Produkthaftungsrichtlinie 2023: Software & KI | IT-Medienrecht

Erfahren Sie, wie die neue EU-Produkthaftungsrichtlinie 2023 die Haftung für Software & KI erweitert. Jetzt informieren über Risiken, Schutzmaßnahmen &…

Das Wichtigste in Kürze

  • Die neue EU-Produkthaftungsrichtlinie (2024/2853) erweitert die verschuldensunabhängige Haftung ausdrücklich auf Software, KI-Systeme und digitale Dienste.
  • Der Produktbegriff umfasst nun auch digitale Erzeugnisse wie Betriebssysteme, Apps und KI-Systeme, unabhängig von ihrer Bereitstellung, sofern sie kommerziell angeboten werden.
  • Der Kreis der Haftenden wird auf Importeure, Bevollmächtigte, Fulfillment-Dienstleister und unter Umständen Händler/Online-Marktplätze erweitert, um den Opferschutz zu verbessern.
  • Schadensersatz umfasst nun auch psychische Gesundheitsschäden und Datenverluste; Beweiserleichterungen für Geschädigte werden eingeführt, und der Selbstbehalt für Sachschäden entfällt.
  • Die Verjährungsfristen wurden erheblich verlängert, insbesondere bei latenten Personenschäden auf bis zu 25 Jahre, was die Haftungsdauer für langlebige Produkte erhöht.

EU-Produkthaftungsrichtlinie 2023: Neuerungen und Herausforderungen für Tech-Startups, SaaS und KI

Die Europäische Union hat ihre Produkthaftungsregeln nach fast 40 Jahren grundlegend überarbeitet. Die bisherige Richtlinie 85/374/EWG aus dem Jahr 1985 entsprach den technischen Entwicklungen der letzten Jahrzehnte nicht mehr. Die neue EU-Produkthaftungsrichtlinie von 2023 (formal 2024/2853) trägt der Digitalisierung Rechnung.

Sie weitet die verschuldensunabhängige Haftung (Produkthaftung) ausdrücklich auf Software, KI-Systeme und digitale Dienste im Produktkontext aus. Bis spätestens Dezember 2026 muss sie in nationales Recht umgesetzt werden. Diese Neuerungen sind für Tech-Startups – insbesondere Anbieter von SaaS, KI-Anwendungen, Apps, Plugins und anderen digitalen Tools – von enormer Bedeutung.

Der folgende Beitrag beleuchtet die wichtigsten Änderungen, die künftig gelten werden. Zudem vergleicht er sie mit der bisherigen Rechtslage und erörtert die diskutierten Entwicklungen zu einer separaten KI-Haftungsrichtlinie. Praktische Beispiele, potenzielle Haftungsrisiken und Schutzmaßnahmen (etwa durch AGB, Qualitätsprozesse, Versicherungen) sowie Auswirkungen auf die Vertragsgestaltung werden ebenfalls dargestellt.

Hintergrund: Bisherige EU-Produkthaftung und Bedarf für Reformen

Die europäische Produkthaftung basierte bislang auf der Richtlinie 85/374/EWG von 1985. In Deutschland wurde diese im Produkthaftungsgesetz (ProdHaftG) umgesetzt. Dieses Regelwerk begründet eine verschuldensunabhängige Haftung des Herstellers, wenn ein fehlerhaftes Produkt einen Personen- oder bestimmten Sachschaden verursacht.

Wichtig war, dass nur körperliche (bewegliche) Produkte erfasst waren. Reine Software oder digitale Dienstleistungen fielen nach traditionellem Verständnis nicht unter den Produktbegriff. Dies galt, sofern sie nicht in körperlichen Datenträgern verkörpert oder Bestandteil eines physischen Produkts waren. Beispielsweise galt eine CD mit Software als Produkt, nicht jedoch ein via Download bereitgestelltes Programm.

