Viel zu sehr unter dem Radar: Prof. Dr. Thomas Klindt zur neuen Produkthaftungsrichtlinie

Juristische Nulltoleranz: Die bisherige Produkthaftung

DKE: Herr Klindt, Sie sind als Industrieanwalt spezialisiert auf den Umgang mit produkthaftungsrechtlichen Krisenszenarien und befassen sich als Professor für Europäisches Produkt- und Technikrecht an der Universität Bayreuth intensiv mit der europäischen Rechtslage. Was sind die zentralen Grundsätze, die bisher im Produkthaftungsrecht Gültigkeit hatten?

Klindt: „Bisher“ meint in diesem Fall die letzten 30 bis 35 Jahre. Die europäische Produkthaftung entstand um das Jahr 1990 herum und ist eine der ältesten europäischen Vorschriften. Seit diesem Zeitpunkt gilt in Europa ein zentraler Grundsatz für die industrielle Haftung: Wenn ich als Hersteller seriell fehlerhafte Produkte in Verkehr bringe und diese führen beim Anwender zu einem Schaden, dann muss ich dafür haften.

Das klingt trivial, ist es aber nicht, denn aus Sicht der Industrie nimmt diese Regelung keine Rücksicht auf den Wert eines Qualitätsversprechens oder auch ein übliches Grundrauschen an Fehlerhaftigkeit. Man muss dem Engineering immer wieder erklären, dass es vor diesem Hintergrund keine akzeptablen Werte für Fehlerhaftigkeit gibt. Hier gilt eine harte juristische Nulltoleranz.

DKE Tagung Funktionale Sicherheit: 13.05.2025 bis 14.05.2025 in Erfurt

Neue Technologien und Lösungen erobern die Welt – aber wie kann funktionale Sicherheit dabei Schritt halten? Eine berechtigte Frage, die wir diskutieren wollen und müssen! Und wo wäre das besser möglich als in Erfurt? Die "Erfurter Tage" haben sich mittlerweile als fester Begriff und Branchentreff etabliert. Alle zwei Jahren kommen Expertinnen und Experten im Kaisersaal zusammen und tauschen sich aus. Seien auch Sie dabei und freuen Sie sich auf zwei intensive Konferenztage!

Nichts zum Anfassen: Neuer Produktbegriff für digitale Produkte

DKE: Die neue Produkthaftungsrichtlinie, die spätestens Ende 2026 gelten wird, bringt zwei große Änderungen: einen neuen Produktbegriff und einen neuen Fehlerbegriff. Fangen wir mit dem Produktbegriff an – was ist neu?

Klindt: Der neue Produktbegriff war der Treiber dafür, die Richtlinie überhaupt anzufassen. Denn bis dahin konnte man unter Juristen trefflich darüber streiten, ob zum Beispiel Software rechtlich betrachtet überhaupt ein Produkt ist. Es bestand Einigkeit, dass man das Ganze auf den Stand des 21. Jahrhunderts bringen musste.

Mit der neuen Regelung ist festgelegt, dass selbst eine cloudbasierte Software ein Produkt ist, und wenn sie zu einem Fehler führt, ist das ein Schadensfall. Damit ist Software im produkthaftungsrechtlichen Sinne erfasst, obwohl man verzweifelt nach einem Produkt sucht, das man anfassen könnte.

Noch interessanter wird es, wenn man in Bereiche wie den 3D-Druck schaut. Es ist Usus, dass jemand eine digitale 3D-Druckdatei für ein Produkt entwickelt und diese Datei an einen Dienstleister für 3D-Druck übergibt. Der Dienstleister ist dafür verantwortlich, dass er das Produkt 1:1 nach den Vorgaben produziert. Ist aber ein Fehler konstruktiv im technischen Design angelegt – zum Beispiel eine Stütze, die belastungstechnisch versagt – so ist mit der neuen Produkthaftungsrichtlinie der Hersteller der 3D-Druckdatei für den Fehler verantwortlich und nicht der Hersteller des Produkts im herkömmlichen Sinne.

Smart Everything und der Buchstabe f)

DKE: Im neuen Produktbegriff stecken also einige Knackpunkte. Können Sie kurz anreißen, was beim neuen Fehlerbegriff relevant ist?

Klindt: Der Fehler ist der zentrale Begriff, denn das ist der argumentative Flaschenhals, durch den am Ende alles durchmuss. Die Frage, ob ich einen Fehler habe oder nicht, entscheidet, ob ein Schadensfall für die Industrie zum Haftungsfall wird oder nicht. Mit der neuen Produkthaftungsrichtlinie hat sich der Fehlerbegriff geändert, und Artikel 7 beschäftigt sich mit der Fehlerhaftigkeit.

