Neue EU-Produkthaftungsrichtlinie 2023: Erweiterte Haftung für Software, KI und digitale Produkte

Die Europäische Union hat ihre Produkthaftungsregeln nach fast 40 Jahren grundlegend überarbeitet. Die bisherige Richtlinie 85/374/EWG aus dem Jahr 1985 wurde den technischen Entwicklungen der letzten Jahrzehnte nicht mehr gerecht. Die neue EU-Produkthaftungsrichtlinie von 2023 (formal 2024/2853) trägt der Digitalisierung Rechnung und weitet die verschuldensunabhängige Haftung (Produkthaftung) ausdrücklich auf Software, KI-Systeme und digitale Dienste im Produktkontext aus. Bis spätestens Dezember 2026 muss sie in nationales Recht umgesetzt werden. Diese Neuerungen sind für Tech-Startups – insbesondere Anbieter von SaaS, KI-Anwendungen, Apps, Plugins und anderen digitalen Tools – von enormer Bedeutung. Der folgende Beitrag beleuchtet die wichtigsten Änderungen, die künftig gelten werden, vergleicht sie mit der bisherigen Rechtslage und erörtert die diskutierten Entwicklungen zu einer separaten KI-Haftungsrichtlinie. Zudem werden praxisnahe Beispiele, potenzielle Haftungsrisiken und Schutzmaßnahmen (etwa durch AGB, Qualitätsprozesse, Versicherungen) sowie Auswirkungen auf die Vertragsgestaltung dargestellt.

Hintergrund: Bisherige EU-Produkthaftung und Bedarf für Reformen

Die europäische Produkthaftung basierte bislang auf der Richtlinie 85/374/EWG von 1985, die in Deutschland im Produkthaftungsgesetz (ProdHaftG) umgesetzt wurde. Dieses Regelwerk begründet eine verschuldensunabhängige Haftung des Herstellers, wenn ein fehlerhaftes Produkt einen Personenschaden oder bestimmten Sachschaden verursacht. Wichtig war, dass nur körperliche (bewegliche) Produkte erfasst waren. Reine Software oder digitale Dienstleistungen fielen nach traditionellem Verständnis nicht unter den Produktbegriff, sofern sie nicht in körperlichen Datenträgern verkörpert oder Bestandteil eines physischen Produkts waren. Beispielsweise galt eine CD mit Software als Produkt, nicht jedoch ein via Download bereitgestelltes Programm.

Diese Beschränkung führte in der Praxis zu Regelungslücken. Moderne Produkte sind oft hybrider Natur – etwa smarte Geräte mit integrierter Software oder KI-gestützte Dienste in der Cloud. Wenn etwa ein rein cloudbasiertes SaaS-Tool ausfiel und einen Schaden verursachte, konnte das Opfer sich bisher nicht auf die Produkthaftung stützen, sondern musste auf deliktische Ansprüche (Verschulden des Anbieters) oder vertragliche Haftung ausweichen. Zudem war nach alter Richtlinie nur Sachschaden an privat genutzten Gegenständen und Körperschaden ersatzfähig, wobei für Sachschäden ein Selbstbehalt von 500 € galt. Reine Vermögensschäden oder Datenverluste waren ausgeschlossen. Angesichts der digitalen Transformation und der zunehmenden Bedeutung von KI erkannte die EU einen klaren Reformbedarf, um Verbraucher und Anwender moderner Technologien angemessen zu schützen und zugleich einen einheitlichen Rechtsrahmen für Hersteller und Entwickler zu schaffen.

Wesentliche Neuerungen der Produkthaftungsrichtlinie 2023 im Überblick

Die Neufassung der EU-Produkthaftungsrichtlinie bringt eine Reihe wichtiger Änderungen, die das Haftungsregime technikgerecht erweitern und anspruchstellerfreundlicher gestalten. Die wichtigsten Änderungen sind:

• Erweiterter Produktbegriff: Künftig gelten auch Software und KI-Systeme als Produkte, egal ob lokal installiert oder als Cloud-Service bereitgestellt. Nicht nur körperliche Waren, sondern auch digitale Erzeugnisse unterliegen damit der Produkthaftung. Eine Ausnahme gilt für nicht-kommerzielle Open-Source-Software, die unentgeltlich angeboten wird.
• Haftung neuer Akteure in der Lieferkette: Neben Herstellern haften nun weitere wirtschaftliche Akteure wie Importeur, bevollmächtigter Vertreter, Fulfillment-Dienstleister (z. B. Lagerhalter, Versand) und unter bestimmten Bedingungen sogar Händler oder Online-Marktplätze. Auch derjenige, der ein Produkt nachträglich wesentlich verändert („remanufacturer“), gilt als Hersteller.
• Haftung für Software-Updates und Cybersecurity: Der Fehlerbegriff wurde an digitale Produkte angepasst. Ein Produkt gilt auch dann als fehlerhaft, wenn es erforderliche Sicherheits-Updates nicht erhält oder unzureichende IT-Sicherheit aufweist. Hersteller müssen die Sicherheit während des gesamten Produktlebenszyklus gewährleisten – auch nach dem Inverkehrbringen.
• Erweiterter Schadenbegriff: Neben Personenschäden und Sachschäden umfasst der Ersatz künftig ausdrücklich medizinisch anerkannte psychische Gesundheitsschäden sowie die Zerstörung oder den Verlust von Daten (sofern die Daten nicht zu beruflichen Zwecken genutzt wurden). Der bisherige Selbstbehalt von 500 € für Sachschäden und etwaige Haftungshöchstgrenzen entfallen, sodass Hersteller für den gesamten Schaden haften.
• Beweiserleichterungen für Geschädigte: Die neue Richtlinie erleichtert die Durchsetzung von Ansprüchen durch Beweislastumkehr und Auskunftsansprüche. In bestimmten Situationen wird ein Produktfehler oder der ursächliche Zusammenhang mit dem Schaden gesetzlich vermutet, und Hersteller können zur Herausgabe relevanter Informationen verpflichtet werden. Das soll insbesondere den Umgang mit komplexen KI-Systemen vereinfachen, bei denen Betroffenen der Nachweis eines Fehlers ansonsten schwerfallen könnte.
• Verlängerte Verjährungsfristen: Die lange Ausschlussfrist („long stop“) für Produkthaftungsansprüche wurde bei schwer erkennbaren Schäden erheblich verlängert – in Fällen latent auftretender Personenschäden von 10 auf 25 Jahre. Zudem beginnt die Frist bei Produkten, die durch Updates oder Modifikationen wesentlich verändert werden, neu zu laufen. Dies erhöht die Haftungsdauer für langlebige Produkte und solche mit regelmäßigen Updates deutlich.

Im Folgenden werden diese Punkte detaillierter erläutert und mit Blick auf Software, KI und Startups analysiert.

Erweiterter Anwendungsbereich: Software und KI-Systeme als Produkte

Eine der bahnbrechendsten Neuerungen ist die ausdrückliche Einbeziehung von Software in den Anwendungsbereich der Produkthaftung. Erstmals werden nicht mehr nur „bewegliche Sachen“ erfasst, sondern gleichrangig auch digitale Produkte. Die Richtlinie definiert Produkt nun so, dass Betriebssysteme, Firmware, Computerprogramme, mobile Apps und KI-Systeme darunterfallen – unabhängig davon, ob sie auf einem Gerät gespeichert oder über die Cloud bereitgestellt werden.