Diese Beschränkung führte in der Praxis zu Regelungslücken. Moderne Produkte sind oft hybrider Natur, etwa smarte Geräte mit integrierter Software oder KI-gestützte Dienste in der Cloud. Wenn beispielsweise ein rein cloudbasiertes SaaS-Tool ausfiel und einen Schaden verursachte, konnte sich das Opfer bisher nicht auf die Produkthaftung stützen. Stattdessen musste es auf deliktische Ansprüche (Verschulden des Anbieters) oder vertragliche Haftung ausweichen.

Zudem waren nach alter Richtlinie nur Sachschäden an privat genutzten Gegenständen und Körperschäden ersatzfähig. Für Sachschäden galt ein Selbstbehalt von 500 €. Reine Vermögensschäden oder Datenverluste waren ausgeschlossen. Angesichts der digitalen Transformation und der zunehmenden Bedeutung von KI erkannte die EU einen klaren Reformbedarf. Dieser sollte Verbraucher und Anwender moderner Technologien angemessen schützen und zugleich einen einheitlichen Rechtsrahmen für Hersteller und Entwickler schaffen.

Wesentliche Neuerungen der Produkthaftungsrichtlinie 2023 im Überblick

Im Folgenden werden diese Punkte detaillierter erläutert und mit Blick auf Software, KI und Startups analysiert.

Erweiterter Anwendungsbereich: Software und KI-Systeme als Produkte

Eine der bahnbrechendsten Neuerungen ist die ausdrückliche Einbeziehung von Software in den Anwendungsbereich der Produkthaftung. Erstmals werden nicht mehr nur „bewegliche Sachen“ erfasst, sondern gleichrangig auch digitale Produkte. Die Richtlinie definiert Produkt nun so, dass Betriebssysteme, Firmware, Computerprogramme, mobile Apps und KI-Systeme darunterfallen – unabhängig davon, ob sie auf einem Gerät gespeichert oder über die Cloud bereitgestellt werden.

Damit ist etwa ein cloudbasierter SaaS-Dienst oder eine KI-gestützte App rechtlich einem physischen Produkt gleichgestellt. Dies gilt, sofern sie kommerziell bereitgestellt wird. Beispiel: Ein Startup entwickelt eine medizinische Diagnose-App (reine Software), die über eine Cloud-Plattform den Nutzern zur Verfügung steht. Diese App gilt nun als Produkt. Wenn ein Fehler in der KI-Logik zu einer falschen Diagnose führt und ein Nutzer dadurch gesundheitlichen Schaden erleidet, kann der Anbieter wie ein Hersteller für ein fehlerhaftes Produkt haften.

Ausgenommen vom Produktbegriff bleibt lediglich Software, die außerhalb einer geschäftlichen Tätigkeit kostenlos bereitgestellt wird, insbesondere Open-Source-Projekte. Damit soll verhindert werden, dass ehrenamtliche Entwickler oder die Open-Source-Community unkalkulierbaren Haftungsrisiken ausgesetzt werden. Achtung: Wird Open-Source-Code jedoch von einem Startup in ein kommerzielles Produkt integriert, haftet das Startup als Hersteller für das Gesamtprodukt – auch für Fehler im Open-Source-Anteil. Die Haftungsprivilegierung greift nur für den ursprünglichen freien Anbieter, nicht für das Startup, das die Software gewerblich nutzt.

Die Digitalisierung der Produkthaftung schließt ferner sogenannte digitale Produktionsdateien ein. Darunter versteht man z. B. CAD-Dateien oder 3D-Druck-Dateien, die zur Herstellung eines Produkts dienen. So wäre künftig auch der Anbieter einer fehlerhaften 3D-Druck-Vorlage haftbar, wenn das ausgedruckte Objekt dadurch mangelhaft wird und Schäden verursacht.

