Wie in vielen anderen produktrechtlich relevanten Bereichen war in der letzten Legislaturperiode ein nahezu manisch aktives Europäisches Parlament zu sehen, das gemeinsam mit der Kommission – und im Zusammenspiel mit dieser wechselseitig die Schlagzahl erhöhend – aufgrund von Verbraucher- oder Umweltschutzaspekten oder schlicht wegen der „Herausforderungen durch die Digitalisierung“ unzählige Rechtsbereiche angepasst oder neu eingeführt hat.
Ausgangslage
Zivilrechtlich zählt als einer der letzten Akte dieses gesetzgeberischen „Tsunamis“ sicherlich die Überarbeitung der Produkthaftungsrichtlinie zu den großen Würfen, wird hier doch ein seit 1985 bestehendes Regime überarbeitet. Seit dem 10.10.2024 steht mit der Zustimmung des Rates der EU der Abschluss des Gesetzgebungsverfahrens fest, am 08.11.2024 ist die Richtlinie im Amtsblatt veröffentlicht worden und 20 Tage später in Kraft getreten. Zwei Jahre haben die Mitgliedstaaten Zeit, die nationale Umsetzung vorzunehmen. Ende 2026 wird demnach das bisherige Produkthaftungsgesetz (ProdHaftG) in Deutschland angepasst werden.
Diese Überarbeitung trägt den technologischen Entwicklungen der vergangenen Jahrzehnte Rechnung, erweitert den Anwendungsbereich der Produkthaftung erheblich und stellt eine Parallelität zum öffentlich-rechtlichen Produktsicherheitsrecht her. Hierzu hat die neue Produkthaftungsrichtlinie (ProdHaftRL) – deren Notation 2024/2853 noch oft im Zuge von Auslegungsschwierigkeiten genannt werden wird – einige erhebliche Änderungen zum bisherigen, 40 Jahre alten Set-up gebracht.
New Legislative Framework (NLF) und wesentliche Inhalte
Insgesamt orientiert sich der Entwurf an den Begrifflichkeiten des aus dem Produktrecht bekannten „New Legislative Framework“ (NLF) und parallelisiert damit notwendigerweise den Ansatz des NLF mit einem zivilrechtlichen Haftungsregime. Erstmals definiert wird der Begriff der verbundenen Dienste („Related Services“), der digitale Dienste meint, die in einem Produkt integriert oder mit diesem verknüpft sind und zum Ausfall einer oder mehrerer seiner Funktionen führen würden, wenn sie fehlten.
„Produkt“ bezeichnet demnach alle beweglichen Sachen, auch wenn diese in eine andere bewegliche oder unbewegliche Sache integriert sind. Dazu zählen auch Elektrizität, digitale Bauunterlagen und Software.
Open-Source-Software, die nicht kommerziell entstanden ist, ist vom Anwendungsbereich ausgenommen; inwiefern das eine Erleichterung für die Vielzahl von Projekten ist, die Open-Source-Software entwickeln und verbreiten, scheint zumindest angesichts der fehlenden Definition von Kommerzialität im Sinne einer Gewerblichkeit fraglich.
In der Konsequenz der Aufnahme nichtmaterieller Produkte werden in Art. 6 (c) ProdHaftRL auch immaterielle Rechtsgüter vom Schadensbegriff umfasst. Zum ersatzfähigen Schaden zählt auch die Beschädigung oder der Verlust von Daten. Zwar sind Daten im rein professionellen Anwendungsbereich ausgenommen, aber jeder Verbraucher, der Daten auf einem Träger oder Gerät hinterlegt, wird zum Haftungssubjekt. Denn auch die Daten auf dem fehlerhaften Produkt selbst sind geschützt.
Cybersecurity und KI als Kriterien für einen Produktfehler
Ebenso wird in Art. 6 Nr. 1 lit. c und Nr. 1 lit. f ProdHaftRL die Definition des Produktfehlers erweitert. Danach ist sowohl die Fähigkeit eines Produkts, nach Inverkehrgabe zu lernen, als auch der Einfluss von Cybersecurity ein Kriterium für einen Produktfehler.
Produktfehler sind demnach auch Effekte durch selbstlernende Funktionen sowie die Auswirkungen anderer Produkte, von denen vernünftigerweise erwartet werden kann, dass sie zusammen mit dem in Rede stehenden Produkt verwendet werden.
Die Aufnahme von Cybersecurity führt zu insbesondere rechtlich schwierigen Abgrenzungskriterien, wenn es um die Verantwortlichkeit für einen durch einen außenstehenden Dritten vorsätzlich rechtswidrigen Eingriff in die Software geht. Hier wird eine sehr trennscharfe Abgrenzung dahingehend erfolgen müssen, ob das Produkt zum Zeitpunkt der Inverkehrgabe beziehungsweise des Angriffs dem verfügbaren Stand von Wissenschaft und Technik entsprach und der Angriff dennoch erfolgen konnte oder ob ein Angriff wegen des Unterlassens möglicher Sicherungsmaßnahmen erst ermöglicht wurde.