Damit ist etwa ein cloudbasierter SaaS-Dienst oder eine KI-gestützte App rechtlich einem physischen Produkt gleichgestellt, sofern sie kommerziell bereitgestellt wird. Beispiel: Ein Startup entwickelt eine medizinische Diagnose-App (reine Software), die über eine Cloud-Plattform den Nutzern zur Verfügung steht. Diese App gilt nun als Produkt. Wenn ein Fehler in der KI-Logik zu einer falschen Diagnose führt und ein Nutzer dadurch gesundheitlichen Schaden erleidet, kann der Anbieter wie ein Hersteller für ein fehlerhaftes Produkt haften.

Ausgenommen vom Produktbegriff bleibt lediglich Software, die außerhalb einer geschäftlichen Tätigkeit kostenlos bereitgestellt wird, insbesondere Open-Source-Projekte. Damit soll verhindert werden, dass ehrenamtliche Entwickler oder die Open-Source-Community unkalkulierbaren Haftungsrisiken ausgesetzt werden. Achtung: Wird Open-Source-Code jedoch von einem Startup in ein kommerzielles Produkt integriert, haftet das Startup als Hersteller für das Gesamtprodukt – auch für Fehler im Open-Source-Anteil. Die Haftungsprivilegierung greift nur für den ursprünglichen freien Anbieter, nicht für das Startup, das die Software gewerblich nutzt.

Die Digitalisierung der Produkthaftung schließt ferner sogenannte digitale Produktionsdateien ein. Darunter versteht man z. B. CAD-Dateien oder 3D-Druck-Dateien, die zur Herstellung eines Produkts dienen. So wäre künftig auch der Anbieter einer fehlerhaften 3D-Druck-Vorlage haftbar, wenn das ausgedruckte Objekt dadurch mangelhaft wird und Schäden verursacht.

Für KI-Startups und Softwareanbieter bedeutet der erweiterte Produktbegriff, dass sie sich erstmals unmittelbar dem Produkthaftungsrecht unterwerfen müssen. Bisher bestand häufig die Auffassung, rein digitale Dienste seien nur im Rahmen von Vertrag oder allgemeinen Deliktsgrundsätzen relevant – das ändert sich grundlegend. SaaS-Lösungen, KI-Algorithmen oder Plugins können als produktgleich angesehen werden, mit allen Konsequenzen einer verschuldensunabhängigen Herstellerhaftung.

Neue Haftungssubjekte: Herstellerbegriff und Verantwortliche in der Lieferkette

Traditionell richtet sich die Produkthaftung vor allem gegen den Hersteller des Endprodukts. Die neue Richtlinie erweitert jedoch den Kreis der potenziell Haftenden deutlich auf alle wesentlichen Wirtschaftsakteure, um Opfer schadensverursachender Produkte effektiv zu schützen, selbst wenn der ursprüngliche Produzent nicht greifbar ist.

Hersteller: Nach wie vor ist der Produzent des Produkts der primäre Haftungsschuldner. Hersteller ist, wer das Endprodukt, einen Grundstoff oder ein Teilprodukt herstellt (§ 3 Abs. 1 ProdHaftG n. F.). Bei Software wäre dies der Entwickler bzw. das Unternehmen, das die Software erstellt oder seinen Namen darauf anbringt. Neu ist, dass auch derjenige als Hersteller gilt, der ein bereits in Verkehr gebrachtes Produkt wesentlich verändert oder überholt. Diese Klausel zielt etwa auf Refurbishing-Unternehmen und Upgrader ab: Wer z. B. gebrauchte Geräte generalüberholt und weiterverkauft, oder ein KI-Startup, das einen bestehenden Algorithmus wesentlich modifiziert und anbietet, übernimmt die Herstellerhaftung für das „neue“ Produkt.

Importeure und Bevollmächtigte: Ist der Hersteller nicht in der EU ansässig, rücken der Importeur sowie ein eventuell benannter bevollmächtigter Vertreter in die Haftungsposition. Ein SaaS- oder KI-Anbieter außerhalb der EU, der sein Produkt in der EU vertreibt, muss daher einen EU-Vertreter oder Importeur haben – andernfalls kann z. B. ein EU-Importeur oder sogar der Online-Marktplatz, über den das Produkt vertrieben wird, als Quasi-Hersteller haften. Diese Erweiterung schließt eine Lücke: Verbraucher sollen nicht schutzlos dastehen, wenn der tatsächliche Hersteller in einem Drittstaat sitzt und schwer zu belangen ist.

Fulfillment-Dienstleister und Händler: Auch Betreiber von Fulfillment-Services (etwa Lagerhaltung, Verpackung, Versand) können nun haften, wenn kein anderer in der EU ansässiger Verantwortlicher erreichbar ist. Unter strengen Bedingungen werden sogar Vertriebshändler und Online-Marktplatz-Betreiber einbezogen. Beispielsweise kann ein Online-Marktplatz wie Amazon in die Haftung geraten, wenn ein auf seiner Plattform verkauftes KI-Produkt Schaden verursacht und weder der Hersteller noch ein Importeur in der EU identifizierbar ist. Händler können der Haftung allerdings entgehen, indem sie dem Geschädigten innerhalb eines Monats den Hersteller, Importeur oder Lieferanten benennen. Diese Regelung motiviert Händler, ihre Bezugsquellen und Produktinformationen sauber zu dokumentieren.

Für KI-Startups und SaaS-Anbieter ergeben sich daraus zwei Implikationen: Zum einen müssen sie, wenn sie nicht aus der EU heraus operieren, unbedingt dafür sorgen, dass ein zuverlässiger Importeur oder Bevollmächtigter vorhanden ist – sonst könnte z.B. der europäische Vertriebspartner oder Plattformbetreiber regressieren. Zum anderen sollten Startups, die als Zulieferer z.B. von KI-Komponenten agieren, wissen, dass ihre Vertragspartner (etwa ein OEM) sie im Innenverhältnis in Regress nehmen können, wenn ihr Teilprodukt einen Fehler aufweist. Eine klare Vertragsgestaltung zur Haftungsaufteilung in der Lieferkette (z. B. Freistellungsvereinbarungen) wird damit noch wichtiger (dazu unten mehr).

Beispiel: Ein Startup entwickelt ein KI-Modul, das in ein autonomes Fahrzeugsystem eines größeren Herstellers integriert wird. Treten später Unfälle auf, weil das Modul fehlerhaft war, haftet zunächst der Autohersteller gegenüber den Geschädigten als Inverkehrbringer des Gesamtprodukts. Allerdings kann der Autohersteller vom KI-Startup Regress fordern. Zudem würde das Startup selbst als Hersteller seines Moduls haften, falls es direkt identifizierbar in Verkehr gebracht wurde oder das Fahrzeugunternehmen nicht greifbar ist. Dieses Beispiel zeigt, wie wichtig es ist, in B2B-Verträgen eine Freistellungsklausel oder Haftungsbegrenzung zu vereinbaren, damit junge Unternehmen im Ernstfall nicht die volle Last allein tragen.

