Noch ein kurzer Nachtrag von dieser Woche. Zum 18. November 2024 ist die EU-Produkthaftungs-Richtlinie 2024/2853 im Amtsblatt der Europäischen Union veröffentlicht worden. Diese regelt EU-weit eine verschuldensunabhängige Produkthaftung, auch für Software. Die Richtlinie tritt am 9. Dezember 2024 in Kraft, aber die Umsetzungsfrist läuft noch bis 9.12.2026.
EU-Produkthaftungs-Richtlinie 2024/2853
Die EU-Produkthaftungs-Richtlinie 2024/2853 enthält gemeinsame Vorschriften über die Haftung für fehlerhafte Produkte. Ziel ist es, Unterschiede zwischen den Rechtsordnungen der Mitgliedstaaten zu beseitigen, die den Wettbewerb verfälschen und den Warenverkehr im Binnenmarkt beeinträchtigen können.
Das Thema wurde von einigen Kommentatoren hier im Blog mehrfach erwähnt, weil die neue Produkthaftungsrichtlinie nun auch auf Software und digitale Dienste ausgeweitet wird.
Digitale Dienste sind betroffen
In der Richtlinie wird ausgeführt, dass digitale Dienste immer häufiger so in ein Produkt integriert oder mit ihm verbunden werden, dass dieses ohne den Dienst eine seiner Funktionen nicht verwendet werden kann. Bisher waren solche Fälle von der existierenden Produkthaftungslinie 85/374/EWG aus 1985 nicht abgedeckt.
Auch wenn die neue EU-Produkthaftungs-Richtlinie 2024/2853 nicht für Dienstleistungen als solche gelten sollte, wird nun die verschuldensunabhängige Haftung auf solche integrierten oder verbundenen digitalen Dienste ausgeweitet. Die EU begründet dies damit, dass sie für die Sicherheit des Produkts genauso grundlegend sind wie physische oder digitale Komponenten.
Als Beispiele für verbundene Dienste sind die kontinuierliche Bereitstellung von Verkehrsdaten in einem Navigationssystem, ein Gesundheitsüberwachungsdienst, der sich auf die Sensoren eines physischen Produkts stützt, um die körperliche Aktivität oder Gesundheitsparameter des Nutzers nachzuverfolgen, ein Temperaturüberwachungsdienst, der die Temperatur eines intelligenten Kühlschranks überwacht und reguliert, oder auch ein Sprachassistent, der die Steuerung eines oder mehrerer Produkte mittels Sprachbefehlen ermöglicht.
Internetzugangsdienste sollten nicht als verbundene Dienste behandelt werden, da sie nicht als Teil eines Produkts angesehen werden können, das der Kontrolle eines Herstellers unterliegt, und es wäre unangemessen, die Hersteller für Schäden haftbar zu machen, die durch Mängel bei Internetzugangsdiensten verursacht werden. Allerdings könnte ein Produkt, das sich auf Internetzugangsdienste stützt und bei einer Verbindungsunterbrechung keine Sicherheit gewährleisten kann, als fehlerhaft im Sinne dieser Richtlinie eingestuft werden, führt die Richtlinie aus.
Software und Updates tangiert
Bei heise hatte in diesem Beitrag vor einigen Tagen eine Rechtsanwältin die Implikationen der neuen Produkthaftungsrichtlinie eingeordnet und darauf hingewiesen, dass durch die neue Richtlinie eine Haftung für Sofware-Anbieter komme. Es sei dabei unerheblich, ob die Software auf einem Gerät installiert ist oder als Software-as-a-Service bereitgestellt werde. Bei Fehlern integrierter Software sind sowohl der Endhersteller des finalen Produkts auch der Softwarehersteller einer fehlerhaften Komponente in der Haftung.
Interessant ist, was die EU in der Richtlinie dazu schreibt: Verbundene Dienste und andere Komponenten, einschließlich Software-Updates und -Upgrades, sollten als unter der Kontrolle des Herstellers stehend betrachtet werden, wenn der Hersteller sie in ein Produkt integriert oder sie damit verbindet oder sie bereitstellt. Gleiches gilt, wenn der Hersteller der Integration von Diensten und Komponenten in ein Produkt, ihre Verbindung mit einem Produkt oder ihre Bereitstellung durch einen Dritten genehmigt oder ihr zustimmt.