Ein Produkt ist als fehlerhaft anzusehen, wenn es nicht die Sicherheit bietet, die eine Person erwarten darf – so der plausible Einleitungssatz. Bei der Beurteilung der Fehlerhaftigkeit eines Produkts sind alle möglichen Umstände zu berücksichtigen, heißt es weiter. Wir haben also zu Beginn einen wertenden Fehlerbegriff, und dann folgen eine Menge Buchstaben.

Unter dem Buchstaben f) heißt es, dass zu den zu berücksichtigenden Umständen auch die sicherheitsrelevanten Cybersicherheitsanforderungen zählen. Sie werden nicht näher spezifiziert, aber dieser Buchstabe f) öffnet eine Tür, die wir bisher gar nicht hatten: Alle Hersteller vernetzter Geräte – die IoT-Umwelt, Industrie 4.0, Smart Home, Smart Kitchen, Smart Everything – bekommen den neuen Fehlerbegriff übergestülpt, nämlich den Versagensfall sicherheitsrelevanter Cybersicherheitsmaßnahmen.

Neue Produkthaftungsrichtlinie: Interview mit Prof. Dr. Thomas Klindt

Die neue Produkthaftungsrichtline gilt ab Ende 2026. Hersteller sollten sich intensiv mit den Änderungen auseinandersetzen und darauf vorbereiten. Wir haben hierzu mit Prof. Dr. Thomas Klindt gesprochen. Er ist Rechtsanwalt, Fachanwalt für Verwaltungsrecht und Partner bei der Noerr Partnerschaftsgesellschaft mbB sowie Professor für Europäisches Produkt- und Technikrecht, Universität Bayreuth.

Prof. Dr. Klindt macht deutlich, welche Bedeutung digitale Produkte künftig haben werden und zeigt auf, welche Haftungsfälle auftreten können und wie sich das Produktangebot in Zukunft ggf. verändern wird.

Cyber Resilience Act: Handlungsrahmen für Behörden

DKE: Die Brisanz wird schon in dieser Kürze sehr deutlich. Bevor wir später tiefer einsteigen, sollten wir noch die anderen rechtlichen Neuerungen einordnen. Der Cyber Resiliance Act, ebenfalls Ende letzten Jahres veröffentlicht, zahlt als behördliches Pendant auf das gleiche Thema ein. Was bedeutet das?

Klindt: In der Tat, der Cyber Resilience Act ist eine europäische Verordnung, die unmittelbar und ohne deutsches Umsetzungsgesetz (an Ende 2026) gilt. Als behördliches Pendant zur Produkthaftungsrichtlinie legt der Cyber Resilience Act fest, was Behörden tun dürfen, wenn die Cybersicherheit nicht dem entspricht, was das europäische Gesetz vorschreibt. Wir haben also Konformitätserklärungen, wir haben CE-Kennzeichnungen, wir haben technische Dokumentationen – und wir haben die üblichen Überwachungsmaßnahmen von Behörden, Vertriebsverbote, Produktrückrufe und das klassische Thema Meldepflichten gegenüber Behörden. Es wird also alles, was das technische Recht aus dem klassischen Produktsicherheitsrecht kennt, 1:1 auf das Feld Cybersicherheit übertragen.

Sonderrolle NIS 2: Wenn es um Infrastruktur geht

DKE: Und welche Sonderrolle spielen Produkte mit digitalen Elementen, die in der kritischen Infrastruktur eingesetzt werden, Stichwort NIS 2 (Network and Information Security Directive 2)?

Klindt: Dazu muss man wissen, dass es für die kritische Infrastruktur in Deutschland – also Flughäfen, Krankenhäuser, Schiffshebewerke etc. – immer schon sonderrechtliche Regelungen gab. Alles, was infrastrukturell für die nationale Sicherheit als nötig erachtet wurde, war im Paragraf 8a BSI-Gesetz geregelt und hatte eine Art Cyber-Dauerverpflichtung für die Betreiber der kritischen Infrastruktur implementiert.

Europäisiert hat man mit der NIS 2 Cybersicherheitsanforderungen für Infrastruktur generell. Deren Betreiber werden in gewisse Pflichten genommen. Dahinter steckt die Idee, dass wirtschaftliche Stabilität und Sicherheit ganz grundsätzlich auch über das Zerstören der zivilen Infrastruktur gefährdet werden können, und dieser hybriden Bedrohungslage müssen Betreiber Rechnung tragen. 

