Nach Cyber-Resilience-Act, AI-Act und NIS-2 wurde nun die EU-Produkthaftungsrichtlinie an moderne technische Gegebenheiten angepasst. Laut der Komplettüberholung sollen auch Hersteller von Software direkt den Verbrauchern gegenüber für Schäden haften.

Am 10. Oktober hat der Rat der Europäischen Union eine Überarbeitung der Produkthaftungs-Richtlinie (engl. „Product Liability Directive“, PLD) angenommen (RL (EU) 2024/2863). Den Entwurf hatte die Kommission im September 2022 vorgelegt. Damit werden die Rechte von Verbrauchern im Hinblick auf Software-Produkte bedeutend gestärkt. Diese können laut der Richtlinie wegen fehlerhafter Software nun neben ihrem eigentlichen Vertragspartner auch direkt den Hersteller belangen. In der vorherigen Fassung der Richtlinie von 1985 war diese Rechtsfrage noch umstritten. Die Richtlinie legt außerdem fest, wann eine Software als fehlerhaft gilt, welche Schäden vom Hersteller zu ersetzen sind und wie die Beweislast verteilt ist.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Produkthaftung bei Einzelsoftware und digitalen Komponenten

Für die Haftung spielt es keine Rolle mehr, ob die Software für sich genommen als Einzelanwendung erworben wurde (Stand-Alone), mit einem Cloud-Produkt verbunden ist oder als digitale Komponente eines Geräts agiert. In allen Fällen soll zusätzlich auch der Softwarehersteller für Schäden haften.

Open-Source Software soll gerade nicht betroffen sein, um „Innovation und Forschung nicht zu behindern“ (RL 2024/2863, Erwägungsgrund 14). Wird eine nicht zu gewerblichen Zwecken hergestellte Open-Source-Software von einem gewerblichen Hersteller in ein Produkt eingebaut, soll es bei der Haftung des zweiten gewerblichen Herstellers bleiben, weil der Software-Hersteller selbst „die Bedingungen für das Inverkehrbringen“ nicht erfüllt hätte. Eine umstrittene Stelle hat es hier allerdings in die finale Fassung geschafft: Nach Artikel 2 Abs. 2 der Richtlinie fällt quelloffene Software nicht unter die Richtlinie, soweit sie außerhalb der Geschäftstätigkeit entwickelt oder bereitgestellt wird. Indem hier auch auf die Entwicklung abgestellt wird, befürchten Expertenkreise eine zu starke Ausweitung der Haftung. Hier wurde eine parallele Regelung zum Cyber-Resilience-Act (CRA) erwartet, der für Open-Source-Ausnahme in der Tat nur eine nicht-kommerzielle Verbreitung, nicht aber Entwicklung erfordert.

Wann ist eine Software fehlerhaft?

Im Sinne der Richtlinie ist ein Produkt dann fehlerhaft, wenn es nicht die Sicherheit bietet, die eine Person erwarten darf oder die durch EU- bzw. nationales Recht vorgeschrieben ist (Art. 7 Abs. 1). Dabei sind verschiedene Faktoren zu berücksichtigen, so etwa die Lernfähigkeit des Produkts oder die Auswirkungen auf andere Software, mit denen das Produkt voraussichtlich gemeinsam verwendet wird (Art. 7 Abs. 2).

Es findet sich auch eine Schnittstelle zum CRA, da auch die Anforderungen an die Produkt- und Cybersicherheit bei der Fehlerhaftigkeit zu berücksichtigen sind (Mehr zum CRA in unserem Blog). Für den Zeitpunkt der Fehlerhaftigkeit ist auch relevant, ob das Produkt noch in der Kontrolle des Herstellers liegt – und mit Updates versorgt wird – oder die Kontrolle bereits verlassen hat.

Die Beweislast für die Fehlerhaftigkeit liegt grundsätzlich beim Geschädigten. Es gibt allerdings diverse Erleichterungen: Erstens muss der Hersteller einem Kläger im Schadensfall jegliche relevanten Beweismittel offenlegen (Art. 9 Abs. 1). Kommt er dieser Pflicht nicht richtig nach, wird die Fehlerhaftigkeit zugunsten des Klägers vermutet (Art. 10 Abs. 2). Ist dem Verbraucher aufgrund der Komplexität der Software unmöglich, die Fehlerhaftigkeit nachzuweisen, reicht eine gewisse „Wahrscheinlichkeit“.

Haftung anderer Akteure

Neben dem eigentlichen Hersteller der Software kann die Haftung nach der neuen Produkthaftungsrichtlinie unter Umständen auch andere Wirtschaftsakteure treffen (Art. 8). So etwa den erwähnten Hersteller, der die Software in ein Produkt integriert und damit das Produkt selbst fehlerhaft macht. Verändert ein Entwickler die Software außerhalb der Kontrolle des Ursprungsentwicklers maßgeblich, springt die Haftung auf ihn über.

Hat der Softwarehersteller seinen Sitz außerhalb der EU, haften stattdessen der Importeur oder etwaige Bevollmächtigte des Herstellers. Sind Importeur und Bevollmächtigter nicht zu finden, haftet der Dienstleister, der die Auftragsabwicklung für den Hersteller übernimmt (sog. „Fulfilment-Dienstleister“). Ist kein genannter Akteur zu finden, haftet zuletzt der Lieferant der Software, wenn er seinen eigenen Zulieferer nicht binnen eines Monats benennen kann.

Die Richtlinie soll für Software-Produkte gelten, die ab dem 9. Dezember 2026 in Verkehr gebracht werden. Entsprechend soll die Richtlinie bis dahin von den Mitgliedstaaten in nationales Recht umgesetzt werden.