Hersteller haften für Schäden durch Dritte: Prof. Dr. Thomas Klindt zur neuen Produkthaftungsrichtlinie

Schaden durch Hacker: plattentektonische Verschiebung in der Produkthaftung

DKE: Warum sprechen Sie davon, dass die neue Produkthaftung einer plattentektonischen Verschiebung gleichkommt?

Klindt: Diese Aussage treffe ich, weil sie in Artikel 7 Buchstabe f) der neuen Produkthaftungsrichtlinie – also den sicherheitsrelevanten Cybersicherheitsanforderungen als Teil einer möglichen Fehlerhaftigkeit eines Produkts – begründet liegt. Damit wird gesagt, dass es ein Fehler des Produkts ist, wenn unter Berücksichtigung aller Umstände sicherheitsrelevante Cybersicherheitsanforderungen nicht eingehalten sind und es deshalb beim Anwender zu einem Schadensfall kommt. Wir geraten also in die Produkthaftung, und deshalb spreche ich von einer plattentektonischen Verschiebung. Denn das Versagen von Cybersicherheit setzt immer das aktive Einschreiten eines Dritten voraus, das schädigende Vorgehen eines Hackers, also die Sabotage durch einen Dritten.

Bisher sagt kein Rechtssatz, dass ein Produkt sabotagefest sein muss

DKE: Können Sie die Auswirkungen dieser Rechtslage an einem Beispiel darlegen?

Klindt: Klar, nehmen wir eine vernetzte, nicht besonders teure Kaffeemaschine. Sie wird mit einer App ausgeliefert, und diese App hat irgendwo im Quellcode eine Schwachstelle, die bislang keiner kennt. Nun entdeckt ein Hacker diese Schwachstelle, die es ihm erlaubt, das Gerät von außen zu kapern und seine Funktionalitäten zu übersteuern. Ich kann mir verschiedene unangenehme Arten der Übersteuerung vorstellen, aber der Produkthaftungsrechtler in mir denkt an eine Übersteuerung, bei der der Überhitzungsschutz deaktiviert wird, die Heizelemente hochgefahren werden und die Kaffeemaschine anfängt zu brennen. 

Es brennt also eine Kaffeemaschine, die im normalen Leben nie angefangen hätte zu brennen. Sie brennt, weil ein Dritter über die Vernetzung eingreift und absichtlich einen schädigenden Vorgang herbeiführt. Das Feuer breitet sich von der Maschine auf den Vorhang, irgendwann auf das Haus aus – dabei können immense Sach- und Personenschäden entstehen. Demnächst wird dem Hersteller der Kaffeemaschine in so einem Fall gesagt, dass sein Produkt fehlerhaft ist, weil es die sicherheitsrelevanten Cybersicherheitsanforderungen nicht eingehalten hat. Damit haftet er für diesen Schaden.

Bisher wurde die Industrie nicht haftbar gemacht dafür, dass Dritte ein Produkt manipulieren – das Produkt musste allein bei bestimmungsgemäßer Verwendung sicher sein. Es gab bisher keinen Rechtssatz, der da lautet, dass ein Produkt manipulationssicher oder sabotagefest sein muss. Das ist ohne Vorbild. Gesetzlich mag es gute Gründe dafür geben, und Verbraucherschutz ist ein Argument, mit dem man alles totschlagen kann. Da kommt aber ein völlig neues Risiko auf die vernetzte Industrie als alleinigem Verantwortlichen zu, und man darf fragen, ob das eine sinnvolle Risikoverteilung ist.

DKE Tagung Funktionale Sicherheit: 13.05.2025 bis 14.05.2025 in Erfurt

Neue Technologien und Lösungen erobern die Welt – aber wie kann funktionale Sicherheit dabei Schritt halten? Eine berechtigte Frage, die wir diskutieren wollen und müssen! Und wo wäre das besser möglich als in Erfurt? Die "Erfurter Tage" haben sich mittlerweile als fester Begriff und Branchentreff etabliert. Alle zwei Jahren kommen Expertinnen und Experten im Kaisersaal zusammen und tauschen sich aus. Seien auch Sie dabei und freuen Sie sich auf zwei intensive Konferenztage!

Moving Target: Wenn der Stand der Technik nicht feststeht

DKE: Es gibt ja noch ein anderes Problem. Bislang habe ich ein Produkt nach dem Stand der Technik entwickelt, mich an die Regeln gehalten und war zum Zeitpunkt des Inverkehrbringens compliant. Einen Stand der Technik für Sabotagefestigkeit gibt es aber nicht, und die Bedrohungslage verändert sich nach Inverkehrbringen eines digitalen Produkts beinahe täglich. Wie kann sich die Industrie darauf einstellen – geht das überhaupt?