Fehlerbegriff im digitalen Zeitalter: Updates, KI-Lernen und Cybersecurity

Die Definition, wann ein Produkt als „fehlerhaft“ gilt, wurde an moderne Technologien angepasst. Grundsätzlich liegt ein Fehler vor, wenn ein Produkt nicht die Sicherheit bietet, die berechtigterweise erwartet werden kann (Art. 6 RL). Neu hinzugekommen sind Kriterien, die speziell für vernetzte und KI-basierte Produkte relevant sind:

• Interoperabilität und Kombinationsrisiko: Ein Produkt kann nun als fehlerhaft eingestuft werden, wenn es im Zusammenspiel mit anderen Produkten nicht sicher ist. Der berechtigte Sicherheitserwartung des Verkehrs umfasst also auch die Wechselwirkung – z.B. wenn eine Software in einer üblichen Systemumgebung gefährliche Konflikte auslöst. Beispiel: Eine smarte Haussteuerungs-App interferiert mit der Alarmanlage und deaktiviert sie unbeabsichtigt – diese mangelnde Verträglichkeit könnte als Fehler gewertet werden, da Nutzer erwarten können, dass gängige Kombinationsanwendungen sicher sind.
• Cybersecurity-Mängel: Fehlt es einem Produkt an ausreichender Cybersicherheit, so ist es künftig ebenfalls fehlerhaft. Hersteller müssen demnach angemessene technische und organisatorische Maßnahmen treffen, um ihr Produkt vor unbefugtem Zugriff oder Manipulation zu schützen. Ein IoT-Gerät oder eine KI-Software, die leicht hackbar ist und dadurch Schäden ermöglicht (z. B. ein gehackter Pflegeroboter, der Personen verletzt), würde als fehlerhaft gelten. Diese Neuerung hebt die Bedeutung von Security by Design und Security by Default hervor. Startups sollten früh in der Entwicklung auf hohe IT-Sicherheitsstandards achten, auch weil Regulierung wie die NIS2-Richtlinie branchenweit ein höheres Cybersecurity-Niveau einfordert.
• Dynamische und lernende Systeme: Produkte mit der Fähigkeit, nach dem Inverkehrbringen dazuzulernen oder neue Funktionen zu erwerben (typisch für KI-Systeme), stellen besondere Herausforderungen dar. Die Richtlinie trägt dem insofern Rechnung, als sie nicht nur auf den Zustand beim Inverkehrbringen abstellt. Ein Produktfehler kann sich auch erst später durch ein Update oder Machine-Learning-Effekt manifestieren. Entsprechend wird klargestellt, dass der maßgebliche Zeitpunkt für die Beurteilung der Fehlerfreiheit nicht nur der Verkaufszeitpunkt ist. Wenn ein ursprünglich sicheres KI-System infolge eines Hersteller-Updates gefährlich wird, haftet der Hersteller so, als wäre das Produkt von Anfang an fehlerhaft gewesen.
• Updates unterlassen: Ebenso relevant ist der umgekehrte Fall – wenn notwendige Sicherheits-Updates unterbleiben. Art. 10 Abs. 2 c der Richtlinie bestimmt, dass die Fehlerhaftigkeit auch dann anzunehmen ist, wenn ein Produkt wegen fehlender Updates/Upgrades unsicher wird. Hersteller haben also eine nachträgliche Produktbeobachtungs- und Updatepflicht. Ein praktisches Beispiel ist eine bekannte Sicherheitslücke in einer SaaS-Plattform: Bleibt ein sicherheitskritischer Patch aus und kommt es dadurch zum Schaden (z.B. Datendiebstahl oder Systemausfall mit Folgeschäden), kann das Unternehmen haftbar gemacht werden.

Zusammenfassend verlangt der erweiterte Fehlerbegriff von Entwicklern und Herstellern, proaktiv für die anhaltende Sicherheit ihrer Software und KI-Produkte zu sorgen. Qualitätsmanagement darf sich nicht auf die Auslieferung eines „fertigen“ Produkts beschränken, sondern muss kontinuierlich mögliche Risiken im Auge behalten. Für KI-Startups bedeutet dies, früh Strukturen für Softwarewartung, Sicherheitsupdates und Monitoring aufzubauen. Es empfiehlt sich, klare Prozesse zur Meldung und Behebung von Schwachstellen (z.B. Responsible Disclosure-Policies) einzurichten. Auch die Dokumentation von Softwareänderungen und Lernprozessen einer KI ist wichtig, um im Haftungsfall darlegen zu können, wie sich das System verändert hat und dass man angemessen reagiert hat.

Erleichterte Anspruchsdurchsetzung: Beweiserleichterungen und Offenlegungspflichten

Weil die Beweisführung bei komplexen Produkten – insbesondere bei undurchsichtigen KI-Algorithmen – schwierig sein kann, führt die neue Richtlinie mehrere Mechanismen ein, um Geschädigten den Prozess zu erleichtern. Diese Änderungen stärken die Position der Anspruchsteller und erfordern von Herstellern eine noch sorgfältigere Risikoabwägung.

Gerichtliche Beweisvorlagepflicht: Auf Antrag des Geschädigten kann ein Gericht anordnen, dass der Beklagte relevante Beweismittel offenlegt, wenn der Kläger plausible Anhaltspunkte für einen Produktfehler und Schaden vorgelegt hat. In vielen EU-Ländern gab es bislang keine amerikanische Discovery-Pflicht – Unternehmen konnten sich auf Betriebsgeheimnisse berufen. Nun jedoch müssen Hersteller damit rechnen, interne Dokumente, Testberichte, Log-Dateien oder den Quellcode offenlegen zu müssen, wenn diese für die Aufklärung des Defekts nötig sind. Gerichte sollen zwar den Schutz von Geschäftsgeheimnissen berücksichtigen, aber die grundsätzliche Pflicht zur Kooperation im Prozess ist eine deutliche Wendung zugunsten der Geschädigten. Für KI-Startups könnte dies bedeuten, im Ernstfall beispielsweise die Entscheidungsparameter eines ML-Modells offenlegen zu müssen – ein potenzieller Konflikt zwischen Transparenz und IP-Schutz. Daher sollte schon präventiv abgewogen werden, wie viel Dokumentation man im Schadensfall herausgeben kann und ob bestimmte Geheimnisse z.B. durch Vertraulichkeitsanordnungen gesichert werden können.

Beweislastumkehr durch Vermutungen: Die neue Richtlinie definiert mehrere Situationen, in denen ein Produktfehler und/oder der Kausalzusammenhang gesetzlich vermutet wird, bis der Hersteller das Gegenteil beweist. Diese widerleglichen Vermutungen greifen insbesondere wenn:

• Der Hersteller einer gerichtlichen Offenlegungspflicht nicht nachkommt. Verweigert oder verzögert der Anbieter die herausverlangten Informationen, so wird vermutet, dass das Produkt fehlerhaft ist und der Fehler den Schaden verursacht hat. Ein solches Verhalten soll sich also vor Gericht rächen – es ist ein starker Anreiz zur Kooperation.
• Verstoß gegen Sicherheitsvorschriften: Kann der Kläger nachweisen, dass das Produkt gesetzliche Sicherheitsanforderungen nicht erfüllt (z. B. einschlägige CE-Normen, Produktsicherheitsvorschriften oder die AI-Act-Vorgaben bei KI-Systemen), so wird ein Fehler vermutet. Ein behördlicher Produktrückruf oder eine Warnung der Aufsichtsbehörden wegen Sicherheitsmängeln wird zwar nicht automatisch als Fehleranerkenntnis gewertet, aber es spricht ein starkes Indiz dafür. Startups sollten daher Compliance mit allen geltenden Normen strikt einhalten – Verstöße können im Prozess fatale Wirkungen haben.
• Offensichtlicher Fehlbetrieb: Tritt ein Schaden durch ein offenkundiges Fehlverhalten des Produkts bei ordnungsgemäßem Gebrauch ein, so soll dies ebenfalls die Vermutung eines Defekts begründen. Beispiel: Ein KI-gesteuerter Rasenmähroboter fährt unvorhersehbar über den Fuß des Nutzers – ein solcher „Aussetzer“ im Normalbetrieb lässt auf einen Produktfehler schließen, auch wenn der genaue Programmierfehler nicht sofort bewiesen ist.
• Übermäßig schwieriger Nachweis: Besonders relevant für High-Tech ist die Klausel, dass bei technisch oder wissenschaftlich hochkomplexen Produkten die Beweisanforderungen abgesenkt werden. Wenn es für den Kläger übermäßig schwierig ist, Fehler oder Kausalität zu beweisen, reicht es, wenn er plausibel macht, dass das Produkt wahrscheinlich fehlerhaft war und mit überwiegender Wahrscheinlichkeit den Schaden verursacht hat. Dann werden Fehler und Kausalität vermutet. Diese Situation dürfte typischerweise bei KI-Systemen als “Black Box” eintreten oder bei innovativen Produkten, deren Wirkungsweise selbst Experten kaum nachvollziehen können (in den Erläuterungen wird z.B. auf neuartige Medizinprodukte Bezug genommen). Praktisch bedeutet dies, dass etwa ein Patient, der durch eine KI-gestützte Diagnose oder Therapie geschädigt wurde, nicht im Detail darlegen muss, wie der Fehler im Algorithmus entstand – es genügt darzutun, dass die KI wahrscheinlich falsch gearbeitet hat und dadurch Schaden eintrat. Die Beweislast für die Unbedenklichkeit würde dann beim Anbieter liegen.