Als Ausnahme wurde lediglich Open Source-Software definiert. Dazu heißt es, das freie und quelloffene Software, die außerhalb einer gewerblichen Tätigkeit entwickelt und angeboten wird, von der Haftung ausgenommen wird, „um Innovation und Forschung nicht zu behindern“.
Schadensersatz für Datenverlust
Die EU schreibt in der Verordnung, dass angesichts der wachsenden Bedeutung und des zunehmenden Werts nicht-körperlicher Vermögensgegenstände auch Schadensersatz für die Vernichtung oder die Beschädigung von Daten, wie z. B. aus einer Festplatte gelöschte digitale Dateien, geleistet werden sollte. Dies schließt auch die Kosten für die Rettung oder Wiederherstellung dieser Daten ein.
Wird sich was bei Software ändern?
Die Mitgliedstaaten der EU haben jetzt zwei Jahre Zeit, die EU-Produkthaftungs-Richtlinie 2024/2853 in nationales Recht umzusetzen. Im Dezember 2026 läuft diese Frist dann ab. Interessant wird es nun sein, zu beobachten, wie sich die Produkthaftung auf die Qualität von Software auswirken wird. Mir fallen natürlich die Fälle fehlerhafter Updates bei Herstellern wie Microsoft etc. ein, die mitunter erheblichen Aufwand zur Behebung bei Unternehmen erfordern.
Und es stellt sich die Frage, ob der Umfang der Haftung irgendwie begrenzt werden kann. Was, wenn eine 20 Euro-Software einen Schaden von vielen Tausend Euro verursacht – kann die Schadenshöhe begrenzt werden. In der Richtlinie heißt es dazu, dass keine vertraglichen Ausnahmen zulässig sein sollten. Ach Bestimmungen des nationalen Rechts sollen die Haftung, z. B. durch die Festlegung finanzieller Obergrenzen für die Haftung eines Wirtschaftsakteurs, nicht einschränken oder auszuschließen können. Ich denke, es wird spannend werden, die Entwicklung in den nächsten Jahren zu beobachten und zu verfolgen, wie sich die Produkthaftung entwickelt.
Als Ausnahme wurde lediglich Open Source-Software definiert. Dazu heißt es, das freie und quelloffene Software, die außerhalb einer gewerblichen Tätigkeit entwickelt und angeboten wird…
Dann dürfte viel OpenSource Produkte wohl auch der Haftung unterliegen. Gleichheitsgrundsatz!
Die Begrenzung der Haftung ist keine gute Sache. Klar ist, daß wenn sie greift, ein kleiner Anbieter einfach weg vom Fenster sein wird. M. M. n. völlig zurecht, um Fortinet, Cisco, Palo Alto und Co. wäre es nicht schade. Pech wenn der, der bis dato digitale Dienste angeboten hat, die Server abeschaltet. Vlt. fällt dann auch dem Letzen auf, daß Cloud eine wirklich schlechte Idee ist. Ich meine das nicht technisch. Mal abgesehen von oft lausiger Qualität der Software gehört Dir eben das System nicht und wenn ein Teil den Dienst einstellt, warum auch immer, ist das ganze System lahmgelegt. Dann ist dein schönes Gadget plötzlich nur noch als Briefbeschwerer tauglich, was aber bei immer weniger Briefen auch nicht zufriedenstellend ist. Mailbeschwerer gibt es nicht und braucht es auch nicht.
Da wir es hier im Blog kürzlich von Autos hatten (https://www.borncity.com/blog/2024/11/17/was-laeuft-falsch-bei-modernen-autos/), wird dieser Passus interessant:
„Allerdings könnte ein Produkt, das sich auf Internetzugangsdienste stützt und bei einer Verbindungsunterbrechung keine Sicherheit gewährleisten kann, als fehlerhaft im Sinne dieser Richtlinie eingestuft werden, führt die Richtlinie aus.“
Das dürfte dann auf eCall zutreffen, das noch 2G nutzt.
