Software und die neue Produkthaftung

Im Gespräch mit Dr. Carsten Brodersen, HK2 Rechtsanwälte, Berlin

Jana Freiburg: Die neue Produkthaftungsrichtlinie der EU hat viele Diskussionen ausgelöst. Können Sie uns zu Beginn erklären, welche wesentlichen Änderungen die Richtlinie mit sich bringt und warum sie gerade für Software eine so große Rolle spielt?

Carsten Brodersen: Zunächst ist entscheidend, dass die neue Produkthaftungsrichtlinie ausdrücklich jegliche Form von Software als immaterielles Produkt in ihren Anwendungsbereich einbezieht. Damit wird erstmals klargestellt, dass auch rein digitale Produkte denselben produkthaftungsrechtlichen Anforderungen unterliegen wie klassische physische Güter.

In der Folge werden zahlreiche haftungsrelevante Aspekte rund um Software geregelt – insbesondere sicherheitsbezogene Risiken, die durch fehlende Updates, fehlerhafte Interoperabilität oder nachträglich hinzukommende Funktionen entstehen können, etwa durch automatisierte Updates oder selbstlernende KI-Systeme.

Hersteller und Softwareentwickler können sich dabei nicht einfach mit dem Hinweis entlasten, ein Fehler sei erst nach dem Inverkehrbringen aufgetreten. Solange sie weiterhin Einfluss auf das Produkt nehmen – etwa durch Updates – und Kontrolle über dessen Funktionalität behalten, kann auch nachträglich eine Haftung bestehen.

Die Richtlinie reagiert zudem auf die veränderten Vertriebsstrukturen im digitalen Raum: Unter bestimmten Voraussetzungen können auch Online-Plattformen haftbar gemacht werden.

Neu ist außerdem die ausdrückliche Anerkennung bislang nicht erfasster Schäden, etwa dem Verlust privat genutzter digitaler Daten.

Schließlich adressiert die Richtlinie auch den sogenannten Blackbox-Effekt. Gerade bei komplexer Software oder KI-Systemen ist es für Verbraucher oft kaum möglich, den Zusammenhang zwischen einem technischen Fehler und dem entstandenen Schaden zu beweisen. Die neuen Regelungen sehen hier gezielte Beweiserleichterungen vor – und schaffen damit mehr Fairness und Rechtsklarheit in einem zunehmend digitalen Produkthaftungsumfeld.

Jana Freiburg: Wie unterscheidet sich denn die Haftung für Softwarefehler von der klassischen Produkthaftung für physische Mängel? Und wie wirkt es sich aus, dass Software oft auch ein integraler Bestandteil moderner Produkte ist?

Carsten Brodersen: Die Haftung für Softwarefehler im Rahmen der neuen Produkthaftungsrichtlinie unterscheidet sich in mehrfacher Hinsicht von derjenigen für klassische physische Mängel. Während physische Fehler in der Regel unmittelbar erkennbar oder zumindest eindeutig anhand untersuchbarer materieller Substrate nachweisbar sind, handelt es sich bei Softwarefehlern häufig um komplexe, dynamische Phänomene. Solche Fehler können erst unter bestimmten Bedingungen zutage treten oder sich erst nachträglich zeigen – etwa durch fehlerhafte Updates, Interoperabilitätsprobleme oder veränderte Nutzungskontexte.

Hinzu kommt, dass Software heute oft ein integraler Bestandteil physischer Produkte ist. Ein vermeintlich physischer Produktfehler kann in Wirklichkeit auf eine fehlerhafte Softwarekomponente oder einen verbundenen digitalen Dienst zurückzuführen sein – etwa bei vernetzten Geräten im Bereich Internet of Things.