Diese Änderungen werden voraussichtlich die Prozessaussichten für Verbraucher erheblich verbessern. Hersteller hingegen sehen sich einem strengeren Regime ausgesetzt, in dem Intransparenz und Komplexität nicht mehr zu ihren Gunsten wirken, sondern im Zweifel gegen sie. Für KI-Startups heißt das: von Anfang an auf Nachvollziehbarkeit achten. „Black Box“-Modelle ohne Erklärbarkeit erhöhen das Prozessrisiko. Es kann sinnvoll sein, zumindest intern Mechanismen zur Erklärung von KI-Entscheidungen (Explainable AI) vorzuhalten, um im Streitfall einen Gegenbeweis führen zu können. Auch eine gründliche Protokollierung von Entwicklungs- und Testschritten kann helfen, im Prozess darzulegen, dass man mit dem Stand von Wissenschaft und Technik gearbeitet hat (Stichwort: Entwicklungsrisiko, siehe unten).

Verhältnis zum deutschen Recht: Interessant ist, dass einige dieser Vermutungen mit dem bisherigen deutschen Zivilprozessrecht kollidieren. Nach deutschem Recht trägt der Kläger bisher die Beweislast dafür, dass ein Produkt fehlerhaft war und der Fehler seinen Schaden verursacht hat. Die neue Richtlinie zwingt hier zu Anpassungen – in Zukunft werden nationale Gerichte die genannten Vermutungsregeln umsetzen müssen. Für Unternehmen bedeutet dies EU-weit mehr Einheitlichkeit auf hohem Schutzniveau für Geschädigte.

Erweiterung ersatzfähiger Schäden und Verjährung

Die neue Richtlinie modernisiert auch die Regeln zu Schadensarten und Haftungsfristen. Hier ergeben sich folgende wesentliche Änderungen:

Psychische und Daten-Schäden: Erstmals ausdrücklich umfasst sind gesundheitliche Schäden auch psychischer Art, sofern medizinisch anerkannt (etwa ein diagnostiziertes Trauma). Das ist relevant, da z.B. Unfälle oder gefährliche Fehlfunktionen von Robotern nicht nur körperliche, sondern auch seelische Auswirkungen haben können. Außerdem wird nun die Beschädigung oder der Verlust von Daten als ersatzfähiger Schaden anerkannt, zumindest im Verhältnis zu Verbrauchern. Voraussetzung ist, dass die Daten nicht zu beruflichen Zwecken genutzt wurden – d.h. es geht um persönliche oder private Daten. Beispiel: Ein Cloud-Backup-Service (SaaS) löscht aufgrund eines Softwarefehlers unwiederbringlich die privaten Fotos eines Nutzers. Bisher konnte der Nutzer hierfür keine Produkthaftung geltend machen, da kein Sachschaden an einer körperlichen Sache vorlag. Künftig fällt der Datenverlust unter den Schadenbegriff, und der Anbieter haftet dem privaten Nutzer auf Ersatz (etwa für die Kosten einer Datenrettung oder ggf. immaterielle Beeinträchtigung). Für geschäftliche Datenverluste (etwa Kundendaten eines Unternehmens) greift diese spezielle Regel zwar nicht, doch bleiben in solchen Fällen vertragliche Ansprüche oder deliktische Ansprüche nach nationalem Recht möglich.

Wegfall von Selbstbehalten und Haftungshöchstgrenzen: Die alte Richtlinie erlaubte Mitgliedstaaten, einen Selbstbehalt von bis zu 500 Euro bei Sachschäden vorzusehen und gewisse Haftungshöchstbeträge für Serienfälle einzuführen. Diese Beschränkungen entfallen nun. Damit gibt es keine “Haftungslücke” mehr bei Sachschäden unterhalb 500 Euro. Für Startups heißt das: auch geringfügige Schäden (z.B. ein durch eine Software verursachter Kleinschaden an einem Gerät im Wert von 100 €) können ersatzpflichtig sein – solche “Bagatellen” waren bislang von der Produkthaftung ausgenommen. Zudem drohen bei Großschadensereignissen (z.B. ein weit verbreiteter Produktfehler mit vielen Geschädigten) potenziell unlimitierte Haftungssummen. Ein Massenschaden durch einen Software-Bug – etwa ein verbreitetes Smart-Home-Device, das bei allen Nutzern einen teuren Defekt verursacht – könnte so existenzbedrohend werden. Hier schafft nur entsprechende Versicherung (siehe unten) finanziellen Schutz.

Verjährungsfristen (Haftungshöchstfrist): Neben der normalen Verjährungsfrist (in Deutschland 3 Jahre ab Kenntnis des Schadens und Fehlers) gibt es in der Produkthaftung eine absolute Ausschlussfrist. Nach bisherigem Recht erloschen Ansprüche spätestens 10 Jahre nach dem Inverkehrbringen des Produkts, selbst wenn der Schaden erst später entdeckt wurde. Die Neuregelung modifiziert dies zweifach:

• Neubeginn bei Produktveränderung: Wird ein Produkt durch den Hersteller wesentlich verändert oder mit einem sicherheitsrelevanten Update versehen, startet die 10-Jahres-Frist neu. Jedes größere Update oder Upgrade “verlängert” also die potentielle Haftungsdauer ab diesem Zeitpunkt. Für Softwareprodukte mit regelmäßigen Updates ist das enorm relevant: Die Uhr wird bei jedem sicherheitsrelevanten Versionssprung zurückgesetzt.
• Verlängerung auf bis zu 15 bzw. 25 Jahre: In Fällen, in denen der Schaden latent bleibt und erst viel später in Erscheinung tritt, wird die Frist auf 15 Jahre (Sachschäden) bzw. 25 Jahre bei Personenschäden verlängert. Dies betrifft z.B. Gesundheitsschäden durch Langzeitfolgen, die erst nach vielen Jahren erkannt werden (typisch etwa bei Pharmazeutika oder Implantaten, aber auch denkbar bei kumulativen Auswirkungen durch ein KI-Medizinprodukt). Damit soll sichergestellt werden, dass Opfern auch sehr spät auftretender Schäden noch Ansprüche zustehen.

