1. Ausgangslage und rechtlicher Hintergrund
Mit Inkrafttreten der Richtlinie (EU) 2024/2853 vom 23. Oktober 2024 wurde das europäische Produkthaftungsrecht grundlegend modernisiert. Die neue Richtlinie ersetzt die bislang geltende Richtlinie 85/374/EWG, auf der auch das deutsche Produkthaftungsgesetz (ProdHaftG) beruht. Die Mitgliedstaaten sind verpflichtet, die Richtlinie bis zum 9. Dezember 2026 in nationales Recht umzusetzen und anzuwenden.
Anlass für die Reform sind vor allem technologische Entwicklungen, insbesondere im Bereich der Software und der Künstlichen Intelligenz. Die bisherige Rechtslage führte häufig zu Unsicherheiten bei der Einordnung digitaler Produkte. Zudem erschwerte die zunehmende technische Komplexität die Durchsetzung von Schadensersatzansprüchen erheblich.
Ziel des Gesetzgebers ist es, Innovationsanreize zu erhalten und zugleich einen wirksamen Schutz für Geschädigte sicherzustellen. Vor diesem Hintergrund stellt sich für Unternehmen die Frage, wie Verantwortlichkeiten künftig verteilt werden und wie Haftungsrisiken begrenzt werden können.
2. Neue Anknüpfungspunkte im Produkthaftungsrecht
2.1 Einbeziehung von Software und KI
Künftig gilt Software unabhängig von ihrer technischen Ausgestaltung als Produkt im Sinne des Produkthaftungsrechts. Maßgeblich ist nicht mehr, ob sie körperlich verkörpert ist oder lokal installiert wird. Auch cloudbasierte Anwendungen und digitale Dienste, soweit sie integraler Bestandteil des Produkts sind oder dessen Funktion steuern oder beeinflussen, fallen unter den Anwendungsbereich. Darunter sind auch KI-Systeme zu fassen, da der Softwarebegriff bewusst offen formuliert wurde und technologieoffen auszulegen ist.
Ausdrücklich klargestellt wird, dass auch Software eingeschlossen ist, die nach dem Inverkehrbringen durch Updates oder maschinelles Lernen verändert wird. Diese sogenannte Post-Market-Modifikation ist haftungsrechtlich von besonderer Bedeutung, da Änderungen am Produkt neue Fehlerpotenziale begründen können.
2.2 Erweiterter Schadensbegriff
Neben klassischen Personen- und Sachschäden werden künftig auch Schäden an privat genutzten Daten erfasst. Voraussetzung ist, dass diese nicht beruflichen Zwecken dienen. Schäden an geschäftlich genutzten Daten bleiben weiterhin ausgeschlossen. Der neue Anspruch unterscheidet sich von datenschutzrechtlichen Ersatzansprüchen, da keine rechtswidrige Datenverarbeitung vorausgesetzt wird und der Hersteller im Mittelpunkt steht.
Reine Vermögensschäden (z. B. entgangener Gewinn) sind nach wie vor nicht erfasst. Die Richtlinie bleibt insoweit beim bisherigen Ansatz.
2.3 Neuausrichtung des Fehlerbegriffs
Ein Produkt gilt als fehlerhaft, wenn es nicht die gesetzlich vorgeschriebene oder berechtigterweise erwartbare Sicherheit bietet. Bei der Bewertung sind unter anderem folgende Faktoren zu berücksichtigen:
- Vorhersehbare Nutzung, einschließlich vernünftigerweise vorhersehbarer Fehlanwendung;
- Lern- und Anpassungsfähigkeit des Produkts (insbesondere bei KI-Systemen);
- Interaktionen mit anderen Produkten;
- Anforderungen an die Cybersicherheit.
Damit wird der Fehlerbegriff deutlich erweitert und stärker an die Eigenschaften digitaler Systeme angepasst.
Besonders hervorzuheben ist die Einschränkung des Entwicklungsrisiko-Ausschlusses: Bisher konnten sich Hersteller darauf berufen, dass ein Fehler zum Zeitpunkt des Inverkehrbringens nach dem Stand von Wissenschaft und Technik nicht erkennbar war (sog. Entwicklungsrisiko). Dieser Ausschluss bleibt zwar grundsätzlich bestehen, greift jedoch künftig nicht mehr, wenn der Hersteller nach dem Inverkehrbringen weiterhin Einfluss auf das Produkt ausübt, insbesondere durch Software-Updates oder sonstige Änderungen, und bestehende Sicherheitsrisiken trotz zumutbarer Abhilfemöglichkeiten nicht beseitigt. In solchen Fällen kann sich der Hersteller nicht mehr auf das Entwicklungsrisiko berufen. Dies erhöht den Druck, Sicherheitsupdates aktiv bereitzustellen und ein kontinuierliches Produktmonitoring sicherzustellen.
