerhaftigkeit des Produkts oder den ursächlichen Zusammenhang zwischen dessen Fehlerhaftigkeit und dem Schaden oder beides zu beweisen“ und er „nachweist, dass es wahrscheinlich ist[18], dass das Produkt fehlerhaft ist oder dass ein ursächlicher Zusammenhang zwischen der Fehlerhaftigkeit des Produkts und dem Schaden besteht, oder beides“. Insbesondere im Falle von möglicherweise fehlerhaften KI-Anwendungen dürfte die technische und wissenschaftliche Komplexität derart groß sein, dass diese Regelung zum Tragen kommt. Schließlich verstehen selbst die Entwickler von KI teilweise selbst (noch) nicht, wie die von Ihnen entwickelte KI eigentlich konkret funktioniert.[19]

Alle vorerwähnten gesetzlichen Vermutungen sind widerlegbar (Art. 10 Abs. 5 ProdHaftRL-2024). Wenn also der in Anspruch genommene Wirtschaftsakteur substantiiert Tatsachen vorträgt, welche die jeweilige Vermutung widerlegen, und das Vorliegen dieser Tatsachen beweist, dann ist es wiederum an dem Kläger, den Vollbeweis dafür zu erbringen, dass beispielsweise ein Kausalzusammenhang zwischen der Fehlerhaftigkeit des Produkts und dem entstandenen Schaden besteht.

Wie lange bestehen Ansprüche?

Hinsichtlich der Verjährung von Schadensersatzansprüchen auf Grundlage der Produkthaftung ergeben sich keine Neuerungen. Es verbleibt bei einer Verjährungsfrist von drei Jahren. Diese Frist läuft ab dem Tag, an dem die geschädigte Person von dem Schaden, der Fehlerhaftigkeit des Produkts und der Identität des haftenden Wirtschaftsakteurs Kenntnis erlangt hat oder vernünftigerweise hätte erlangen müssen (Art. 16 ProdHaftRL-2024).

Fazit und Ausblick

Die ProdHaftRL-2024 wird erhebliche Verschärfungen der Haftung mit sich bringen. Hiervon werden auch die Hersteller von Software und von Produkten mit digitalen Elementen betroffen sein. Angesichts dessen sollten vor allem die Hersteller die verbleibende Zeit bis zur Umsetzung der Richtlinie im Dezember 2026 dazu nutzen, sich auf die neuen Anforderungen einzustellen. Dazu zählt auch die Umsetzung der neuen gesetzlichen Sicherheitsanforderungen, die sich beispielsweise aus der Cyberresilienz-Verordnung ergeben. Unterblieben diese Maßnahmen, so könnte die gesetzliche Vermutung zur Fehlerhaftigkeit des Produkts zum Tragen kommen.

Hersteller von Software und von Produkten mit digitalen Elementen müssen vor allem beachten, dass ihre Haftung auch noch lange Zeit nach dem Inverkehrbringen des Produkts gegeben sein kann. Sie müssen einerseits dafür sorgen, dass ihre Produkte durch Updates fehlerfrei bleiben. Anderseits müssen sie sicherstellen, dass sie nicht durch das Bereitstellen von Updates die Fehlerhaftigkeit des Produkts herbeiführen.[20]

[1] Siehe https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202402853.

[2] Dies folgt aus Art. 23 der Verordnung: Inkrafttreten am zwanzigsten Tag nach der Veröffentlichung der Verordnung im Amtsblatt der EU.

[3] Dies gibt Art. 22 Abs. 1 Satz 1 der ProdHaftRL-2024 vor.

[4] Richtlinie 85/374/EWG, siehe: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:31985L0374.

[5] Verordnung (EU) 2024/1689, siehe: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202401689.

[6] Die KI-Verordnung definiert im Übrigen, was unter einen „KI-System“ zu verstehen ist. Nach Art. 3 Nr. 1 der Verordnung (EU) 2024/1689 ist dies „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“.

[7] Dies ist dem Erwägungsgrund 15 der ProdHaftRL-2024 zu entnehmen.

[8] So Erwägungsgrund 20 der ProdHaftRL-2024.

[9] Siehe § 11 ProdHaftG.

[10] Dies ergibt sich aus § 8 Satz 2 ProdHaftG. Gemäß Art. 229 § 8 Abs. 1 EGBGB gilt dies allerdings nur für immaterielle Schäden, die nach dem 31.07.2002 eingetreten sind.

[11] Auch das derzeit geltende Produkthaftungsgesetz enthält solche Ausnahmen, vgl. § 1 Abs. 2 ProdHaftG.

[12] Auch bekannt als „Cyber Resilience Act“ („CRA“); siehe https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202402847.

[13] Richtlinie (EU) 2022/2555; siehe: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022L2555. Deutschland befindet sich mit der Umsetzung dieser Richtlinie im Verzug, da der entsprechende Entwurf der Bundesregierung für ein „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ noch nicht verabschiedet wurde.

[14] Ein solcher Bevollmächtigter des Herstellers mit Sitz außerhalb der EU ist derjenige, der „für bestimmte Aufgaben im Rahmen der Rechtsvorschriften der Union, beispielsweise im Bereich der Produktsicherheit und der Marktüberwachung, benannt wurde“ (Erwägungsgrund 37 der ProdHaftRL-2024).

[15] Siehe Art. 4 Nr. 13 ProdHaftRL-2024: „‚Fulfilment-Dienstleister‘ bezeichnet jede natürliche oder juristische Person, die im Rahmen einer Geschäftstätigkeit mindestens zwei der folgenden Dienstleistungen anbietet: Lagerhaltung, Verpackung, Adressierung und Versand eines Produkts, an dem sie kein Eigentumsrecht hat, ausgenommen Postdienste im Sinne des Artikels 2 Nummer 1 der Richtlinie 97/67/EG des Europäischen Parlaments und des Rates (19), Paketzustelldienste im Sinne des Artikels 2 Nummer 2 der Verordnung (EU) 2018/644 des Europäischen Parlaments und des Rates (20) und alle sonstigen Postdienste oder Frachtverkehrsdienstleistungen;“.

[16] Dies ergibt sich aus dem Zusammenspiel von Art. 5 Abs. 2 b) ProdHaftRL-2024 mit den Regelungen des bundesdeutschen „Gesetz zur Umsetzung der Richtlinie (EU) 2020/1828 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher“, das am 13.10.2023 in Kraft getreten ist.

[17] Darunter ist nach dem deutschen Zivilprozessrecht (§ 286 ZPO) zu verstehen, dass die behaupteten Tatsachen dann bewiesen sind, wenn sie nach der vollen richterlichen Überzeugung gegeben sind. Ausreichend (aber auch erforderlich) ist hierfür ein „für das praktische Leben [brauchbarer] Grad von Gewissheit, der Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen“ (BGH, NJW 2018, 150, 151, Rn. 14).

[18] Diese Formulierung legt nahe, dass insofern kein Vollbeweis erforderlich ist. Vielmehr dürfte es –wie im Falle der Glaubhaftmachung nach § 294 ZPO – ausreichen, wenn eine überwiegende Wahrscheinlichkeit dafür besteht, dass eine Behauptung zutrifft.

[19] Siehe hierzu: Billy Perrigo: No One Truly Knows How AI Systems Work. A New Discovery Could Change That – abrufbar unter:https://time.com/6980210/anthropic-interpretability-ai-safety-research/.

[20] Derartige Fällen gab es bereits, vgl. nur: Wikipedia: Crowdstrike-Computerausfall 2024, abrufbar unter: https://de.wikipedia.org/wiki/Crowdstrike-Computerausfall_2024.