Neue Produkthaftungsrichtlinie

H ersteller haben künftig auch nach Auslieferung ihrer Produkte deren Cybersicherheit im Auge zu behalten, um eine Haftung aufgrund von Produkthaftungsvorschriften zu vermeiden. [...]

Mag. Andreas Schütz und Alexander Schmiedlechner sind Juristen der Kanzlei Taylor-Wessing. (c) Taylor-Wessing
Mag. Andreas Schütz und Alexander Schmiedlechner sind Juristen der Kanzlei Taylor-Wessing. (c) Taylor-Wessing

Die neue Produkthaftungsrichtlinie der EU (im Folgenden »PH-RL«) behandelt die Haftung für Schäden, die natürlichen Personen durch fehlerhafte Produkte entstanden sind. Der aktuelle Entwurf wurde vom EU-Parlament am 12. 3. 2024 angenommen, die finale Fassung wird noch 2024 erwartet. Die PH-RL muss somit voraussichtlich bis 2026 von den Mitgliedstaaten in nationales Recht umgesetzt werden. 

Erweiterter Produktbegriff

Die PH-RL erweitert den bestehenden Produktbegriff auf alle beweglichen Sachen und stellt nun auch klar, dass Software und KI-Systeme von dem Begriff erfasst sind. 

Natürliche Personen, deren physische oder psychische Gesundheit, Vermögensgegenstände (z.B. ein PC) und/oder private Daten (z.B. digitale Dateien auf der Festplatte des PC) durch ein fehlerhaftes Produkt geschädigt werden, haben Anspruch auf Entschädigung. 

Gerade bei der Beschädigung von Daten wird jedoch zu prüfen sein, wann ein Schaden überhaupt vorliegt. Die Zerstörung oder Verfälschung von Daten führt nämlich nicht immer zu einem materiellen Verlust (etwa nicht, wenn sie durch die betroffene Person kostenfrei wiederhergestellt oder erneut heruntergeladen werden können).

Voraussetzung für die Haftung ist grundsätzlich, dass das Produkt zum Zeitpunkt des Inverkehrbringens bzw. Inbetriebnehmens fehlerhaft war und somit nicht die Sicherheit bot, die eine Person erwarten darf und die rechtlich vorgeschrieben ist. 

Eine Haftung des Herstellers besteht jedoch auch danach, wenn etwa die Fehlerhaftigkeit des Produkts auf das Fehlen von Software-Updates oder -Upgrades zurückzuführen ist, die zur Aufrechterhaltung der Sicherheit erforderlich waren. Und wenn dies unter der Kontrolle des Herstellers lag, d.h. wenn dieser in der Lage war, die Updates bzw. Upgrades bereitzustellen oder durch Dritte bereitzustellen lassen.

Da das Bereitstellen der Aktualisierung maßgeblich ist, soll es aber möglich sein, die Haftung in jenen Fällen zu mindern oder auszuschließen, in denen die geschädigte Person ein bereitgestelltes Update bzw. Upgrade fahrlässig nicht installiert hat und dieses Update bzw. Upgrade den Schaden gemildert oder vermieden hätte. 

Neben den Pflichten aus regulatorischen Bestimmungen wie dem Cyber Resilience Act werden Hersteller somit auch aus Haftungsgründen angehalten sein, die Cybersicherheit ihrer Produkte sicherzustellen.

*Mag. Andreas Schütz und Alexander Schmiedlechner sind Juristen der Kanzlei Taylor-Wessing.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*