Die neue EU-Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853 vom 23. Oktober 2024) bringt bedeutende und weitreichende Änderungen für Anbieter und Importeure von Software sowie Software-as-a-Service (SaaS) mit sich. Sie erweitert den Produktbegriff und bezieht digitale Produkte, einschließlich Software, ausdrücklich in das Haftungsregime ein. Damit wird der Anwendungsbereich der Produkthaftung deutlich ausgeweitet und digitale Produkte sowie deren Anbieter und Importeure stärker in die Pflicht genommen. Unternehmen, die solche Produkte auf den Markt bringen, sollten daher ihre internen Strukturen, Prozesse und Verträge kritisch prüfen und anpassen, um potenzielle Haftungsrisiken zu minimieren.

Inkrafttreten und Geltung

Die neue EU‑Produkthaftungsrichtlinie ist am 8. Dezember 2024 in Kraft getreten und ersetzt die bisherige Richtlinie von 1985. Sie muss bis spätestens am 9. Dezember 2026 in nationales Recht umgesetzt werden. Ab dann gilt die neue Haftungsregelung verbindlich für alle Produkte, die ab diesem Datum auf den Markt gebracht oder in Betrieb genommen werden. Für Produkte, die zuvor bereits in Verkehr gebracht wurden, bleibt die alte Richtlinie und damit das deutsche Produkthaftungsgesetz in seiner aktuellen Fassung weiterhin anwendbar.

Erweiterung auf Software und SaaS

Die Produkthaftungsrichtlinie definiert „Produkt“ nun auch als digitale Konstruktionsunterlage sowie Software. Damit fallen nicht nur Softwarelösungen, sondern auch Cloud-Dienste und SaaS unter das neue Haftungsregime, sofern sie eine eigenständige Funktion bereitstellen. Freie und quelloffene Software, die außerhalb einer Geschäftstätigkeit entwickelt oder bereitgestellt wird, unterfällt nicht dem Anwendungsbereich.

Praxisbeispiel: Eine Cloud-basierte Buchhaltungssoftware (SaaS) weist einen Fehler auf, der zu falschen Steuererklärungen führt. Die Anbieterfirma kann wegen des Softwarefehlers haftbar gemacht werden.

Haftungspflichtige Wirtschaftsakteure

Grundsätzlich haftet zunächst der Softwarehersteller für fehlerhafte Software. Befindet sich dieser jedoch außerhalb der EU, erweitert sich der Kreis der haftungspflichtigen Wirtschaftsakteure: In solchen Fällen kann künftig der Importeur, der das Produkt in die EU einführt, in Anspruch genommen werden. Unter den Begriff des „Importeurs“ fallen etwa der EU-Vertriebspartner, der Hosting- oder Plattformbetreiber in der EU sowie der Reseller oder App-Store-Anbieter, der Software von außerhalb der EU an Kunden in der EU vertreibt. Zusätzlich können auch der in der EU ansässige Bevollmächtigte des Herstellers und – nachrangig – der Fulfillment-Dienstleister in die Haftung genommen werden, sofern kein Hersteller, Importeur oder Bevollmächtigter erreichbar ist.
Bemerkenswert ist, dass selbst Plattformbetreiber künftig sorgfältig prüfen müssen, ob sie als „Wirtschaftsakteur“ im Sinne der Richtlinie gelten und damit produkthaftungsrechtliche Verantwortung übernehmen.

Praxisbeispiel: Eine deutsche GmbH vertreibt eine US-CRM-Software an europäische Kunden und haftet als Importeur. 

B2B- und B2C-Geschäfte betroffen 

Die Produkthaftungsrichtlinie unterscheidet nicht zwischen Geschäften zwischen Unternehmern (B2B) und Geschäften mit Verbrauchern (B2C). Sowohl B2C-Anbieter für Software wie Fitness-Apps und Cloud-Speicher für private Fotos, als auch B2B-Anbieter für Software wie ERP-Systeme und CRM-Plattformen sind erfasst. Entscheidend ist, dass das Produkt (die Software) in Verkehr gebracht wird; dabei ist nicht entscheidend, an wen es verkauft wurde.

