H ersteller haben künftig auch nach Auslieferung ihrer Produkte deren Cybersicherheit im Auge zu behalten, um eine Haftung aufgrund von Produkthaftungsvorschriften zu vermeiden. [...]
Die neue Produkthaftungsrichtlinie der EU (im Folgenden »PH-RL«) behandelt die Haftung für Schäden, die natürlichen Personen durch fehlerhafte Produkte entstanden sind. Der aktuelle Entwurf wurde vom EU-Parlament am 12. 3. 2024 angenommen, die finale Fassung wird noch 2024 erwartet. Die PH-RL muss somit voraussichtlich bis 2026 von den Mitgliedstaaten in nationales Recht umgesetzt werden.
Erweiterter Produktbegriff
Die PH-RL erweitert den bestehenden Produktbegriff auf alle beweglichen Sachen und stellt nun auch klar, dass Software und KI-Systeme von dem Begriff erfasst sind.
Natürliche Personen, deren physische oder psychische Gesundheit, Vermögensgegenstände (z.B. ein PC) und/oder private Daten (z.B. digitale Dateien auf der Festplatte des PC) durch ein fehlerhaftes Produkt geschädigt werden, haben Anspruch auf Entschädigung.
Gerade bei der Beschädigung von Daten wird jedoch zu prüfen sein, wann ein Schaden überhaupt vorliegt. Die Zerstörung oder Verfälschung von Daten führt nämlich nicht immer zu einem materiellen Verlust (etwa nicht, wenn sie durch die betroffene Person kostenfrei wiederhergestellt oder erneut heruntergeladen werden können).
Voraussetzung für die Haftung ist grundsätzlich, dass das Produkt zum Zeitpunkt des Inverkehrbringens bzw. Inbetriebnehmens fehlerhaft war und somit nicht die Sicherheit bot, die eine Person erwarten darf und die rechtlich vorgeschrieben ist.
Eine Haftung des Herstellers besteht jedoch auch danach, wenn etwa die Fehlerhaftigkeit des Produkts auf das Fehlen von Software-Updates oder -Upgrades zurückzuführen ist, die zur Aufrechterhaltung der Sicherheit erforderlich waren. Und wenn dies unter der Kontrolle des Herstellers lag, d.h. wenn dieser in der Lage war, die Updates bzw. Upgrades bereitzustellen oder durch Dritte bereitzustellen lassen.
Da das Bereitstellen der Aktualisierung maßgeblich ist, soll es aber möglich sein, die Haftung in jenen Fällen zu mindern oder auszuschließen, in denen die geschädigte Person ein bereitgestelltes Update bzw. Upgrade fahrlässig nicht installiert hat und dieses Update bzw. Upgrade den Schaden gemildert oder vermieden hätte.
Neben den Pflichten aus regulatorischen Bestimmungen wie dem Cyber Resilience Act werden Hersteller somit auch aus Haftungsgründen angehalten sein, die Cybersicherheit ihrer Produkte sicherzustellen.
*Mag. Andreas Schütz und Alexander Schmiedlechner sind Juristen der Kanzlei Taylor-Wessing.
Be the first to comment