Die Europäische Union justiert den Rechtsrahmen für Produktsicherheit seit einiger Zeit neu. Im Gefüge des New Legislative Framework entsteht ein dichtes Netz aus Rechtsakten, die sich aus unterschiedlichen Blickwinkeln mit Cybersicherheitsanforderungen beschäftigen. Damit rücken vor allem vernetzte und digital gesteuerte Produkte in den Mittelpunkt.
Cybersicherheitsanforderungen zielen im Kontext der Produktsicherheit vielfach zunächst auf den Schutz des Produkts selbst vor Angriffen Dritter ab. Produktsicherheit hingegen betrifft den Schutz vor Gefahren, die von dem Produkt ausgehen. Beides lässt sich im digitalen Alltag aber nicht mehr trennen: Eine lückenhafte Cybersicherheit kann unmittelbar zur Beeinträchtigung der Produktsicherheit führen, jedenfalls dann, wenn sie Angriffe auf beziehungsweise Eingriffe in sicherheitsrelevante Funktionen des Produkts zulässt.
Neuer Produkt- und Fehlerbegriff
Um das Produkthaftungsrecht dem digitalen Zeitalter anzupassen, hat der europäische Gesetzgeber die neue Produkthaftungsrichtlinie [Richtlinie (EU) 2024/2853, siehe hierzu auch den Beitrag in Deutscher AnwaltSpiegel 02/2025] erlassen, die die Mitgliedstaaten bis Ende 2026 in nationales Recht umzusetzen haben. Die Richtlinie reformiert den Produktbegriff, wobei die wichtigste Änderung darin zu sehen ist, dass nunmehr auch ausdrücklich Software unter den Produktbegriff fällt, und zwar unabhängig von der Art ihrer Bereitstellung oder Nutzung. Umfasst ist Software, die auf einem Gerät gespeichert (sogenannte Embedded Software), aber auch solche, die über ein Kommunikationsnetz oder eine Cloudtechnologie abrufbar ist oder die durch ein Software-as-a-Service-Modell bereitgestellt wird.
Zur Beurteilung der Fehlerhaftigkeit eines Produkts sind künftig insbesondere „einschlägige sicherheitsrelevante Cybersicherheitsanforderungen“ zu berücksichtigen. Welche Anforderungen das im Einzelnen sind und welchen Rechtsnormen diese Anforderungen zu entnehmen sind, hängt vom jeweiligen Produkt ab. Ein genereller Maßstab ist den Anforderungen aus der Produktsicherheitsverordnung [Verordnung (EU) 2023/988] zu entnehmen, die „angemessene Cybersicherheitsmerkmale fordert, die erforderlich sind, um das Produkt vor äußeren Einflüssen, einschließlich böswilliger Dritter, zu schützen“. Diese Anforderung stellt eine unter herkömmlichen Zurechnungsregeln besondere, im Kontext von Cybersicherheit aber letztlich zwingende Haftungsregelung dar. Der vorsätzliche Eingriff eines außenstehenden Dritten markiert in der allgemeinen Zivilrechtsdogmatik bislang vielfach die Grenze der Zurechnung, jedenfalls bedarf es einer besonderen Rechtfertigung, einen solchen Eingriff dem „Ersttäter“ – im hiesigen Kontext also dem Hersteller des Produkts, das eine Sicherheitslücke aufweist – zuzurechnen. Im Sinne der Rechtssicherheit wäre es für Unternehmen daher umso wichtiger, den einschlägigen Rechtsnormen konkret entnehmen zu können, wann ein Produkt über die notwendigen Cybersicherheitsmerkmale verfügt, um nicht als fehlerhaft angesehen zu werden. Wer sich die einschlägigen Anforderungen zu Gemüte führt, stellt fest, dass der europäische Gesetzgeber den Herstellern von Produkten lediglich Zielvorgaben macht, den Weg zum Ziel aber im Wesentlichen nicht beschreibt. In der Cyberresilienz-Verordnung [Verordnung (EU) 2024/2847] heißt es allgemein, dass Produkte mit digitalen Elementen so konzipiert sein müssen, dass sie ein „angemessenes Cybersicherheitsniveau“ gewährleisten. Wann von einem angemessenen Cybersicherheitsniveau auszugehen sein soll, wird in einem Katalog mit weiteren Unterzielen definiert, die, soweit sie auf das betreffende Produkt anwendbar sind, gewährleistet sein müssen. So sollen Produkte – um nur zwei Beispiele zu nennen – „ohne bekannte ausnutzbare Schwachstellen“ beziehungsweise mit „möglichst geringer Angriffsfläche“ bereitgestellt werden.
Der europäische Gesetzgeber arbeitet also mit einer Vielzahl unbestimmter Rechtsbegriffe, die Auslegungsschwierigkeiten mit sich bringen, hat aber zugleich erkannt, dass es absolute Cybersicherheit nicht geben kann, so dass – immerhin – der Rückschluss vom Cybersicherheitsvorfall allein auf einen Produktfehler nicht möglich sein wird.
Auswirkungen auf die Lieferkette
Die Schärfe der Cybersicherheitsanforderungen schlägt auch auf die Lieferkette durch. Um im Schadensfall Ansprüche möglichst erfolgreich durchsetzen, aber auch – aus Sicht des zu Unrecht in Anspruch Genommenen – abwehren zu können, sollten die jeweiligen Pflichten und Verantwortlichkeiten in Bezug auf Cybersicherheitsanforderungen klar definiert und voneinander abgegrenzt werden. Beispielhaft zu nennen sind Regelungen zu SBOM-Pflichten (Software Bill of Material) und Schwachstellenmanagement, definierte Patch-SLAs (Service Level Agreements), koordinierte Offenlegung, Logging- und Forensic-Readiness, daneben Audit- und Informationsrechte, Benachrichtigungspflichten bei Sicherheitsvorfällen, transparente Updategovernance und klare Zuweisung von Verantwortlichkeit für Drittkomponenten.