Für KI-Startups und Softwareanbieter bedeutet der erweiterte Produktbegriff, dass sie sich erstmals unmittelbar dem Produkthaftungsrecht unterwerfen müssen. Bisher bestand häufig die Auffassung, rein digitale Dienste seien nur im Rahmen von Vertrag oder allgemeinen Deliktsgrundsätzen relevant. Das ändert sich grundlegend. SaaS-Lösungen, KI-Algorithmen oder Plugins können als produktgleich angesehen werden, mit allen Konsequenzen einer verschuldensunabhängigen Herstellerhaftung.

Neue Haftungssubjekte: Herstellerbegriff und Verantwortliche in der Lieferkette

Traditionell richtet sich die Produkthaftung vor allem gegen den Hersteller des Endprodukts. Die neue Richtlinie erweitert jedoch den Kreis der potenziell Haftenden deutlich auf alle wesentlichen Wirtschaftsakteure. Ziel ist es, Opfer schadensverursachender Produkte effektiv zu schützen, selbst wenn der ursprüngliche Produzent nicht greifbar ist.

Der Herstellerbegriff im Wandel

Nach wie vor ist der Produzent des Produkts der primäre Haftungsschuldner. Hersteller ist, wer das Endprodukt, einen Grundstoff oder ein Teilprodukt herstellt (§ 3 Abs. 1 ProdHaftG n. F.). Bei Software wäre dies der Entwickler bzw. das Unternehmen, das die Software erstellt oder seinen Namen darauf anbringt. Neu ist, dass auch derjenige als Hersteller gilt, der ein bereits in Verkehr gebrachtes Produkt wesentlich verändert oder überholt.

Diese Klausel zielt etwa auf Refurbishing-Unternehmen und Upgrader ab: Wer z. B. gebrauchte Geräte generalüberholt und weiterverkauft, oder ein KI-Startup, das einen bestehenden Algorithmus wesentlich modifiziert und anbietet, übernimmt die Herstellerhaftung für das „neue“ Produkt.

Verantwortung in der Lieferkette

Für KI-Startups und SaaS-Anbieter ergeben sich daraus zwei Implikationen: Zum einen müssen sie, wenn sie nicht aus der EU heraus operieren, unbedingt dafür sorgen, dass ein zuverlässiger Importeur oder Bevollmächtigter vorhanden ist. Andernfalls könnte z.B. der europäische Vertriebspartner oder Plattformbetreiber Regress nehmen. Zum anderen sollten Startups, die als Zulieferer z.B. von KI-Komponenten agieren, wissen, dass ihre Vertragspartner (etwa ein OEM) sie im Innenverhältnis in Regress nehmen können, wenn ihr Teilprodukt einen Fehler aufweist. Eine klare Vertragsgestaltung zur Haftungsaufteilung in der Lieferkette (z. B. Freistellungsvereinbarungen) wird damit noch wichtiger (dazu unten mehr).

Beispiel: Ein Startup entwickelt ein KI-Modul, das in ein autonomes Fahrzeugsystem eines größeren Herstellers integriert wird. Treten später Unfälle auf, weil das Modul fehlerhaft war, haftet zunächst der Autohersteller gegenüber den Geschädigten als Inverkehrbringer des Gesamtprodukts. Allerdings kann der Autohersteller vom KI-Startup Regress fordern. Zudem würde das Startup selbst als Hersteller seines Moduls haften, falls es direkt identifizierbar in Verkehr gebracht wurde oder das Fahrzeugunternehmen nicht greifbar ist. Dieses Beispiel zeigt, wie wichtig es ist, in B2B-Verträgen eine Freistellungsklausel oder Haftungsbegrenzung zu vereinbaren. So tragen junge Unternehmen im Ernstfall nicht die volle Last allein.

