Navigation durch die EU-Produkthaftungsrichtlinie (PLD) mit SBOM
| Interlynk
Zwischen 1957 und 1962 wurden mehr als 10.000 Babys mit körperlichen Fehlbildungen geboren, die durch das Medikament Thalidomid verursacht wurden. Daraus resultierten strengere Vorschriften für die Zulassung neuer Medikamente und Impfstoffe, die bis heute in Kraft sind.
Nach der Thalidomid-Katastrophe führte die Europäische Kommission die Richtlinie über die Produkthaftung (PLD) als einen Eckpfeiler des Verbraucherschutzes ein. Diese Richtlinie stellt sicher, dass Personen, die durch fehlerhafte Produkte geschädigt wurden, Schadenersatz fordern können.
Jüngste Aktualisierungen der PLD zielen darauf ab, ihren Anwendungsbereich zu modernisieren. Dabei werden Herausforderungen durch neue Technologien angegangen und Hersteller digitaler Produkte für potenzielle Schäden haftbar gemacht, ganz ähnlich wie bei den physischen Auswirkungen von Thalidomid. Dies unterstreicht die Notwendigkeit für Unternehmen, insbesondere im digitalen Sektor, die Auswirkungen zu verstehen und sich proaktiv anzupassen.
Kurze Geschichte
Die Produkthaftungsrichtlinie 85/374/EWG, die 1985 verabschiedet wurde, war für ihre Zeit bahnbrechend. Sie führte das Konzept der verschuldensunabhängigen Produkthaftung für Hersteller ein, was bedeutete, dass Kläger keine Fahrlässigkeit nachweisen mussten, sondern nur, dass der Fehler im Produkt den Schaden verursacht hat. Dies markierte einen Wandel hin zu einem stärkeren Verbraucherschutz in den damaligen Europäischen Gemeinschaften und schließlich in der Europäischen Union.
Wichtige Meilensteine in der Entwicklung der Produkthaftungsrichtlinie sind unter anderem:
Die ursprüngliche Richtlinie (1985):
Die Richtlinie zielte darauf ab, die Produkthaftungsgesetze in den EU-Mitgliedstaaten zu harmonisieren. Ihr Schwerpunkt lag auf physischen Produkten wie Konsumgütern, Maschinen und Arzneimitteln.
Die Haftung wurde Herstellern, Importeuren und Händlern innerhalb der EU zugewiesen.
1999: Umsetzungsfrist für die Mitgliedstaaten:
Bis 1999 mussten alle EU-Länder ihre nationalen Gesetze an die Produkthaftungsrichtlinie anpassen, um einen einheitlichen Ansatz bei der Produkthaftung zu gewährleisten.
Frühe Herausforderungen:
Gerichte standen vor Schwierigkeiten bei der Auslegung der Richtlinie in Fällen, die immaterielle Güter wie Software betrafen, die im ursprünglichen Text nicht ausdrücklich abgedeckt waren.
Digitale Wirtschaft erzeugt Reformdruck (2000er Jahre):
Der Aufstieg softwaregesteuerter Produkte, von IoT-Geräten und KI-Systemen legte Lücken im Geltungsbereich der Richtlinie offen. Aufsehenerregende Vorfälle mit fehlerhafter Software und Cybersicherheitsverletzungen machten die Notwendigkeit einer Modernisierung deutlich.
Reform und Modernisierung (2020er Jahre):
Als Reaktion auf den rasanten technologischen Fortschritt schlug die Europäische Kommission Aktualisierungen der Produkthaftungsrichtlinie vor. Diese Überarbeitungen zielen darauf ab, digitale Produkte, Dienstleistungen und aufstrebende Technologien wie KI und autonome Systeme explizit einzubeziehen.
Die aktualisierte Produkthaftungsrichtlinie, die im Oktober 2024 verabschiedet wurde, unterstreicht das Engagement der EU, den Risiken in der digitalen Wirtschaft zu begegnen, und bleibt gleichzeitig ihrer Kernaufgabe treu: die Gewährleistung eines fairen Schadensersatzes für Verbraucher, die durch fehlerhafte Produkte geschädigt wurden.