Damit sind die Fahrzeughersteller in der Haftung, wenn eCall wegen der Abschaltung von 2G nicht mehr funktioniert.
Schön wär’s – aber ich glaube nicht, dass das rückwirkend gelten wird…
Und es wird viele Jahre dauern, bis die Rechtsprechung auch die ausgefallenen Dinge beurteilt hat. Aber im Prinzip finde ich es gut.
@R.S. : „Das dürfte dann auf eCall zutreffen, das noch 2G nutzt.
Damit sind die Fahrzeughersteller in der Haftung, wenn eCall wegen der Abschaltung von 2G nicht mehr funktioniert.“
Im Gegenteil. Das sollte ein Beispiel sein, warum hier die Produkthaftung nicht greift.
Zum Zeitpunkt der Herstellung war das 2G/3G Netz Stand der Technik.
Wenn also eCall nicht mehr funktioniert, dann ist nicht der Auto Hersteller in der Haftung, denn die Funktion auf Seiten des Autos ist ja weiterhin gegeben (bzgl. der Möglichkeit).
Und MS ist fein raus weil die in USA sitzen? Deren Software ist Weltweit für die meisten Datenverluste durch „Fehlerhaften“ Code verantwortlich. Kann man die jetzt haftbar machen wenn Word ein Dokument zerschiesst oder gar eine Mail in deren Super-Duper-Cloud verloren geht? Wie ist das geregelt?
Grundsätzlich eine Richtlinie, die ich sehr begrüße. Das wurde auch Zeit!
Ob ich persönlich als Otto Normalo wirklich mal irgendwann einmal in den Genuss der Schutzwirkung dieser Richtlinie komme … wer weiß. Aber wenn dann mal der Fall eintritt, dann können lt. ErwGr (28)* die Verbraucherschutzbehörden unterstützen.
Aber wer kommt denn bitte wie an die notwendigen und belastbaren Informationen? Das beantwortet ErwGr (42)* sehr detailliert. Hierzu wird vermutlich der eine oder andere Hersteller sein grundsätzliches Mindset ändern und neue, interne Prozesse etablieren müssen.
Durch diese Selbstverpflichtung entstehen vermutlich höhere Kosten, die sich dann im Preis des Produktes niederschlagen würden.
Ganz nach dem Motto: „Du willst bessere Qualität, dann musst Du mehr zahlen.“
Erstaunlich aber, dass es hier seitens der Hersteller kein Veto in Bezug auf bestimmte Inhalte dieser Richtlinie gegeben zu haben scheint. Denn die Richtlinie deckt mMn sämtliche Schadens-Szenarien ab, die den Herstellern doch sicherlich Schweißperlen auf die Stirn treiben müsste.
Oder geht die „Gefahr“ eines Schadenersatzes gar nicht von den natürlichen Personen aus, so dass sich die Hersteller gelassen zurücklehnen können?
Mich wundert nämlich, dass diese Richtlinie im Haftungsfall „nur“ für natürliche Personen/Verbraucher Anwendung finden soll und das Modalverb „sollte“ (als Empfehlung oder Aufforderung?) in sehr vielen der 64 Erwägungsgründe der Präambel und auch in den folgenden Kapiteln „auftaucht“.
Wie viele potentiell geschädigte Unternehmen, Vereine etc., also juristische Personen, gucken dann in die Röhre?
Andererseits hat ja der aktuelle Fall https://www.borncity.com/blog/2024/11/18/bgh-entscheidung-schadensersatz-fuer-betroffene-nach-facebook-datenabfluss/ gezeigt, dass es zukünftig genug Futter für Anwälte geben könnte.
In Kapitel 1, Art. 2, Absatz (1)* wird als Startdatum der Richtlinie der 09.12.2026 genannt. Gilt also nicht rückwirkend.
Bis zu dem o.g. Datum dürfen die Hersteller sich also noch austoben und uns mit unausgegorenen „Produkten“ ärgern.
Mal abwarten …
*EU-Produkthaftungs-Richtlinie 2024/2853