Unverändert bleiben dem Vernehmen nach andere Grundprinzipien: etwa die Beweislast des Geschädigten für den Schadenumfang und das Verbot, die Produkthaftung gegenüber Verbrauchern vertraglich auszuschließen oder zu begrenzen (diese ist zwingendes Recht). Auch der Entwicklungsrisikoeinwand – also die Möglichkeit des Herstellers, sich zu entlasten, wenn der Fehler nach dem Stand von Wissenschaft und Technik bei Inverkehrbringen noch nicht erkennbar war – bleibt grundsätzlich bestehen. Allerdings dürfen die Mitgliedstaaten diesen Entlastungsbeweis künftig ausschließen. Das heißt, Länder wie Deutschland könnten entscheiden, dass ein Hersteller auch für unbekannte Risiken haftet. In Deutschland war dieser „State of the Art“-Einwand bisher zulässig (§ 1 Abs. 2 Nr. 5 ProdHaftG), es bleibt abzuwarten, ob der nationale Gesetzgeber hier von der Erlaubnis abweicht. Für KI-Startups wäre ein Ausschluss des Entwicklungsrisikos besonders heikel, da KI-Technologien naturgemäß Neuland betreten. Umso wichtiger wird es, den wissenschaftlichen Fortschritt laufend zu beobachten und neue Erkenntnisse rasch in Verbesserungen einfließen zu lassen, um gar nicht erst in den Bereich unbekannter Risiken zu kommen.

Stand der Dinge: Separate KI-Haftungsrichtlinie und weitere Entwicklungen

Parallel zur Überarbeitung der Produkthaftungsrichtlinie wurde in der EU über eine spezielle KI-Haftungsrichtlinie diskutiert. Die Europäische Kommission legte im September 2022 einen Vorschlag für eine „AI Liability Directive“ vor, der ein zivilrechtliches Haftungssystem für KI schaffen sollte, ergänzend zur Produkthaftung. Dieses separate Regelwerk zielte darauf ab, Opfern von KI-bedingten Schäden auch dann Rechtsdurchsetzung zu ermöglichen, wenn die Produkthaftung nicht greift – etwa weil kein Produkt im engen Sinne vorliegt oder es um reine Vermögensschäden oder Verletzungen von Grundrechten durch KI geht. Geplant waren insbesondere Beweiserleichterungen bei Verschuldenshaftung (z.B. Vermutungen zum Kausalzusammenhang) und die Möglichkeit, von Betreibern Auskünfte über hochriskante KI-Systeme zu verlangen.

In der Praxis stieß die KI-Haftungsrichtlinie jedoch auf politischen Widerstand und Überschneidungsprobleme mit der bereits beschlossenen Produkthaftungsreform. Viele sahen die Notwendigkeit getrenkter KI-Haftungsregeln als gering an, sobald Software und KI in der Produkthaftung berücksichtigt sind. Nachdem das Dossier längere Zeit stagnierte, hat die EU-Kommission im Februar 2025 entschieden, den Vorschlag für die KI-Haftungsrichtlinie zurückzuziehen. Hintergrund war ein Mangel an Konsens und der Wunsch nach regulatorischer Vereinfachung im digitalen Sektor. Einige EU-Parlamentarier kritisierten den Rückzug und warnten vor einem „Haftungs-Wildwest“ bei KI, während andere ihn begrüßten.

Aktuell (Stand Mai 2025) gibt es somit keine eigenständige KI-Haftungsrichtlinie in Aussicht. Die EU dürfte sich zunächst auf die Umsetzung der neuen Produkthaftungsrichtlinie und die parallel verabschiedete KI-Verordnung (AI Act) konzentrieren. Letztere ist jedoch primär öffentlich-rechtlicher Natur (Produktzulassung, Konformität, CE-Kennzeichnung, Aufsicht) und regelt keine zivilrechtlichen Ansprüche. Allerdings könnte die Kommission künftig einen neuen Anlauf unternehmen, z.B. eine breiter gefasste Software-Haftungsrichtlinie vorzuschlagen, um etwa Lücken außerhalb der Produkthaftung zu schließen. Startups sollten diese Entwicklung aufmerksam verfolgen.

Wichtig ist: Haftung für KI-Systeme besteht auch ohne Spezialrichtlinie bereits über die allgemeinen Rechtsinstrumente – Produkthaftung, Deliktsrecht, Vertragshaftung. Die neue Produkthaftungsrichtlinie deckt nun einen großen Teil typischer KI-Risiken ab, nämlich diejenigen, die mit einem Produktfehler zusammenhängen. Für Schäden, die nicht unter die enge Produkthaftung fallen (z.B. reine Vermögensverluste durch falsche KI-Entscheidungen ohne Sach-/Personenschaden), müssen weiterhin die allgemeinen Haftungsnormen der Mitgliedstaaten herhalten. In Deutschland wären das etwa §§ 823 ff. BGB (deliktische Haftung bei Verschulden) oder vertragliche Schadensersatzansprüche, soweit einschlägig. Diese erfordern in der Regel aber einen Verschuldensnachweis, den eine eigene KI-Haftungsrichtlinie erleichtern wollte. Unternehmen im KI-Bereich sollten daher trotz fehlender Spezialgesetzgebung darauf vorbereitet sein, auch für Fehler in Algorithmen oder Datenausgaben gegebenenfalls geradestehen zu müssen – sofern nicht rechtssicher vertraglich ausgeschlossen, was im Verbraucherbereich kaum möglich ist.

Praktische Konsequenzen für KI-Startups, SaaS-Anbieter und digitale Produkte

Die vorgestellten Reformen sind weitreichend und abstrakt. Für die Praxis von Startups im KI- und Softwarebereich stellen sich die Fragen: Welche konkreten Haftungsrisiken ergeben sich? Wie kann man sich davor schützen? Und was bedeuten die neuen Regeln für Verträge und Geschäftsmodelle? Im Folgenden werden diese Punkte beleuchtet – ergänzt durch hypothetische Beispiele, um die Auswirkungen greifbar zu machen.

Haftungsrisiken für KI-Startups und Software-Anbieter

Strenge Erfolgshaftung: Durch die Ausweitung der Produkthaftung auf Software und KI sehen sich Tech-Startups nun einer Gefährdungshaftung gegenüber, die verschuldensunabhängig ist. Das Risiko besteht darin, dass bereits ein unbeabsichtigter Softwarefehler zu erheblichen Haftungsansprüchen führen kann, ohne dass dem Startup ein Fehlverhalten nachgewiesen werden muss. Gerade junge Unternehmen, die innovativ und agil entwickeln, haben erfahrungsgemäß häufiger mit Bugs oder unvorhergesehenem Verhalten ihrer Systeme zu kämpfen. Jeder solche Fehler kann nun – sofern er die Sicherheit betrifft – den Tatbestand der Produktfehlerhaftigkeit erfüllen und im Schadensfall Ansprüche auslösen.

Beispiel – Personenschaden durch KI-Software: Ein Medizin-Startup bietet einen KI-basierten Symptom-Checker als SaaS an, der Patienten Diagnosen und Therapieempfehlungen gibt. Aufgrund unzureichender Trainingsdaten bewertet die KI bestimmte ernste Symptome als harmlos. Ein Patient bekommt fälschlich Entwarnung, erleidet aber kurz darauf einen schweren gesundheitlichen Zwischenfall, den er bei korrekter Einschätzung hätte vermeiden können. Hier liegt ein Produktfehler der Software vor, da sie nicht die erwartbare Sicherheit bietet – man durfte zumindest richtige Warnhinweise erwarten. Der Patient (bzw. seine Erben) kann das Startup auf Produkthaftung in Anspruch nehmen: Es handelt sich um einen Personenschaden durch ein fehlerhaftes digitales Produkt. Das Startup kann sich nicht darauf berufen, alle Sorgfalt walten gelassen zu haben; die Haftung ist verschuldensunabhängig. Solche Szenarien, die früher nur über Arzthaftung oder allenfalls deliktische Softwarehaftung denkbar waren, sind nun klar der Produkthaftung zugeordnet.