Fehlerbegriff im digitalen Zeitalter: Updates, KI-Lernen und Cybersecurity

Die Definition, wann ein Produkt als „fehlerhaft“ gilt, wurde an moderne Technologien angepasst. Grundsätzlich liegt ein Fehler vor, wenn ein Produkt nicht die Sicherheit bietet, die berechtigterweise erwartet werden kann (Art. 6 RL). Neu hinzugekommen sind Kriterien, die speziell für vernetzte und KI-basierte Produkte relevant sind:

Zusammenfassend verlangt der erweiterte Fehlerbegriff von Entwicklern und Herstellern, proaktiv für die anhaltende Sicherheit ihrer Software und KI-Produkte zu sorgen. Qualitätsmanagement darf sich nicht auf die Auslieferung eines „fertigen“ Produkts beschränken, sondern muss kontinuierlich mögliche Risiken im Auge behalten. Für KI-Startups bedeutet dies, früh Strukturen für Softwarewartung, Sicherheitsupdates und Monitoring aufzubauen. Es empfiehlt sich, klare Prozesse zur Meldung und Behebung von Schwachstellen (z. B. Responsible Disclosure-Policies) einzurichten. Auch die Dokumentation von Softwareänderungen und Lernprozessen einer KI ist wichtig, um im Haftungsfall darlegen zu können, wie sich das System verändert hat und dass man angemessen reagiert hat.

Erleichterte Anspruchsdurchsetzung: Beweiserleichterungen und Offenlegungspflichten

Weil die Beweisführung bei komplexen Produkten – insbesondere bei undurchsichtigen KI-Algorithmen – schwierig sein kann, führt die neue Richtlinie mehrere Mechanismen ein, um Geschädigten den Prozess zu erleichtern. Diese Änderungen stärken die Position der Anspruchsteller und erfordern von Herstellern eine noch sorgfältigere Risikoabwägung.

Gerichtliche Beweisvorlagepflicht

Auf Antrag des Geschädigten kann ein Gericht anordnen, dass der Beklagte relevante Beweismittel offenlegt. Dies gilt, wenn der Kläger plausible Anhaltspunkte für einen Produktfehler und Schaden vorgelegt hat. In vielen EU-Ländern gab es bislang keine amerikanische Discovery-Pflicht – Unternehmen konnten sich auf Betriebsgeheimnisse berufen.

Nun jedoch müssen Hersteller damit rechnen, interne Dokumente, Testberichte, Log-Dateien oder den Quellcode offenlegen zu müssen, wenn diese für die Aufklärung des Defekts nötig sind. Gerichte sollen zwar den Schutz von Geschäftsgeheimnissen berücksichtigen. Doch die grundsätzliche Pflicht zur Kooperation im Prozess ist eine deutliche Wendung zugunsten der Geschädigten. Für KI-Startups könnte dies bedeuten, im Ernstfall beispielsweise die Entscheidungsparameter eines ML-Modells offenlegen zu müssen – ein potenzieller Konflikt zwischen Transparenz und IP-Schutz. Daher sollte schon präventiv abgewogen werden, wie viel Dokumentation man im Schadensfall herausgeben kann und ob bestimmte Geheimnisse z. B. durch Vertraulichkeitsanordnungen gesichert werden können.

Beweislastumkehr durch Vermutungen

Die neue Richtlinie definiert mehrere Situationen, in denen ein Produktfehler und/oder der Kausalzusammenhang gesetzlich vermutet wird, bis der Hersteller das Gegenteil beweist. Diese widerleglichen Vermutungen greifen insbesondere wenn:

Diese Änderungen werden voraussichtlich die Prozessaussichten für Verbraucher erheblich verbessern. Hersteller hingegen sehen sich einem strengeren Regime ausgesetzt, in dem Intransparenz und Komplexität nicht mehr zu ihren Gunsten wirken, sondern im Zweifel gegen sie. Für KI-Startups heißt das: von Anfang an auf Nachvollziehbarkeit achten. „Black Box“-Modelle ohne Erklärbarkeit erhöhen das Prozessrisiko. Es kann sinnvoll sein, zumindest intern Mechanismen zur Erklärung von KI-Entscheidungen (Explainable AI) vorzuhalten, um im Streitfall einen Gegenbeweis führen zu können. Auch eine gründliche Protokollierung von Entwicklungs- und Testschritten kann helfen, im Prozess darzulegen, dass man mit dem Stand von Wissenschaft und Technik gearbeitet hat.