Wichtig ist zu verstehen, dass in beiden Fällen der Betreiber im Mittelpunkt steht – also der Owner der Prozesse, der Herrscher über die Abläufe. Das ist eine völlig andere Entscheidung, als wenn sich die Produkthaftungsrichtlinie oder der Cyber Resilience Act an die Hersteller wenden.

DKE: Gab es diese Regeln denn in anderen Ländern schon in ähnlicher Form, oder ist das für alle Neuland?

Klindt: Man muss sagen, dass Deutschland in dieser Hinsicht immer schon sehr strenge Vorgaben hatte und diese Herangehensweise nun gewissermaßen europäisiert wird. Das ist auch vernünftig, denn damit sind es einheitliche Vorgaben für die Industrie, die in vielen europäischen Ländern Fertigungsstätten betreibt und nicht auf nationalen Inseln lebt. Man muss aber auch sagen, dass in vielen Ländern die Umsetzungsfristen gerissen wurden und alle ein wenig hinterherhinken. In Deutschland auch, weil die Ampelkoalition zerbrochen ist und derzeit die Gesetzgebungsverfahren hängen.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Jede Menge neue Regeln und ein unterschätztes Update

DKE: In unserem Vorgespräch haben Sie die neue Rechtslage – vor allem mit Blick auf die Produkthaftung – mit einer plattentektonischen Verschiebung gleichgesetzt. Bislang hat man aber den Eindruck, dass das Thema nicht groß diskutiert wird. Wo sehen Sie die Gründe dafür?

Klindt: Zunächst einmal haben Sie recht mit der Aussage, dass das Thema kaum aufscheint. Diese Frage möchte ich zunächst beantworten, bevor ich das Geheimnis lüfte, warum ich von einer plattentektonischen Verschiebung spreche.

Warum ist die neue Produkthaftung so unglaublich unter dem Radar gelaufen? Meine Vermutung dazu hat mit der Entwicklung in Europa zu tun. Aus Europa kamen in den letzten drei bis fünf Jahren eine Menge an hochinnovativen gesetzlichen Regelungen. Die Verordnung über Künstliche Intelligenz hat KI erstmals zu einer regulierten Industrie gemacht, das ist weltweit einzigartig. Der Data Act hat erstmals die Merkantilisierung von Daten aus Maschinen ermöglich und damit die kommerzielle Fruchtfolge. Dann haben wir solche Dinge wie DSA (Gesetz über digitale Dienste) und DMA (Gesetz über den digitalen Markt), also plattformrechtliche Regelungen, Gatekeeper-Vorschriften im Netz.

Das waren alles wuchtige Regeln, das waren viele Regeln. Ich habe den Eindruck, da haben manche den Überblick über das Gesamte verloren. Da schlüpft dann, und das ist Teil zwei meiner Vermutung, die Änderung einer Vorschrift, die es schon ewig gibt, einfach durch. Viele gehen vielleicht davon aus, das ist eine etablierte Vorschrift, da wird jetzt ein bisschen nachjustiert, und kümmert sich mit beschränkten Ressourcen eher um die großen neuen Regelungen.

Das könnten die Gründe dafür sein, dass gar nicht so richtig wahrgenommen wurde, was genau unter dem Deckmantel eines Updates wirklich passiert ist.

--- Ende von Teil 1 dieses Interviews ---

Hier endet Teil 1 unseres Interviews mit Prof. Dr. Thomas Klindt zur neuen Produkthaftungsrichtlinie.

Im zweiten Teil dieses Interviews (Veröffentlichung am 07.04.2025) spricht er darüber, warum er die neue Produkthaftungsrichtlinie als plattentektonische Verschiebung bezeichnet, was sie für die Innovationskultur bedeuten kann und wie sich Versicherungen auf die neue Lage einstellen werden. Das komplette Interview  gibt es auch auf YouTube als Video.

Wer mehr erfahren möchte, sollte sich die Keynote „Cyber-Resilience und Produkthaftung: Neues aus dem EU-Recht“ auf der DKE Tagung Funktionale Sicherheit vom 13. bis 14. Mai 2025  in Erfurt anhören. Jetzt anmelden!

Core Safety & Information Technologies umschließt alle Aspekte der Sicherheit: grundlegende  Sicherheitsanforderungen, funktionale Sicherheit, Informationssicherheit sowie deren Wechselwirkungen. Außerdem befasst sich Core Safety mit wichtigen Querschnittsthemen und definiert grundlegende Anforderungen die allgemein einzuhalten sind – zum Beispiel für Elektromagnetische Verträglichkeit, Umwelt- und Ressourceneffizienz, Schadstoffe, Größen, Einheiten und Kennzeichnungen. Weitere Inhalte zu diesem Fachgebiet finden Sie im