Beispiel – Sachschaden durch Softwarefehler: Ein PropTech-Startup vertreibt ein cloudbasiertes Gebäudeleitsystem (SaaS), das Heizung, Lüftung und Sicherheit in Bürogebäuden steuert. Durch einen Bug in einem Update versagt das System: Die Heizung läuft unkontrolliert auf Höchststufe, was zu einem Schwelbrand in einem Serverraum führt und die Sprinkleranlage auslöst. Es entstehen erhebliche Sachschäden am Gebäudeinventar. Nach neuer Rechtslage haftet das Startup als Hersteller des fehlerhaften Software-Produkts gegenüber den geschädigten Firmen im Gebäude (sofern es sich um Schäden an deren Eigentum handelt und es sich bei den Geschädigten um natürliche Personen handelt – z.B. Freiberufler oder Einzelunternehmer; rein juristische Personen müssten ihre Ansprüche evtl. aus Vertrag herleiten). Der verursachte Brandschaden am Eigentum ist ein Sachschaden, der nun ohne Selbstbehalt ersatzfähig ist. Selbst wenn vertraglich Haftungsausschlüsse vereinbart waren, greifen diese gegenüber geschädigten Dritten nicht.

Produkthaftung vs. Vertragshaftung in B2B: Ein wichtiger Aspekt für Startups, die überwiegend B2B arbeiten: Wer kann überhaupt klagen? Die Produkthaftungsrichtlinie räumt den geschädigten natürlichen Personen Ansprüche ein – typischerweise Verbrauchern oder Drittpersonen, die durch das Produkt zu Schaden kamen. Wenn ein Startup also Software an ein Unternehmen verkauft und nur dieses Unternehmen (eine juristische Person) erleidet einen finanziellen Schaden oder einen Sachschaden an Firmeneigentum, greift die EU-Produkthaftung formal nicht. Das Unternehmen wird dann auf vertragliche Gewährleistung oder allgemeine Haftung (mit Verschulden) angewiesen sein. Aber Vorsicht: Sobald eine natürliche Person involviert ist – sei es ein Verbraucher oder ein Mitarbeiter, der zu Schaden kommt – kann die Produkthaftung ins Spiel kommen. Beispielsweise könnte ein Arbeitnehmer, der durch einen Softwarefehler verletzt wurde, direkt das Hersteller-Startup verklagen. Ebenso, wenn ein vom Unternehmen genutztes KI-Produkt Daten eines privaten Kunden des Unternehmens vernichtet, könnte dieser Kunde das Startup aus Produkthaftung belangen. Für Startups ergibt sich daraus ein fragmentiertes Risiko: Einerseits strenge Haftung gegenüber Endnutzern/Verbrauchern, andererseits weiterhin die Notwendigkeit, gegenüber Geschäftskunden vertraglich die Haftung zu regeln.

Massenschäden und Kollektivklagen: Die EU fördert zudem Verbandsklagen und Sammelklagen (Stichwort Verbandsklagenrichtlinie). Durch die neuen Regeln könnten bei weit verbreiteten Softwarefehlern kollektive Ansprüche entstehen. Ein Beispiel wäre ein beliebtes KI-Fitnessarmband, dessen Firmware-Update einen Fehler hat, der bei tausenden Nutzern zu Hautverbrennungen führt. Verbraucherverbände könnten gebündelt klagen. Für Startups, die schnell skalieren, ist das Risiko eines gleichzeitigen Ausfalls in großer Stückzahl real – was bisher vielleicht Kulanzregelungen oder Rückrufe nach sich zog, kann zukünftig zu großflächigen Haftungsklagen führen.

Haftungsumfang: Da keine Deckelung mehr besteht, können die Beträge hoch sein: Personenschäden umfassen Heilbehandlungskosten, Schmerzensgeld, Verdienstausfall, im Todesfall Hinterbliebenenversorgung – Summen, die schnell Millionen erreichen. Sachschäden inklusive Datenverlust können ebenso erheblich sein (z.B. Kosten einer Datenwiederherstellung, Ersatz von Geräten). Selbst immaterielle Schäden wie psychische Beeinträchtigung könnten diskutiert werden (in DE zwar kein Schmerzensgeld für reine Vermögensschäden, aber bei Persönlichkeitsverletzungen möglich). Startups müssen folglich einkalkulieren, dass ein einziger gravierender Produktfehler existenzbedrohende Forderungen nach sich ziehen könnte.

Präventive Schutzmaßnahmen: AGB, Qualitätssicherung und Versicherung

Angesichts dieser Risiken sollten KI- und Software-Startups rechtzeitig Strategien entwickeln, um ihre Haftung zu begrenzen und Schäden vorzubeugen. Folgende Maßnahmen bieten sich an:

1. Vertragsklauseln und AGB-Gestaltung:

Gerade im B2B-Geschäft können vertragliche Haftungsbeschränkungen das finanzielle Risiko reduzieren. Üblich sind etwa:

• Haftungsbeschränkung auf bestimmte Beträge: Viele SaaS-Verträge limitieren die Haftung auf einen Maximalbetrag (z. B. auf die jährliche Vergütung oder einen fixen Betrag). Solche Caps sind zwischen Unternehmen in der Regel zulässig. Im Verhältnis zu Verbrauchern greifen solche Beschränkungen allerdings nicht für Personenschäden – dort sind sie unwirksam oder von Gesetzes wegen verboten (in Deutschland z.B. nach § UNG BGB).
• Ausschluss von Folgeschäden: In AGB wird oft die Haftung für indirekte Schäden, entgangenen Gewinn, Datenverlust etc. ausgeschlossen. Unter der neuen Richtlinie könnte ein Datenverlust jedoch direkt als ersatzfähiger Schaden gelten, insoweit wäre ein AGB-Ausschluss gegenüber Verbrauchern ebenfalls unwirksam. Dennoch kann es im B2B-Kontext sinnvoll sein, Haftung für entgangenen Gewinn oder Betriebsunterbrechungsschäden auszuschließen, um die Kalkulierbarkeit zu erhöhen.
• Nutzungsbeschränkungen und Disclaimer: Es empfiehlt sich, in den Nutzungsbedingungen klarzustellen, wofür die Software nicht gedacht ist. Beispielsweise ein Hinweis „Dieses KI-System darf nicht für lebenswichtige Entscheidungen eingesetzt werden“ oder „nicht medizinisch validiert“. Solche Hinweise können die berechtigte Erwartungshaltung des Nutzers beeinflussen. Wenn ein Kunde entgegen ausdrücklicher Warnung ein Produkt in Hochrisiko-Umgebungen einsetzt und es zum Schaden kommt, könnte der Hersteller argumentieren, der Gebrauch sei außerhalb des erwartbaren Rahmens erfolgt (damit evtl. kein Fehler im haftungsrechtlichen Sinne, weil die Sicherheit für diesen Spezialfall nicht zugesichert war). Vollständig verlassen kann man sich darauf nicht, aber es ist ein zusätzlicher Verteidigungsansatz. Wichtig: Die Hinweise müssen deutlich und möglichst bei Vertragsschluss bekannt sein, nicht versteckt im Kleingedruckten.
• Freistellungsvereinbarungen: Wenn das Startup als Zulieferer agiert (z.B. KI-Modul für OEM), wird der Geschäftspartner in der Regel vertraglich verlangen, vom Startup freigestellt zu werden, falls Dritte wegen eines Produktfehlers des Moduls Ansprüche erheben. Solche Indemnity-Klauseln sollte man sorgfältig verhandeln, um sie z.B. auf Fälle zu begrenzen, in denen der Fehler ausschließlich vom Modul verursacht wurde. Umgekehrt kann das Startup von seinen Zulieferern (z.B. einem Anbieter eines KI-Frameworks) Freistellungen verlangen. Ziel ist, dass jeder in der Kette letztlich für die von ihm zu vertretenden Fehler haftet. Vertragsklauseln müssen auch berücksichtigen, wie mit Verteidigungskosten im Haftungsfall umgegangen wird (wer führt den Prozess, wer trägt Kosten).
• Gewährleistung vs. Haftung: Wichtig zu trennen ist zudem die vertragliche Gewährleistung (Mängelhaftung) von der Produkthaftung. Gewährleistung kann man B2B zeitlich und inhaltlich begrenzen (z.B. Mängelrügen binnen 14 Tagen, Haftung für Mängel nur durch Nachbesserung/Nachlieferung). Diese regelt aber nur das Verhältnis zum direkten Vertragspartner. Die Produkthaftung bleibt davon unberührt. Dennoch: Eine kluge Gewährleistungsregelung kann zumindest sicherstellen, dass der B2B-Kunde keine zusätzlichen vertraglichen Schadensersatzansprüche wegen eines Mangels geltend macht, die neben der Produkthaftung laufen.