Verhältnis zum deutschen Recht

Interessant ist, dass einige dieser Vermutungen mit dem bisherigen deutschen Zivilprozessrecht kollidieren. Nach deutschem Recht trägt der Kläger bisher die Beweislast dafür, dass ein Produkt fehlerhaft war und der Fehler seinen Schaden verursacht hat. Die neue Richtlinie zwingt hier zu Anpassungen – in Zukunft werden nationale Gerichte die genannten Vermutungsregeln umsetzen müssen. Für Unternehmen bedeutet dies EU-weit mehr Einheitlichkeit auf hohem Schutzniveau für Geschädigte.

Erweiterung ersatzfähiger Schäden und Verjährung

Die neue Richtlinie modernisiert auch die Regeln zu Schadensarten und Haftungsfristen. Hier ergeben sich folgende wesentliche Änderungen:

Neue Arten von Schäden

Erstmals ausdrücklich umfasst sind gesundheitliche Schäden auch psychischer Art, sofern medizinisch anerkannt (etwa ein diagnostiziertes Trauma). Das ist relevant, da z. B. Unfälle oder gefährliche Fehlfunktionen von Robotern nicht nur körperliche, sondern auch seelische Auswirkungen haben können.

Außerdem wird nun die Beschädigung oder der Verlust von Daten als ersatzfähiger Schaden anerkannt, zumindest im Verhältnis zu Verbrauchern. Voraussetzung ist, dass die Daten nicht zu beruflichen Zwecken genutzt wurden – d. h. es geht um persönliche oder private Daten. Beispiel: Ein Cloud-Backup-Service (SaaS) löscht aufgrund eines Softwarefehlers unwiederbringlich die privaten Fotos eines Nutzers. Bisher konnte der Nutzer hierfür keine Produkthaftung geltend machen, da kein Sachschaden an einer körperlichen Sache vorlag. Künftig fällt der Datenverlust unter den Schadenbegriff, und der Anbieter haftet dem privaten Nutzer auf Ersatz. Für geschäftliche Datenverluste (etwa Kundendaten eines Unternehmens) greift diese spezielle Regel zwar nicht. Doch bleiben in solchen Fällen vertragliche oder deliktische Ansprüche nach nationalem Recht möglich.

Wegfall von Selbstbehalten und Haftungshöchstgrenzen

Die alte Richtlinie erlaubte Mitgliedstaaten, einen Selbstbehalt von bis zu 500 Euro bei Sachschäden vorzusehen und gewisse Haftungshöchstbeträge für Serienfälle einzuführen. Diese Beschränkungen entfallen nun. Damit gibt es keine “Haftungslücke” mehr bei Sachschäden unterhalb 500 Euro. Für Startups heißt das: Auch geringfügige Schäden (z. B. ein durch eine Software verursachter Kleinschaden an einem Gerät im Wert von 100 €) können ersatzpflichtig sein.

Zudem drohen bei Großschadensereignissen (z. B. ein weit verbreiteter Produktfehler mit vielen Geschädigten) potenziell unlimitierte Haftungssummen. Ein Massenschaden durch einen Software-Bug – etwa ein verbreitetes Smart-Home-Device, das bei allen Nutzern einen teuren Defekt verursacht – könnte so existenzbedrohend werden. Hier schafft nur entsprechende Versicherung finanziellen Schutz.