Klindt: Das ist ein sehr guter Punkt. Die Industrie wird im Grunde dauerpatchen müssen. Früher war die Produkthaftung eine Art Fotoschuss. Zum Zeitpunkt des Inverkehrbringens musste das Produkt sicher sein, und spätere Prozesse zu Schadensfällen waren immer eine Zeitreise des Sachverständigen zurück in die Vergangenheit und zum jeweiligen Stand der Technik. Was war zum Zeitpunkt des Inverkehrbringens Regelwerk, was war die Gesetzeslage?

Jetzt haben wir es mit einem Moving Target zu tun. Das Produkthaftungsrecht bei digitalen Produkten verabschiedet sich von dem Zeitpunkt des Inverkehrbringens. Will die Industrie ab 2027, wenn die Regelung verbindlich gilt, nicht in Schadens- und Haftungsfälle laufen, muss sie dauerhaft Safety-Upgrades anbieten.

Nach drei, fünf oder sieben Jahren kommt doch noch ein Bug

DKE: Abo-Modelle zur Auslieferung von Sicherheitspatches sind ein milliardenschweres Geschäftsmodell. Müssen sich Hersteller davon verabschieden?

Klindt: Im nackten Eigeninteresse wird es wohl nicht mehr darum gehen, damit Geld zu verdienen, sondern Haftungsfälle zu vermeiden, ja. Laut Gesetzestext liegen die Ausschlussfristen für eine Verjährung übrigens bei zehn Jahren, in manchen Fällen bei 25 Jahren. Das heißt, Sie können davon ausgehen, dass im Allgemeinen der Rechtsanspruch zehn Jahre nach Inverkehrbringen des Produkts ausgeschlossen ist. Es wird viele Produkte geben, die auch nach zehn Jahren tatsächlich noch in Gebrauch sind und die davon betroffen sind.

DKE: Der Trend geht auch genau in diese Richtung, dass Produkte möglichst lang im Einsatz sein sollen, mit Blick auf Nachhaltigkeit.

Klindt: Ganz genau, Green Deal, Recht auf Reparatur & Co. sollen die Wegwerfgesellschaft stoppen. Somit wird die Industrie über einen sehr langen Zeitraum investieren müssen, um zu prüfen, ob nach drei, nach fünf oder sieben Jahren doch ein relevanter Bug sichtbar wird, bei dem schnell gepatcht werden muss. Einfach, um einen Haftungsfall selbst bei bereits ausgelisteten Produkten zu vermeiden.

Neue Produkthaftungsrichtlinie: Interview mit Prof. Dr. Thomas Klindt

Die neue Produkthaftungsrichtline gilt ab Ende 2026. Hersteller sollten sich intensiv mit den Änderungen auseinandersetzen und darauf vorbereiten. Wir haben hierzu mit Prof. Dr. Thomas Klindt gesprochen. Er ist Rechtsanwalt, Fachanwalt für Verwaltungsrecht und Partner bei der Noerr Partnerschaftsgesellschaft mbB sowie Professor für Europäisches Produkt- und Technikrecht, Universität Bayreuth.

Prof. Dr. Klindt macht deutlich, welche Bedeutung digitale Produkte künftig haben werden und zeigt auf, welche Haftungsfälle auftreten können und wie sich das Produktangebot in Zukunft ggf. verändern wird.

Preisgestaltung: Unkalkulierbares kalkulieren

DKE: Lässt sich das betriebswirtschaftlich überhaupt darstellen? Sie sagten bereits, dass manche Mandanten sich aus der Vernetzung zurückziehen.

Klindt: Das ist eine Frage, die ich mir auch stelle. Ich muss als Unternehmer in meine preislichen Kalkulation eine Unbekannte aufnehmen, nämlich die Frage, habe ich über zehn Jahre Bugs in meinem Produkt, und wenn ja, was wird es mich kosten, sie zu beheben. Wie soll ich diese unklare Zahl in eine Preisgestaltung bringen? Es muss am Ende ja noch jemand das Produkt kaufen wollen.

Dem Haftungsrecht ist am Ende egal, wie der Markt sich draußen sortiert, und ich kann erst einmal nur das Haftungsrecht beschreiben. Vielleicht gibt es sogar den ein oder anderen, der gar nicht unbedingt bedauert, dass Kleinstartikel mit großem Cyberrisiko vom Markt verschwinden.