2.4 Ausweitung des Haftungskreises
Primärer Haftungsträger bleibt der Hersteller, einschließlich sogenannter Quasi-Hersteller (Unternehmen, die das Produkt unter eigenem Namen vertreiben). Darüber hinaus etabliert die Richtlinie eine mehrstufige Haftungskette, die auch Importeure, Fulfilment-Dienstleister, Beauftragte, Lieferanten und Plattformbetreiber erfassen kann.
Ziel ist es, Geschädigten stets einen haftbaren Ansprechpartner innerhalb der EU zu sichern. Zudem können bei fehlerhaften Komponenten mehrere Beteiligte parallel in Anspruch genommen werden, einschließlich Anbieter verbundener digitaler Dienste.
Ebenfalls neu: Die bisherigen Haftungshöchstgrenzen (bislang 85 Millionen Euro für Personenschäden infolge gleichartiger Produkte) wurden in der neuen Richtlinie abgeschafft. Eine betragsmäßige Obergrenze für die Haftung existiert damit künftig nicht mehr, was das Haftungsrisiko für Unternehmen erheblich steigern kann.
2.5 Beweislast und Offenlegungspflichten
Mit den neuen Offenlegungsregelungen sollen Informationsasymmetrien zwischen den Parteien gezielt abgebaut werden. Geschädigte erhalten erweiterte Möglichkeiten, gerichtlich die Offenlegung relevanter Unterlagen zu verlangen, soweit diese für die Durchsetzung ihrer Ansprüche erforderlich und verhältnismäßig sind. Ergänzend sieht die Richtlinie widerlegliche gesetzliche Vermutungen vor, nach denen unter bestimmten Voraussetzungen sowohl das Vorliegen eines Produktfehlers als auch dessen Ursächlichkeit vermutet werden.
Diese Vermutungen greifen insbesondere dann, wenn
- der Hersteller einer gerichtlichen Offenlegungsanordnung nicht oder nicht vollständig nachkommt, oder
- der Geschädigte substantiiert darlegt, dass ein Zusammenhang zwischen dem Produkt und dem eingetretenen Schaden naheliegt und dem Kläger angesichts der technischen Komplexität des Produkts eine weitergehende Beweisführung nicht zumutbar ist.
Diese Regelungen führen in der Praxis zu einer erheblichen Beweiserleichterung zugunsten der Geschädigten, da unter bestimmten Voraussetzungen gesetzliche Vermutungen für das Vorliegen eines Produktfehlers und dessen Ursächlichkeit greifen. Zwar bleibt die formelle Beweislast grundsätzlich beim Kläger, faktisch wird sie jedoch teilweise auf die Hersteller und Anbieter verlagert, die die Vermutungen widerlegen müssen.
3. Praktische Folgen für Unternehmen
Die Reform führt zu einer spürbaren Ausweitung potenzieller Haftungsrisiken. Besonders problematisch ist die Orientierung an dem „Stand von Wissenschaft und Technik“, da verbindliche Standards in vielen Bereichen fehlen. Unternehmen müssen daher ohne klare Leitplanken Sicherheitsanforderungen definieren und umsetzen.
Hinzu kommt, dass künftig auch mittelbare Akteure der Liefer- und Vertriebskette haftbar sein können. Die Verantwortung beschränkt sich nicht mehr auf den ursprünglichen Hersteller. Gleichzeitig entfällt die bisherige betragsmäßige Haftungsobergrenze, was das finanzielle Risiko, insbesondere bei großen Serienschäden, erheblich erhöht.
Schließlich erzeugen die verschärften Offenlegungspflichten erheblichen Druck auf die interne Dokumentation: Unternehmen, die keine ausreichende Entwicklungs- und Produktdokumentation vorhalten, riskieren nicht nur Haftung, sondern auch den Verlust von Beweisvorteilen im Prozess.