Betroffene Entitäten
Die PLD betrifft ein breites Spektrum an Stakeholdern, darunter:
Hersteller
Unternehmen, die Waren oder softwarebasierte Produkte herstellen, die innerhalb der EU vermarktet werden, stehen im Hauptfokus. Dazu gehören sowohl traditionelle physische Produkte als auch digitale Komponenten, wie in Medizinprodukte, Fahrzeuge oder Unterhaltungselektronik eingebettete Software.
Importeure und Händler
Akteure, die Produkte in die EU einführen oder vertreiben, haften, wenn der Hersteller des Produkts seinen Sitz außerhalb der EU hat oder nicht identifizierbar ist. Importeure müssen bei Geschäften mit Nicht-EU-Herstellern die Einhaltung der Richtlinie sicherstellen.
Wiederverkäufer, Bevollmächtigte und Online-Plattformen für digitale Produkte
Die aktualisierte Richtlinie gilt zunehmend für Wiederverkäufer, Bevollmächtigte, Fulfillment-Dienstleister und Online-Plattformen, wenn das Produkt von einem Nicht-EU-Hersteller stammt. Online-Marktplätze sind jedoch von der Haftung ausgenommen, es sei denn, sie handeln in einer Weise, die einen durchschnittlichen Kunden glauben lässt, sie seien der Hersteller oder Lieferant des Produkts.
Unternehmen, die KI und neue Technologien nutzen
KI-gestützte Plattformen, autonome Systeme und andere bahnbrechende Technologien müssen strenge Sicherheits- und Transparenzanforderungen erfüllen. Die Haftung erstreckt sich auch auf Probleme wie algorithmische Verzerrung (Algorithmic Bias), Missbrauch von Daten oder unvorhergesehenes Verhalten von KI-Systemen.
Diese Änderungen sollen gewährleisten, dass es unabhängig von der Herkunft des Produkts immer ein in der EU ansässiges Unternehmen gibt, das für Schäden haftet, die durch ein fehlerhaftes Produkt, einschließlich digitaler Produkte, verursacht werden.
Bedeutung von PLD
Erweiterter Anwendungsbereich
Die PLD umfasst nun explizit Software, digitale Dienste und neue Technologien, darunter:
Betriebssysteme
Firmware
Eigenständige Software (Standalone Software)
Software as a Service (SaaS)
Vernetzte Geräte – Internet of Things (IoT)
KI-gestützte Dienste (AISaaS)
KI-gestützte Geräte (AIIoT)
Kommerzialisierte Open-Source-Software
Gleichzeitig wurden die folgenden Bereiche vom Anwendungsbereich ausgeschlossen:
Digitale „Nicht-Herstellungs“-Dateien wie Text- oder Bilddateien
Quellcode
Nicht-kommerzialisierte Open-Source-Software
Aktualisierte Definition von Fehlern (Fehlerbegriff)
Die PLD weitet die Gefährdungshaftung auf Fehler aus, die auf Software-Updates, KI, maschinelles Lernen und mehr zurückzuführen sind. Darüber hinaus kann ein Produkt nun auch aufgrund von Cybersicherheitslücken als fehlerhaft eingestuft werden, einschließlich der Fälle, in denen der Hersteller notwendige Software-Updates zur Behebung dieser Probleme nicht bereitstellt. Dies gilt selbst dann, wenn die Sicherheitslücke von einem Dritten, beispielsweise einem Cyberkriminellen, ausgenutzt wird.
Erleichterte Beweislast
Zuvor machten die Anforderungen an die Beweislast mehr als 53 % der Ablehnungen von Ansprüchen aus. Die Aktualisierung der PLD reformiert dies, um es den Betroffenen zu erleichtern, ihre Ansprüche durchzusetzen, indem die Beweislast in bestimmten Fällen verschoben wird.
Insbesondere erlauben die aktualisierten Vorschriften die Vermutung eines Fehlers oder der Kausalität, wenn das Produkt nicht den relevanten EU-Produktsicherheitsstandards entspricht und wenn der Nachweis des Fehlers oder des Zusammenhangs zwischen Fehler und Schaden aufgrund der technischen oder wissenschaftlichen Komplexität des Produkts zu schwierig ist.
Strengere Compliance-Anforderungen
Unternehmen müssen solide Produktsicherheitsmechanismen nachweisen, eine detaillierte Dokumentation führen und für Transparenz in ihren Entwicklungsprozessen sorgen, insbesondere bei KI-Systemen.