Verjährungsfristen (Haftungshöchstfrist)

Neben der normalen Verjährungsfrist (in Deutschland 3 Jahre ab Kenntnis des Schadens und Fehlers) gibt es in der Produkthaftung eine absolute Ausschlussfrist. Nach bisherigem Recht erloschen Ansprüche spätestens 10 Jahre nach dem Inverkehrbringen des Produkts, selbst wenn der Schaden erst später entdeckt wurde. Die Neuregelung modifiziert dies zweifach:

Unverändert bleiben andere Grundprinzipien: etwa die Beweislast des Geschädigten für den Schadenumfang und das Verbot, die Produkthaftung gegenüber Verbrauchern vertraglich auszuschließen oder zu begrenzen (diese ist zwingendes Recht). Auch der Entwicklungsrisikoeinwand – also die Möglichkeit des Herstellers, sich zu entlasten, wenn der Fehler nach dem Stand von Wissenschaft und Technik bei Inverkehrbringen noch nicht erkennbar war – bleibt grundsätzlich bestehen.

Allerdings dürfen die Mitgliedstaaten diesen Entlastungsbeweis künftig ausschließen. Das heißt, Länder wie Deutschland könnten entscheiden, dass ein Hersteller auch für unbekannte Risiken haftet. In Deutschland war dieser „State of the Art“-Einwand bisher zulässig (§ 1 Abs. 2 Nr. 5 ProdHaftG). Es bleibt abzuwarten, ob der nationale Gesetzgeber hier von der Erlaubnis abweicht. Für KI-Startups wäre ein Ausschluss des Entwicklungsrisikos besonders heikel, da KI-Technologien naturgemäß Neuland betreten. Umso wichtiger wird es, den wissenschaftlichen Fortschritt laufend zu beobachten und neue Erkenntnisse rasch in Verbesserungen einfließen zu lassen.

Stand der Dinge: Separate KI-Haftungsrichtlinie und weitere Entwicklungen

Parallel zur Überarbeitung der Produkthaftungsrichtlinie wurde in der EU über eine spezielle KI-Haftungsrichtlinie diskutiert. Die Europäische Kommission legte im September 2022 einen Vorschlag für eine „AI Liability Directive“ vor. Dieser sollte ein zivilrechtliches Haftungssystem für KI schaffen, ergänzend zur Produkthaftung. Dieses separate Regelwerk zielte darauf ab, Opfern von KI-bedingten Schäden auch dann Rechtsdurchsetzung zu ermöglichen, wenn die Produkthaftung nicht greift. Dies galt etwa, weil kein Produkt im engen Sinne vorliegt oder es um reine Vermögensschäden oder Verletzungen von Grundrechten durch KI geht. Geplant waren insbesondere Beweiserleichterungen bei Verschuldenshaftung und die Möglichkeit, von Betreibern Auskünfte über hochriskante KI-Systeme zu verlangen.

In der Praxis stieß die KI-Haftungsrichtlinie jedoch auf politischen Widerstand und Überschneidungsprobleme mit der bereits beschlossenen Produkthaftungsreform. Viele sahen die Notwendigkeit getrennter KI-Haftungsregeln als gering an, sobald Software und KI in der Produkthaftung berücksichtigt sind. Nachdem das Dossier längere Zeit stagnierte, hat die EU-Kommission im Februar 2025 entschieden, den Vorschlag für die KI-Haftungsrichtlinie zurückzuziehen. Hintergrund war ein Mangel an Konsens und der Wunsch nach regulatorischer Vereinfachung im digitalen Sektor. Einige EU-Parlamentarier kritisierten den Rückzug und warnten vor einem „Haftungs-Wildwest“ bei KI, während andere ihn begrüßten.

Aktuell (Stand Mai 2025) gibt es somit keine eigenständige KI-Haftungsrichtlinie in Aussicht. Die EU dürfte sich zunächst auf die Umsetzung der neuen Produkthaftungsrichtlinie und die parallel verabschiedete KI-Verordnung (AI Act) konzentrieren. Letztere ist jedoch primär öffentlich-rechtlicher Natur (Produktzulassung, Konformität, CE-Kennzeichnung, Aufsicht) und regelt keine zivilrechtlichen Ansprüche. Allerdings könnte die Kommission künftig einen neuen Anlauf unternehmen, z. B. eine breiter gefasste Software-Haftungsrichtlinie vorzuschlagen, um etwa Lücken außerhalb der Produkthaftung zu schließen. Startups sollten diese Entwicklung aufmerksam verfolgen.