Von der Ausschlussklausel bis zum höheren Tarif: Produkthaftpflichtversicherung

DKE: Um Kosten kalkulierbar zu machen, können sich Unternehmen gegen Produkthaftungsrisiken absichern. Bislang geht es um Schäden, die das Produkt versehentlich verursacht. Nun geht es um Dritte als Verursacher, die mit krimineller Energie unterwegs sind. Wie sehen denn die Versicherungen das Thema?

Klindt: Die Versicherer werden sicherlich intensiv darüber nachdenken, wie sie dieses Risiko einfangen. Die bisherige Produkthaftpflichtversicherung spiegelt 1:1 das Haftungsrisiko als Deckungsrisiko, und zwar in dem Maße, wie ein Unternehmen nach außen für Schadensfälle haften würde. Die Versicherung übernimmt dann entweder die rechtliche Verteidigung gegen eine Klage, oder die Zahlung berechtigter Ansprüche für Schadensfälle, und der Rest ist Lametta und dreht sich um Fragen von Selbstbehalt etc.

In dem Moment, in dem der Gesetzgeber ein Wort in die Landschaft rammt und über alle Köpfe hinweg entscheidet, dass die Attacke von Dritten ein Fehlerfall ist, würde man das konsequenterweise als gesetzlichen Haftungsfall und damit als Deckungsfall sehen. Ich habe keine Prognose, ob das für Versicherungen kalkulatorisch aufgeht oder ob sie ihre Produkthaftpflichtversicherungen nachjustieren werden. Entweder in Richtung einer Ausschlussklausel mit der Aussage, dass diese Deckung nicht zu kaufen ist, oder über eine preisliche Kalkulation nach dem Motto, die Produkthaftpflichtversicherung wird teurer. Es kann auch ein Vertriebsargument sein, auf die Rechtslage aufmerksam zu machen und gezielt eine Lösung anzubieten.

Mit unserem DKE Newsletter sind Sie immer top informiert! Monatlich ...

• fassen wir die wichtigsten Entwicklungen in der Normung kurz zusammen
• berichten wir über aktuelle Arbeitsergebnisse, Publikationen und Entwürfe
• informieren wir Sie bereits frühzeitig über zukünftige Veranstaltungen

Für Nicht-Juristen übersetzen, was passiert: Keynote in Erfurt

DKE: Wir haben gesehen, die neue Produkthaftung bietet jede Menge Zündstoff. Zum Schluss noch ein kurzer Blick nach Erfurt: Was wollen Sie mit Ihrer Keynote auf der DKE Tagung Funktionale Sicherheit 2025 erreichen?

Klindt: Das klingt vielleicht etwas phrasenhaft, aber mein Anliegen ist es, für das Thema zu sensibilisieren. Ich werde sicherlich keinen juristischen Fachvortrag halten, denn man muss dem Engineering, also der nicht-juristischen Seite, übersetzen, was da gerade passiert. Ich möchte darauf hinweisen, was die rechtlichen Ingenieure sich an neuen Regeln ausgedacht haben und was das bedeutet. Die Keynote ist also nicht dazu gedacht, ein paar salbungsvolle Worte zu sprechen, sondern Food for Thoughts zu liefern.

DKE: Dafür war dieses Interview sicher ein guter Appetizer. Vielen Dank und viel Spaß in Erfurt!

--- Ende von Teil 2 dieses Interviews ---

Hier endet Teil 2 des Interviews mit Prof. Dr. Thomas Klindt.

Im ersten Teil ordnet er die neue Rechtslage mit Produkthaftungsrichtline, Cyber Resilience Act und NIS 2 ein. Prof. Klindt legt außerdem dar, wo genau der Knackpunkt im neuen Fehlerbegriff angelegt ist und warum bislang viel zu wenig darüber gesprochen wird. Das komplette Interview gibt es auch auf YouTube als Video.

Wer noch mehr erfahren möchte, sollte sich die Keynote „Cyber-Resilience und Produkthaftung: Neues aus dem EU-Recht“ auf der DKE Tagung Funktionale Sicherheit vom 13. bis 14. Mai 2025  in Erfurt anhören. Jetzt anmelden!

Hinweis: Die Antworten entsprechen den persönlichen Ansichten und Meinungen des Interviewpartners und müssen nicht denen der DKE entsprechen.