Haftungsrahmen: Für welche Schäden der Software-Anbieter einsteht

Die Haftung umfasst künftig insbesondere Personenschäden, Sachschäden sowie bestimmte Datenverluste:

• Personenschäden – etwa Verletzungen, die durch ein fehlerhaftes digitales Produkt wie eine Trainings-App verursacht werden, einschließlich medizinisch anerkannter psychischer Beeinträchtigungen – sind stets ersatzfähig. 
• Sachschäden werden ersetzt, sofern die betroffene Sache nicht ausschließlich zu beruflichen Zwecken genutzt wird; Schäden an dem fehlerhaften Produkt selbst werden allerdings nicht ersetzt. 
• Datenverluste sind ebenfalls ersatzfähig, jedoch ausschließlich in Bezug auf Daten, die nicht für berufliche Zwecke verwendet werden.

Nicht vom Anwendungsbereich erfasst sind hingegen reine Vermögensschäden ohne Verbindung zu einem Personen- oder Sachschaden, wie beispielsweise entgangener Gewinn.

Praxisbeispiel: Private Fotos in der Cloud gehen verloren, was einen ersatzfähigen Datenverlust darstellt. Hingegen ist die Löschung der Kundendatenbank eines Unternehmens nach der Produkthaftungsrichtlinie nicht ersatzfähig. Die Richtlinie ist daher vordergründig für Software relevant, die zumindest auch von Verbrauchern genutzt wird, da die EU den Verbraucherschutz stärken will.

Handlungsbedarf für Software-Anbieter

Um potenziellen Haftungsrisiken vorzubeugen, empfiehlt es sich für Software-Anbieter und Importeure, interne Prozesse, Zuständigkeiten und vertragliche Regelungen zu optimieren. Hierzu gehört es auch zu prüfen, ob man zukünftig unter den Anwendungsbereich der Produkthaftungsrichtlinie fällt.

Ein zentraler Baustein sollte dabei die Implementierung eines systematischen Risikomanagements für Software sein. Dies umfasst unter anderem die frühzeitige Identifikation möglicher Sicherheitslücken, die kontinuierliche Bewertung von Risiken über den gesamten Software-Lebenszyklus hinweg sowie die Dokumentation aller relevanten Prüf- und Sicherungsmaßnahmen.

Ebenso wichtig ist die Überprüfung der bestehenden Haftpflichtversicherungen. Viele Policen wurden vor dem Hintergrund einer anderen rechtlichen Risikolage abgeschlossen und bieten möglicherweise keinen ausreichenden Schutz mehr unter den neuen gesetzlichen Rahmenbedingungen. Eine Anpassung oder Erweiterung der Deckung kann hier im Ernstfall vor erheblichen finanziellen Schäden schützen.

Darüber hinaus sollten Software-Anbieter und Importeure die Rollen und Verantwortlichkeiten entlang der Lieferkette klar definieren und vertraglich regeln – insbesondere in Zusammenarbeit mit Herstellern aus Nicht-EU-Ländern. Denn wer als Importeur Software im europäischen Markt bereitstellt, kann künftig – wie oben beschrieben – verstärkt in die Haftung genommen werden. Daher sollten Verträge mit außereuropäischen Herstellern gezielt angepasst werden. Eine vertraglich geregelte Freistellung durch den Hersteller kann im Schadensfall entscheidend sein, um die eigene Haftung zu begrenzen.

Ausblick

Insgesamt zeigt sich: Die neue Produkthaftungsrichtlinie verlangt von allen Beteiligten ein höheres Maß an Sorgfalt und vorausschauender Planung. Wer frühzeitig geeignete Maßnahmen ergreift und die vertraglichen Strukturen anpasst, kann nicht nur rechtliche Risiken vermeiden, sondern sich auch als verlässlicher und verantwortungsbewusster Partner im digitalen Binnenmarkt positionieren.