Wichtig ist: Haftung für KI-Systeme besteht auch ohne Spezialrichtlinie bereits über die allgemeinen Rechtsinstrumente – Produkthaftung, Deliktsrecht, Vertragshaftung. Die neue Produkthaftungsrichtlinie deckt nun einen großen Teil typischer KI-Risiken ab, nämlich diejenigen, die mit einem Produktfehler zusammenhängen. Für Schäden, die nicht unter die enge Produkthaftung fallen (z. B. reine Vermögensverluste durch falsche KI-Entscheidungen ohne Sach-/Personenschaden), müssen weiterhin die allgemeinen Haftungsnormen der Mitgliedstaaten herhalten. In Deutschland wären das etwa §§ 823 ff. BGB (deliktische Haftung bei Verschulden) oder vertragliche Schadensersatzansprüche, soweit einschlägig. Diese erfordern in der Regel aber einen Verschuldensnachweis, den eine eigene KI-Haftungsrichtlinie erleichtern wollte. Unternehmen im KI-Bereich sollten daher trotz fehlender Spezialgesetzgebung darauf vorbereitet sein, auch für Fehler in Algorithmen oder Datenausgaben gegebenenfalls geradestehen zu müssen – sofern nicht rechtssicher vertraglich ausgeschlossen, was im Verbraucherbereich kaum möglich ist.

Praktische Konsequenzen für KI-Startups, SaaS-Anbieter und digitale Produkte

Die vorgestellten Reformen sind weitreichend und abstrakt. Für die Praxis von Startups im KI- und Softwarebereich stellen sich die Fragen: Welche konkreten Haftungsrisiken ergeben sich? Wie kann man sich davor schützen? Und was bedeuten die neuen Regeln für Verträge und Geschäftsmodelle? Im Folgenden werden diese Punkte beleuchtet – ergänzt durch hypothetische Beispiele, um die Auswirkungen greifbar zu machen.

Haftungsrisiken für KI-Startups und Software-Anbieter

Präventive Schutzmaßnahmen: AGB, Qualitätssicherung und Versicherung

Angesichts dieser Risiken sollten KI- und Software-Startups rechtzeitig Strategien entwickeln, um ihre Haftung zu begrenzen und Schäden vorzubeugen. Folgende Maßnahmen bieten sich an:

1. Vertragsklauseln und AGB-Gestaltung

Gerade im B2B-Geschäft können vertragliche Haftungsbeschränkungen das finanzielle Risiko reduzieren. Üblich sind etwa:

2. Qualitäts- und Sicherheitsprozesse

Der beste Weg, Haftungsfälle zu vermeiden, ist natürlich, Fehler gar nicht erst in Verkehr zu bringen. Startups sollten trotz Zeit- und Kostendrucks ein rigoroses QA (Quality Assurance) etablieren, gerade wenn es um sicherheitsrelevante Funktionen geht. Dazu gehört:

3. Versicherungsschutz

Eine Produkthaftpflichtversicherung sollte für jedes Startup, das ein potenziell haftungsträchtiges Produkt anbietet, frühzeitig erwogen werden. Während klassische Hardware-Hersteller ohnehin solche Policen haben, war es im Software-Sektor bislang weniger verbreitet. Nun, da Software rechtlich einem Produkt gleichsteht, bieten Versicherer vermehrt spezielle Deckungen für Software- und KI-Produkthaftung an.

Bei der Auswahl einer Versicherung ist zu achten auf:

Zusätzlich zur Versicherung sind Reserven für Haftungsfälle ein Thema: Investoren und Gründer sollten einkalkulieren, dass Rückstellungen nötig sein könnten, wenn ein Haftungsfall wahrscheinlich wird.