Hersteller wollen – um Regresslücken zu vermeiden – die für sie geltenden strengen Haftungsmaßstäbe möglichst vertraglich „flow-down“ an Zulieferer weiterreichen. Lieferanten verfolgen naturgemäß das gegenteilige Ziel, nämlich die eigene Haftung gegenüber den Herstellern des Gesamtprodukts weitgehend zu beschränken. Unter versicherungsrechtlichen Gesichtspunkten sollten Zulieferer digitaler Komponenten darauf achten, keine Zusagen zu treffen, die über die gesetzliche Haftung hinausgehen, jedenfalls nicht ohne vorherige Einbindung ihres Produkthaftpflichtversicherers. Denn Standardpolicen decken regelmäßig nur die gesetzliche Haftung. Wer darüber hinausgehende Garantien – etwa „vollumfängliche Cyberresilienz“, Updateerfolgspflichten oder weitgehende Freistellungserklärungen – abgibt, riskiert unter Umständen gefährliche Deckungslücken. Unternehmen sind daher gut beraten, vor Beginn einer neuen Geschäftsbeziehung eine sorgfältige Vertragsprüfung unter Berücksichtigung der genannten versicherungsrechtlichen Implikationen durchführen zu lassen.
Herausforderungen in der Rechtsdurchsetzung
Auch die Rechtsdurchsetzung wird nach der neuen Produkthaftungsrichtlinie neu vermessen. Die Richtlinie senkt – getrieben von der sicherlich zutreffenden Annahme, dass die Darlegung eines vermeintlichen Produktfehlers im Vergleich zur alten Welt tendenziell komplexer wird – die Hürden für Geschädigte: Plausible Anhaltspunkte und erste Beweismittel können genügen, damit Gerichte die Offenlegung relevanter Unterlagen anordnen. Das ist dem deutschen Zivilprozess bislang fremd und trägt Züge der im US-amerikanischen Zivilprozess gängigen Discovery. Der deutsche Gesetzgeber hat mit dem neuen § 273a ZPO, der am 01.04.2025 in Kraft getreten ist, bereits eine Vorschrift zur Offenlegung von Geschäftsgeheimnissen geschaffen, die im Kontext künftiger Produkthaftpflichtfälle besonders relevant werden dürfte. Flankiert wird die Offenlegungspflicht von einer (teilweisen) Beweislastumkehr, wenn die technische oder wissenschaftliche Komplexität die Beweisführung erheblich erschwert.
Bejaht ein Gericht einen Produktfehler, stellt sich für den Hersteller die Frage, ob ihm der Entlastungsbeweis gelingt. Hier hat der europäische Gesetzgeber kaum zu überwindende Anforderungen postuliert: Liegt eine Sicherheitslücke vor, die nicht der Nutzer selbst dadurch verursacht hat, dass er notwendige Updates nicht installiert hat, gelingt eine Entlastung nur dann, wenn die Sicherheitslücke nach dem objektiven Stand der Wissenschaft und Technik zum Zeitpunkt des Inverkehrbringens oder der Inbetriebnahme des Produkts oder in dem Zeitraum, in dem sich das Produkt unter der Kontrolle des Herstellers befand, nicht erkannt werden konnte. Der objektive Stand von Wissenschaft und Technik stellt das denkbar höchste Anforderungsprofil dar, das über fortschrittliche, industrieübliche Standards hinausgeht und die „reine Lehre“ einschließt. In der Rechtsverteidigung wird elementar sein, darauf zu achten, dass Gerichte die Frage des Produktfehlers („angemessenes Cybersicherheitsniveau“) nicht mit der Frage der Vermeidbarkeit („Stand von Wissenschaft und Technik“) in unzulässiger Weise vermischen. Will ein Gericht die Frage klären, ob ein Produktfehler vorliegt, indem es nach der Vermeidbarkeit der Sicherheitslücke fragt, liegt eine unzulässige Vermischung der Ebenen des Fehlers und der Entlastung jedenfalls nicht fern.
All das macht aber auch deutlich: Erfolgreiche Rechtsverteidigung beginnt nicht erst im Prozess, sondern im Lifecycle: Wer auf saubere technische Dokumentation, Risikobeurteilung, Test- und Freigabeverfahren, Updatepolicy und insgesamt eine gute Lieferketten-Due-Diligence achtet, erhöht seine Chancen auf eine erfolgreiche Rechtsverteidigung. Abzuwarten bleibt, ob Haftpflichtversicherer künftig die entsprechende Dokumentation angesichts ihrer zunehmenden haftungsrechtlichen Bedeutung zur versicherungsvertraglichen Obliegenheit erheben mit der Folge, dass ihre Einhaltung allein schon zum Erhalt des Versicherungsschutzes geboten ist.
Fazit
Das Fazit fällt nüchtern aus: Die EU hebt die Produkthaftung ins digitale Zeitalter – und verschiebt die Risiken deutlich zu Lasten des Produktverantwortlichen. Die Cybersicherheitsanforderungen bilden den neuen Kern der Produktsicherheit; sie schärfen Haftungstatbestände und verlängern Risiken in die Nutzungsphase hinein. Für die Industrie heißt das: Rechtsverteidigung wird komplexer und Lieferkettengovernance wichtiger. Wer jetzt nicht aufklärt, ordnet und vertraglich vorsorgt, riskiert, dass der nächste Angriff nicht nur zum IT-, sondern auch zum Haftungsfall wird.