2. Qualitäts- und Sicherheitsprozesse:

Der beste Weg, Haftungsfälle zu vermeiden, ist natürlich, Fehler gar nicht erst in Verkehr zu bringen. Startups sollten trotz Zeit- und Kostendrucks ein rigoroses QA (Quality Assurance) etablieren, gerade wenn es um sicherheitsrelevante Funktionen geht. Dazu gehört:

• Intensive Testphasen: vor Release einer Softwareversion alle relevanten Use Cases testen, auch das Zusammenspiel mit anderen Systemen (Interoperabilität!). Bei KI-Modellen gehört dazu auch eine Validierung auf Verzerrungen und Fehleinschätzungen. Dokumentation von Tests kann im Streitfall zeigen, dass man nach Stand der Technik geprüft hat (was für den Entwicklungsrisiko-Einwand relevant sein kann).
• Risikobewertung: Für KI-Systeme bietet es sich an, eine Risikoanalyse analog zu sicherheitskritischen Produkten zu machen. Welche potenziellen Schäden könnten auftreten? Wo liegen die Gefahren (z.B. Fehlempfehlungen, Systemausfälle)? Daraus lassen sich Maßnahmen ableiten. Für bestimmte Branchen (Medizin, Automotive) ist dies ohnehin regulatorisch vorgeschrieben.
• Security by Design: Schon während der Entwicklung müssen Sicherheitsaspekte (z.B. Authentifizierung, Verschlüsselung, Schutz vor Injection-Angriffen) berücksichtigt werden. Nach dem Allgemeinen Produktsicherheitsrecht und künftig auch dem AI Act wird ein Stand der Technik-Sicherheitsniveau erwartet. Externe Penetrationstests oder Code-Audits können sinnvoll sein, um Schwachstellen vor Markteinführung zu finden.
• Update-Management: Ein Plan für schnelle Updates bei entdeckten Sicherheitslücken ist essenziell. Das Unternehmen sollte interne Verantwortlichkeiten definieren, wie auf Sicherheitsvorfälle reagiert wird (Incident Response). Werden Kunden aktiv informiert? Wie schnell kann ein Patch ausgerollt werden? Hier zahlt sich ein DevOps-Ansatz aus, der kontinuierliche Updates ermöglicht. Auch sollte man nicht versäumen, EOL (End of Life) von Produkten klar zu kommunizieren – wenn ein Produkt nicht mehr unterstützt wird, muss der Kunde das wissen, denn ansonsten könnte fehlender Support als Verletzung der Updatepflicht gewertet werden.
• Konformität mit Normen: Wo verfügbar, sollten anerkannte Standards und Zertifizierungen genutzt werden (z. B. ISO-Normen, IEC 61508 für funktionale Sicherheit, ISO/IEC 27001 für IT-Sicherheit, spezifische Normen für Medizinprodukte-Software etc.). Die Einhaltung solcher Standards kann später helfen zu zeigen, dass man nach Stand der Technik gehandelt hat. Zudem werden Normverstöße ja künftig als Indiz für Fehler dienen – umgekehrt kann Normkonformität als Indiz für Sicherheit herangezogen werden.
• Pilotphasen und begrenzter Rollout: Insbesondere bei KI, die aus der Interaktion mit Nutzern lernt, empfiehlt es sich, neue Systeme zunächst in kontrollierter Umgebung oder mit einer kleinen Nutzergruppe zu erproben, bevor massenhaft ausgerollt. So können Kinderkrankheiten entdeckt werden, ohne dass gleich Tausende betroffen sind.

3. Versicherungsschutz:

Eine Produkthaftpflichtversicherung sollte für jedes Startup, das ein potenziell haftungsträchtiges Produkt anbietet, frühzeitig erwogen werden. Während klassische Hardware-Hersteller ohnehin solche Policen haben, war es im Software-Sektor bislang weniger verbreitet. Viele Tech-Unternehmen hatten allenfalls eine Berufshaftpflicht/IT-Haftpflicht (die eher Vermögensschäden durch Schlechtleistung abdeckt). Nun, da Software rechtlich einem Produkt gleichsteht, bieten Versicherer vermehrt spezielle Deckungen für Software- und KI-Produkthaftung an.

Bei der Auswahl einer Versicherung ist zu achten auf:

• Deckungsumfang: Deckt die Police auch Personenschäden und Sachschäden durch reine Softwarefehler ab? Viele klassische Policen hatten Ausschlüsse für “reine Vermögensschäden” – die Datenverlustproblematik sollte abgedeckt sein. Psychische Folgeschäden sollten idealerweise mit umfasst sein, sofern gerichtlich zugesprochen.
• Deckungssumme: Angesichts der möglichen unbegrenzten Haftung sollten ausreichend hohe Summen (ggf. mehrere Millionen Euro) vereinbart werden, je nach Risikoprofil des Produkts. Für KI im medizinischen oder automotive Bereich entsprechend mehr als für ein reines Bürosoftware-Tool.
• Selbstbehalte und Mitwirkung: Oft verlangen Versicherer, dass gewisse Sicherheitsstandards eingehalten werden (z.B. regelmäßige Updates, Dokumentation). Ein Verstoß könnte den Schutz gefährden. Daher die Versicherungsbedingungen genau lesen, damit man im Schadensfall nicht wegen Obliegenheitsverletzungen leer ausgeht.
• Rückrufkosten: Zwar ist die Produkthaftung selbst damit nicht erledigt, aber viele Versicherungen bieten optional die Übernahme von Rückrufkosten an, falls das Produkt vom Markt genommen oder gepatcht werden muss. Gerade bei physischen Produkten mit Software kann ein Rückruf sehr teuer werden – aber auch ein großflächiger Patch und Incident Response verursacht Kosten.

Zusätzlich zur Versicherung sind Reserven für Haftungsfälle ein Thema: Investoren und Gründer sollten einkalkulieren, dass Rückstellungen nötig sein könnten, wenn ein Haftungsfall wahrscheinlich wird. Im Worst Case kann ein Startup in die Insolvenz geraten, wenn die Haftungsmasse nicht ausreicht – was weder für Gründer noch Geschädigte wünschenswert ist. Daher lieber in Prävention investieren, als im Nachhinein zu zahlen.