4. Organisatorische Maßnahmen und Handlungsempfehlungen
4.1 Übergreifende Maßnahmen
Unternehmen sollten ihre internen Prozesse anpassen und insbesondere folgende Punkte berücksichtigen:
- Bestandsaufnahme: Überprüfen Sie, ob Ihre Produkte und Dienstleistungen Software oder KI-Komponenten enthalten und von der neuen Richtlinie erfasst werden. Erstellen Sie eine Risikolandkarte mit Fokus auf Hochrisikobereiche (z. B. autonom handelnde KI-Systeme, sicherheitskritische Anwendungen).
- Versicherungscheck: Prüfen Sie Ihre Produkthaftpflichtversicherung auf Deckungslücken – insbesondere im Hinblick auf die Abschaffung der Haftungsobergrenze und neue digitale Schadenskategorien (Datenschäden). Stimmen Sie sich frühzeitig mit Ihrem Versicherer ab.
- Vertragliche Absicherung: Passen Sie Lieferanten-, Kooperations- und Plattformverträge an: Regressklauseln, Freistellungsregelungen und Haftungsverteilung entlang der Lieferkette sind zu überarbeiten und neu zu verhandeln.
- Aufbau eines Dokumentationssystems: Implementieren Sie ein strukturiertes System zur Dokumentation des gesamten Produktlebenszyklus – von der Entwicklung über Tests bis hin zu Änderungen nach Markteinführung. Achten Sie besonders auf die Nachweisbarkeit von Sicherheitsentscheidungen und Updateprozessen.
- Update-Management: Etablieren Sie verbindliche Prozesse für die Bereitstellung von Sicherheitsupdates. Da das Unterlassen verfügbarer Updates nach neuem Recht den Entwicklungsrisiko-Ausschluss entfallen lassen kann, ist ein nachvollziehbares Patch-Management essenziell.
- Schulungen und Compliance: Sensibilisieren Sie Entwicklungs-, Vertriebs- und Rechtsabteilungen für die neuen Haftungsregeln. Integrieren Sie produkthaftungsrechtliche Anforderungen in bestehende Compliance-Programme und KI-Governance-Strukturen.
4.2 Besonderheiten für Hersteller
Hersteller sollten zudem frühzeitig Sicherheitsaspekte in die Produktentwicklung integrieren („Security by Design“ / „Safety by Design“). Sicherheitsrisiken aus Nutzung, Lernfähigkeit und Interaktion mit anderen Systemen müssen systematisch bewertet werden.
Soweit verfügbar, sollten harmonisierte Normen und Standards eingehalten werden, um Haftungsprivilegien nutzen zu können. Eine umfassende Dokumentation des gesamten Produktlebenszyklus ist unerlässlich. Dazu gehört auch ein strukturiertes Management von KI-Systemen, um im Streitfall Nachweise führen zu können.
Zudem sind regelmäßige Sicherheitsupdates sicherzustellen und organisatorisch abzusichern. Der Verzicht auf verfügbare Updates kann nach neuem Recht den Entwicklungsrisiko-Ausschluss entfallen lassen und unmittelbar zur Haftung führen.
4.3 Besonderheiten für Lieferanten und Plattformbetreiber
Lieferanten und Plattformanbieter müssen ihre Lieferketten transparent gestalten und in der Lage sein, innerhalb kurzer Fristen haftbare Akteure zu benennen. Produkte Dritter sind eindeutig zu kennzeichnen, um eine eigene Haftung zu vermeiden. Eine klare Abgrenzung der Verantwortlichkeiten nach außen gewinnt damit erheblich an Bedeutung.
5. Schlussbetrachtung
Die Neuregelung des Produkthaftungsrechts trägt den Besonderheiten digitaler und KI-gestützter Systeme erstmals umfassend Rechnung. Software wird nun ausdrücklich als haftungsrelevantes Produkt anerkannt, der Schadensbegriff wird erweitert, die Haftungskette ausgedehnt und die Haftungsobergrenze abgeschafft. Für Unternehmen bedeutet dies eine neue Qualität regulatorischer Anforderungen. Auch wenn das Inkrafttreten noch bevorsteht, sollten betroffene Akteure die Übergangszeit nutzen, um technische, organisatorische und vertragliche Strukturen anzupassen. Nur so lassen sich die wachsenden Haftungsrisiken langfristig beherrschen.
Kontakt:
Jens Borchardt