Bedeutung für die Vertrags- und Geschäftsmodell-Gestaltung

Fazit

Die neue EU-Produkthaftungsrichtlinie 2023 bringt substanzielle Änderungen für die Haftung von Herstellern im digitalen Zeitalter. Für KI-Startups, SaaS-Anbieter und Entwickler digitaler Tools bedeutet dies eine höhere Verantwortung: Ihre Produkte – ob physisch greifbar oder rein digital – unterliegen ab 2026 den strengen Maßstäben der Produkthaftung. Software wird damit „hardwaregleich“ in Haftungsfragen. Insbesondere die Einbeziehung von KI-Systemen stellt sicher, dass Innovation nicht auf Kosten der Sicherheit geht. Unternehmen dieser Branchen müssen sich jetzt vorbereiten, indem sie ihre Prozesse und Verträge überprüfen und anpassen.

Positiv aus Sicht der Endnutzer ist, dass der Rechtsrahmen moderne Schadenstatbestände abdeckt (Datenverlust, psychische Schäden) und prozesstaktische Hürden abbaut (Beweiserleichterungen, Auskunftsansprüche). Dies wird zu einer effektiveren Durchsetzung berechtigter Ansprüche führen. Für die Unternehmen hingegen steigt das Haftungsrisiko erheblich – ein einzelner Softwarefehler kann zu aufwendigen Gerichtsverfahren und hohen Schadenersatzforderungen führen.

KI-Startups sollten diesen Wandel nicht nur als Risiko, sondern auch als Chance sehen: Sicherheit und Qualität werden zu wettbewerbsentscheidenden Faktoren. Wer zuverlässige, gut abgesicherte Produkte liefert, kann das Vertrauen der Kunden gewinnen. Die Berücksichtigung haftungsrechtlicher Vorgaben in der Entwicklungsphase kann somit Teil der Value Proposition werden. Letztlich zeichnet sich ab, dass die EU mit dem Zusammenspiel aus neuer Produkthaftung und KI-Regulierung einen verpflichtenden Rahmen für sichere KI etabliert.

Häufig gestellte Fragen

Was ist der Hauptgrund für die Überarbeitung der EU-Produkthaftungsrichtlinie?
Die bisherige Richtlinie von 1985 entsprach den technischen Entwicklungen der Digitalisierung und der zunehmenden Bedeutung von KI nicht mehr. Die Reform soll Verbraucher und Anwender moderner Technologien schützen und einen einheitlichen Rechtsrahmen schaffen.
Welche Arten von Produkten fallen nun unter die erweiterte Haftung?
Künftig gelten auch Software, KI-Systeme und digitale Dienste im Produktkontext als Produkte. Dazu gehören Betriebssysteme, Firmware, Computerprogramme, mobile Apps und KI-Systeme, unabhängig davon, ob sie lokal installiert oder über die Cloud bereitgestellt werden.
Wer kann neben dem Hersteller noch haftbar gemacht werden?
Neben dem Hersteller können nun auch Importeure, bevollmächtigte Vertreter, Fulfillment-Dienstleister und unter bestimmten Bedingungen sogar Händler oder Online-Marktplätze haftbar gemacht werden, insbesondere wenn der ursprüngliche Hersteller nicht in der EU ansässig ist.
Welche Schäden sind nach der neuen Richtlinie ersatzfähig?
Neben Personen- und Sachschäden umfasst der Ersatz künftig ausdrücklich medizinisch anerkannte psychische Gesundheitsschäden sowie die Zerstörung oder den Verlust von Daten, sofern diese nicht zu beruflichen Zwecken genutzt wurden. Der bisherige Selbstbehalt entfällt.
Was bedeutet die Haftung für Open-Source-Software?
Nicht-kommerzielle Open-Source-Software, die unentgeltlich angeboten wird, ist von der Haftung ausgenommen. Wird Open-Source-Code jedoch von einem Startup in ein kommerzielles Produkt integriert, haftet das Startup als Hersteller für das Gesamtprodukt, auch für Fehler im Open-Source-Anteil.