Bedeutung für die Vertrags- und Geschäftsmodell-Gestaltung

Geschäftsmodell: KI-Startups sollten ihre Produkte nun auch unter dem Aspekt der Haftungssteuerung betrachten. Ein mögliches Szenario ist, dass sich Geschäftsmodelle ändern, um Haftung zu verringern – z.B. mehr auf Dienstleistungen statt Produkte zu setzen. Allerdings deckt die Richtlinie auch Dienstleistungen ab, soweit sie in ein Produkt integriert sind (z.B. ein cloudbasierter Service, der essenzieller Bestandteil der Produktfunktion ist, wird als Teil des Produkts betrachtet). Komplett entziehen kann man sich der Haftung also nicht, indem man „nur Service“ anbietet.

Vertragsgestaltung mit Kunden: Im B2C-Bereich sind Startups gut beraten, klare Nutzervereinbarungen zu haben, die den Nutzer zumindest zu einem gewissen sorgfältigen Umgang verpflichten und ihn über verbleibende Risiken aufklären (ohne dabei berechtigte Erwartungen zu untergraben). Beispielsweise kann ein Vertrag festhalten, dass der Nutzer regelmäßige Updates einspielen muss und das Produkt nicht zweckentfremden darf. Kommt der Nutzer dem nicht nach (z.B. ignoriert Sicherheitsupdates), ließe sich im Streit ein Mitverschulden argumentieren. Auch wenn Verbraucherverträge streng reguliert sind, schließt es nicht aus, dem Nutzer Pflichten aufzuerlegen, die der Sicherheit dienen.

Vertragsgestaltung mit Partnern und Zulieferern: Wie oben erwähnt, sind Haftungsweitergaben und -freistellungen in der Lieferkette zentrale Tools. Startups, die Komponenten zukaufen (etwa vortrainierte KI-Modelle von Drittanbietern), sollten vertraglich sicherstellen, dass dieser Drittanbieter haftet, falls der Fehler nachweislich in seiner Komponente lag. Umgekehrt werden Startups als Zulieferer Zusicherungen abgeben müssen. Hier ist eine enge Zusammenarbeit mit Versicherern sinnvoll: Manche Großkunden verlangen einen bestimmten Versicherungsnachweis, bevor sie ein Startup als Lieferanten akzeptieren.

Jurisdiktion und Rechtswahl: Bei internationalen Geschäften sollte man bedenken, dass die Produkthaftungsregeln im ganzen EWR (EU + Norwegen, Island, Liechtenstein) gelten werden. Eine Rechtswahl, die das anwendbare Recht ändert, ist gegenüber Verbrauchern wirkungslos (sie können immer den Schutz ihres Heimatlandes in Anspruch nehmen). In B2B könnte man versuchen, z.B. auf ein Recht ohne strikte Produkthaftung zu optieren – praktisch bringt das aber wenig, da in der EU jedes Land umsetzen muss und außerhalb der EU eine Rechtswahl schwer durchsetzbar ist, wenn der Schaden in der EU eintritt. Zudem würde man sich dem Rufrisiko aussetzen, sich Haftung entziehen zu wollen. Es ist daher ratsam, transparente Haftungsregelungen zu treffen, statt auf Rechtskniffe zu setzen.

Dokumentation und Vertragsanhänge: In Verträgen mit Geschäftskunden kann es hilfreich sein, technische Spezifikationen, Sicherheitsfeatures und Anleitungen als Vertragsbestandteil beizufügen. Warum? Weil damit klargestellt ist, was der vertraglich vorausgesetzte Gebrauch ist und welche Sicherheitsmaßnahmen getroffen wurden. Sollte es zu einem Verfahren kommen, kann man zeigen, dass der Kunde genau informiert war, wozu das Produkt bestimmt ist und wie es sicher betrieben wird. Zudem kann man vertraglich regeln, dass der Kunde selbst für die Sicherheit der Umgebung verantwortlich ist (z.B. dass er die Software nur in unterstützten Umgebungen einsetzt, Firewall etc.). Zwar befreit das nicht von der Herstellerhaftung, aber es kann im Innenverhältnis zu einer Mitschuld des Kunden führen, falls er grob entgegen der Vorgaben handelt.

Überwachung und Feedback: Schließlich sollte ein modernes Startup auf Feedback-Schleifen setzen: Kundenbeschwerden oder near misses (Beinahe-Schadensfälle) ernst nehmen, analysieren und ggf. das Produkt verbessern. Mit Kunden kann man Service-Level-Agreements (SLAs) vereinbaren, die auch Reaktionen auf Sicherheitsvorfälle vorsehen. Das zeigt proaktive Haltung und kann rechtlich relevant sein, um zu demonstrieren, dass man kontinuierlich um Sicherheit bemüht ist.

Fazit

Die neue EU-Produkthaftungsrichtlinie 2023 bringt substanzielle Änderungen für die Haftung von Herstellern im digitalen Zeitalter. Für KI-Startups, SaaS-Anbieter und Entwickler digitaler Tools bedeutet dies eine höhere Verantwortung: Ihre Produkte – ob physisch greifbar oder rein digital – unterliegen ab 2026 den strengen Maßstäben der Produkthaftung. Software wird damit „hardwaregleich“ in Haftungsfragen. Insbesondere die Einbeziehung von KI-Systemen stellt sicher, dass Innovation nicht auf Kosten der Sicherheit geht. Unternehmen dieser Branchen müssen sich jetzt vorbereiten, indem sie ihre Prozesse und Verträge überprüfen und anpassen.

Positiv aus Sicht der Endnutzer ist, dass der Rechtsrahmen moderne Schadenstatbestände abdeckt (Datenverlust, psychische Schäden) und prozesstaktische Hürden abbaut (Beweiserleichterungen, Auskunftsansprüche), was zu einer effektiveren Durchsetzung berechtigter Ansprüche führen wird. Für die Unternehmen hingegen steigt das Haftungsrisiko erheblich – ein einzelner Softwarefehler kann zu aufwendigen Gerichtsverfahren und hohen Schadenersatzforderungen führen.

KI-Startups sollten diesen Wandel nicht nur als Risiko, sondern auch als Chance sehen: Sicherheit und Qualität werden zu wettbewerbsentscheidenden Faktoren. Wer zuverlässige, gut abgesicherte Produkte liefert, kann das Vertrauen der Kunden gewinnen. Die Berücksichtigung haftungsrechtlicher Vorgaben in der Entwicklungsphase – etwa durch „Security by Design“ und gründliche Tests – kann somit Teil der Value Proposition werden („unser KI-Service ist zertifiziert und entspricht den höchsten Sicherheitsstandards“). Zudem kann proaktives Risikomanagement (z.B. frühzeitige Updates bei Sicherheitslücken) nicht nur Haftung vermeiden, sondern auch das Produkt verbessern.

Letztlich zeichnet sich ab, dass die EU mit dem Zusammenspiel aus neuer Produkthaftung und KI-Regulierung einen verpflichtenden Rahmen für sichere KI etabliert. Auch wenn die spezifische KI-Haftungsrichtlinie vorerst vom Tisch ist, müssen sich Startups im KI-Bereich auf eine Ära einstellen, in der Haftung und Regulierung Hand in Hand gehen. Wer die rechtlichen Anforderungen kennt und umsetzt, kann nicht nur Haftungsstreitigkeiten vorbeugen, sondern sich auch im Markt positiv abheben. In der Vertragsgestaltung, im Kundenumgang und in der Technikentwicklung gilt es fortan, einen Balanceakt zwischen Innovation und Sicherheit zu meistern – ganz im Sinne von „zwischen Startup-Dynamik und Haftung“. Die neue EU-Produkthaftungsrichtlinie liefert dafür den rechtlichen Rahmen, den es nun mit Leben zu füllen gilt, bevor sie 2026 in Kraft tritt.