In diesem Zusammenhang gewinnt auch die parallele Haftung an Bedeutung: Mehrere Akteure können gleichzeitig in die Verantwortung genommen werden – etwa der Hersteller des physischen Produkts und der Entwickler der integrierten Software oder KI-Komponente. Entscheidend ist, wer die Kontrolle über das fehlerhafte System oder seine Teilkomponenten mitsamt Integrationsprozess hatte – und wer in der Lage gewesen wäre, Risiken zu erkennen und zu beherrschen.

Jana Freiburg: Ein zentraler Punkt der Diskussion ist die Frage, wie sich die Haftung bei nachträglichen funktionsändernden Updates oder KI-gestützten Systemen gestaltet, die sich selbst weiterentwickeln können. Welche rechtlichen Herausforderungen sehen Sie hier?

Carsten Brodersen: Die zentrale Herausforderung für Hersteller, Softwareentwickler und Anbieter von KI-Systemen liegt darin, bereits bei der Konzeption zu antizipieren, wie sich das digitale Produkt nach dem Inverkehrbringen funktional – und damit auch sicherheitsrelevant – verändern kann. Dies betrifft insbesondere Systeme mit Update-Mechanismen oder maschinellem Lernen.

Die neue Produkthaftungsrichtlinie reagiert darauf, indem sie klarstellt: Auch nachträgliche Veränderungen – etwa durch fehlerhafte oder unterlassene Software-Updates oder durch das unerwartete Verhalten selbstlernender KI-Systeme – können haftungsrelevant sein. Das gilt unabhängig davon, ob das Produkt bei Inverkehrbringen noch als fehlerfrei galt. Entscheidend ist, ob der Hersteller oder Anbieter weiterhin Kontrolle über das Produkt ausüben kann – etwa indem er selbst Updates bereitstellt oder in der Lage wäre, entsprechende Aktualisierungen zu veranlassen.

Die Richtlinie trägt damit der digitalen Realität Rechnung, in der Produkte nicht statisch sind, sondern sich fortlaufend verändern – und mit ihnen auch potenzielle Risiken

Jana Freiburg: Welche Rolle spielt IT-Sicherheit in der Produkthaftung? Können Unternehmen haftbar gemacht werden, wenn Sicherheitslücken in ihrer Software zu Schäden führen?

Carsten Brodersen: IT-Sicherheit ist ein zentrales Haftungskriterium im Rahmen der neuen Produkthaftung.

Weist Software vermeidbare oder bereits bekannte Sicherheitslücken auf und entsteht daraus ein Schaden – etwa durch einen Hackerangriff –, kann dies einen Schadensersatzanspruch begründen.

Entscheidend ist, ob beim Inverkehrbringen ein angemessenes Cybersicherheitsniveau eingehalten wurde. Dazu zählen unter anderem eine risikoorientierte Entwicklung, regelmäßige Schwachstellenanalysen sowie Sicherheitsüberwachungsmechanismen. Ebenso relevant ist, ob auch nach dem Inverkehrbringen fortlaufend Sicherheitsupdates bereitgestellt wurden, um neue Risiken zu beheben.

Die Richtlinie verweist bei der Fehlerbewertung ausdrücklich auf die Nichteinhaltung bestehender unionsrechtlicher Anforderungen zur Produktsicherheit hin. Dazu zählt insbesondere der Cyber Resilience Act (CRA), der Hersteller digitaler Produkte – einschließlich zahlreicher Softwarelösungen – verpflichtet, ihre Produkte ohne bekannte Schwachstellen auszuliefern und dauerhaft mit Sicherheitsupdates zu pflegen.

Jana Freiburg: Denken Sie, dass die neuen Produkthaftungsrichtlinie ausreichend ist, um den Anforderungen des digitalen Zeitalters gerecht zu werden? Oder sehen Sie noch Lücken oder Verbesserungsbedarf?

Carsten Brodersen: Die neue Produkthaftungsrichtlinie ist – zumindest aus Sicht geschädigter Verbraucher – ein bedeutender Fortschritt.