(Zulässige?) Auswirkungen auf das deutsche Zivilprozessrecht
Um die Durchsetzung produkthaftungsrechtlicher Ansprüche zu erleichtern, greift die Europäische Kommission zu denselben Methoden wie bereits bei der – allerdings noch nicht verabschiedeten – KI-Haftungsrichtlinie und innoviert das Zivilprozessrecht. Ob das tatsächlich überhaupt in der Gesetzgebungskompetenz der EU liegt, ist zumindest aus meiner Sicht erheblich zweifelhaft. Nichtsdestotrotz wird auch der deutsche Gesetzgeber die nachfolgenden Vorgaben der Richtlinie umsetzen müssen, die dem deutschen Zivilprozessrecht bislang grundsätzlich nicht bekannt sind:
- Anspruch auf Offenlegung: Nach Art. 8 ProdHaftRL besteht bei plausibler Darlegung durch den Anspruchsteller die gerichtliche Möglichkeit, die Offenlegung relevanter Beweise durch den Beklagten zu verlangen. Zwar findet eine Verhältnismäßigkeitsprüfung statt und Geschäftsgeheimnisse sind zu wahren. Die prozessualen Möglichkeiten werden dennoch deutlich zuungunsten beklagter Unternehmen verschoben. Eine solche „Disclosure“ findet sich im deutschen Recht bisher nicht, sondern entspricht eher dem aus dem US-amerikanischen Zivilprozessrecht bekannten Vorgehen.
- Gesetzliche Vermutungswirkungen: Zur Begründung des Anspruchs müssen wie bisher die Fehlerhaftigkeit des Produkts, der entstandene Schaden und die kausale Verknüpfung zwischen beiden bewiesen werden. Die Beweislast trifft nach geltendem Recht den Anspruchsteller. Zukünftig wird die Fehlerhaftigkeit allerdings vermutet, wenn eine der in Art. 9 aufgeführten Bedingungen erfüllt ist, wozu insbesondere eine Verweigerung der oben erwähnten Offenlegung zählt.
Ausblick und notwendige Praxisfolgen
Die Diskussionen insbesondere um diese letzte, dem europäischen Produkthaftungsrecht bislang unbekannte und mindestens wesensfremde Neuerung sind neben der massiven Erweiterung des Anwendungsbereichs um Stand-alone-Software wie auch Embedded Solutions sehr kritisch geführt worden. Die Europäische Union hat sich von dem Gedanken einer auch zivilprozessualen Erleichterung zugunsten des Geschädigten nicht abbringen lassen. Inwieweit die jeweilige nationale Rechtsprechung noch eine Einhegung einer möglichen Näherung an US-amerikanische Verhältnisse zustande bringen wird, werden wir erst in mehreren Jahren wissen.
Gleichwohl setzt dieses Regelungskonstrukt in Gänze eine Entwicklung in Gang, die in den Diskussionen kaum betrachtet worden ist. Während nämlich bislang unternehmensintern einhellig von allen führenden Experten klar war, dass eine lückenlose Dokumentation jedes Produktentwicklungsprozesses notwendig ist und so auch von Managementsystemen wie ISO 9001 oder dem Automotivestandard ISO 16949 gefordert wurde, muss hier zwingend eine Überarbeitung solcher Systeme erfolgen. Der Unterschied zwischen der aktuell geltenden Rechtslage und dem Ende 2026 geltenden Regime wird offenkundig, wenn externe Zugriffe auf Dokumente nicht mehr vorselektiert durch das Unternehmen erfolgen. Während also bisher der Beibringungsgrundsatz zivilprozessual davor schützte, nachteilige Informationen mit der Gegenseite zu teilen, gelingt über Art. 8 der neuen Richtlinie ein solcher Zugriff durch Externe nunmehr. Das muss zwingend die Frage nach sich ziehen, welche Prozesse die Produktentstehung begleiten und ob und wie deren Ergebnisse dokumentiert werden. Die Organisation wird also tatsächlich auch aus einem weiteren Blickwinkel gerichtsfest werden müssen, um Angriffsflächen insbesondere in der Produktentwicklung zu vermeiden.
Durch die massive Erweiterung des Anwendungsbereichs der Produkthaftungsrichtlinie 2024/2853 sind von dieser Herausforderung auch solche Industrien betroffen, die wie etwa reine Softwarehersteller bislang ohnehin wenige produktrechtliche Anforderungen in ihrem Produktentstehungsprozess zu beachten hatten.
Autor
Philipp Reusch
reuschlaw, Berlin
Rechtsanwalt, Founding Partner