Sie erweitert die Haftung transparent auf Software und digitale Produkte aus und erleichtert den Zugang zum verschuldensunabhängigen Schadensersatz – etwa durch einen verlängerten Haftungszeitraum über das Inverkehrbringen hinaus, die Einbeziehung neuer Haftungsadressaten wie digitaler Plattformbetreiber und durch Beweiserleichterungen bei technisch bedingten Nachweisschwierigkeiten hinsichtlich Fehlerhaftigkeit und Kausalität zum Schaden.

Gleichzeitig bleibt die Richtlinie in einigen Punkten hinter den Erwartungen zurück. Beispielsweise werden immaterielle Schäden in Gestalt von Persönlichkeitsverletzungen durch KI-Systeme nicht ersatzfähig. Auch bleibt der konkrete zeitliche Umfang zur Bereitstellung von Sicherheitsupdates unklar. Zudem enthält der Richtlinientext insbesondere im Rahmen der Beweiserleichterungen zahlreiche unbestimmte Rechtsbegriffe, deren Auslegung letztlich den nationalen Gerichten überlassen und insofern abzuwarten bleibt.

Jana Freiburg: Mich interessiert auch Ihr beruflicher Hintergrund: Was hat Sie ursprünglich dazu bewegt, sich für das IT- und IP-Recht zu entscheiden? Gab es eine bestimmte Erfahrung, die Ihr Interesse dafür geweckt hat? Was genau reizt Sie an dem Gebiet?

Carsten Brodersen: Mein Interesse an technischen Themen reicht bis in die Schulzeit zurück – ich hatte Informatik als Wahlfach, sammelte Programmiererfahrung in der Webentwicklung und stellte die Hardware meiner Rechner selbst zusammen.

Im Jurastudium gab es zunächst keine Berührungspunkte. Das änderte sich mit meiner promotionsbegleitenden Tätigkeit als wissenschaftlicher Mitarbeiter im IT/IP-Team meines ersten Arbeitgebers. Dort befasste ich mich unter anderem mit Fragen des (Software-)Urheberrechts und der Datenschutz-Grundverordnung – Themen, die mich interessierten, weil sie konkrete Rechtsfragen mit aktuellen technischen Entwicklungen verbinden. Seitdem habe ich meinen Schwerpunkt konsequent auf das IT- und IP-Recht gelegt, etwa durch Stationen bei zwei Großkanzleien im Referendariat.

Reizvoll finde ich bis heute die Nähe zu digitalen Geschäftsmodellen und die Vielzahl neuer, oft noch auslegungsbedürftiger EU-Vorgaben – ebenso wie die zunehmende Bedeutung von Legal-Tech- und KI-Anwendungen in der anwaltlichen Arbeit.

Jana Freiburg: Die Schnittstelle zwischen Recht und Technologie ist ein komplexes Feld. Wie halten Sie sich über technische Entwicklungen auf dem Laufenden, um Ihre Mandanten optimal beraten zu können?

Carsten Brodersen: Ich halte es für wichtig, technologische Entwicklungen nicht nur aus juristischer, sondern auch aus praktischer Perspektive einordnen zu können.

Um auf dem Laufenden zu bleiben, tausche ich mich regelmäßig mit Freunden und Bekannten aus dem Tech-Sektor aus – viele von ihnen arbeiten als Entwickler oder in Tech-Unternehmen. Ergänzend informiere ich mich über einschlägige Fachblogs und Foren.

Zudem betreue ich weiterhin private Webentwicklungsprojekte und habe beispielsweise nach dem Referendariat ein dreimonatiges Coding-Bootcamp bei Le Wagon absolviert, um meine praktischen Kenntnisse in der Webentwicklung auf den aktuellen Stand zu bringen.

Jana Freiburg: Vielen Dank für Ihre Antworten und Einblicke! Ich wünsche Ihnen viel Freude und einen guten Austausch auf dem 12. Deutschen IT-Rechtstag!