Finanzielle Auswirkungen
Die Überarbeitung der PLD deckt nicht nur Sachschäden ab, sondern auch bestimmte medizinisch anerkannte Schäden wie psychische Beeinträchtigungen sowie die Zerstörung oder Beschädigung von Daten, was zu einer breiteren Anspruchsberechtigung führt. Daher kann die Nichteinhaltung erhebliche finanzielle Strafen, eine Zunahme von Rechtsstreitigkeiten und Reputationsschäden nach sich ziehen.
Verpflichtungen zum Risikomanagement
Die aktualisierte Richtlinie führt Regeln ein, die sowohl Kläger als auch Beklagte verpflichten, im Rahmen von Gerichtsverfahren notwendige und relevante Beweismittel offenzulegen, was dazu beiträgt, ein Ungleichgewicht beim Zugang zu Informationen auszugleichen.
Diese Änderung unterstreicht die Notwendigkeit für Akteure, die vollständige Einhaltung von Vorschriften sicherzustellen und über solide Prozesse zur Verwaltung von Dokumenten und der internen Kommunikation zu verfügen.
Die Produkthaftungsrichtlinie verstehen
Robuste Risikomanagement-Praktiken einführen
Implementieren Sie umfassende Qualitätssicherungsprozesse, regelmäßige Risikobewertungen und eine Marktüberwachung nach dem Inverkehrbringen auf Mängel, einschließlich Software-Schwachstellen.
Nutzen Sie SBOMs für Transparenz und Compliance
Eine Software-Stückliste (Software Bill of Materials, SBOM) bietet Einblick in die Softwarekomponenten eines Produkts und ermöglicht ein proaktives Schwachstellenmanagement. SBOMs können im Falle eines Haftungsanspruchs auch als Nachweis der gebotenen Sorgfalt dienen.
Cybersecurity Priorisieren
Gewährleisten Sie die Einhaltung von Standards wie ISO/IEC 18974:2023 (OpenChain Security Assurance Specification), um Risiken im Zusammenhang mit Software-Schwachstellen zu mindern. Dies kann nachweisen, dass angemessene Anstrengungen unternommen wurden, um sichere Produkte zu liefern.
Rechts- und Compliance-Experten einbinden
Arbeiten Sie mit Rechtsteams zusammen, um die Auswirkungen der Richtlinie auf Ihr spezifisches Produktportfolio zu interpretieren. Dies kann helfen, eine klare Haftungskette zu etablieren und potenzielle Streitigkeiten zu entschärfen.
In KI-Governance investieren
Richten Sie für Unternehmen, die KI einsetzen, Governance-Rahmenwerke ein, um algorithmische Transparenz, Datennutzungsrichtlinien und ethische Erwägungen zu adressieren und sicherzustellen, dass Systeme fair, sicher und geschützt sind.
Regulatorischen Updates immer einen Schritt voraus sein
Beobachten Sie die Entwicklungen bei den EU-Vorschriften und -Richtlinien, da sich die Gesetzeslage ständig weiterentwickelt. Eine aktive Beteiligung an Branchenverbänden und politischen Diskussionen kann frühzeitige Einblicke in Änderungen bieten.
Rolle der SBOM
Angesichts der Tatsache, dass sich die PLD auf Software und KI-Produkte erstreckt und Cybersicherheit zu einem zentralen Bestandteil des Verbraucherschutzes macht, wird die Software-Stückliste (Software Bill of Materials, SBOM) eine entscheidende Rolle dabei spielen, Unternehmen bei der Erfüllung dieser Anforderungen zu unterstützen.
Um die Anforderungen der PLD zu erfüllen, Verbraucherschäden zu begrenzen und sich gegen Klagen zu verteidigen, müssen Unternehmen auf Folgendes hinarbeiten:
Dokumentation der Softwarezusammensetzung, Schwachstellen und Ausnutzbarkeiten
Für Softwarehersteller dehnt die vorgeschlagene Produkthaftungsrichtlinie (PLD) die Haftung auf ausnutzbare Schwachstellen aus, die aus Open-Source- und Drittanbieterkomponenten stammen. Da moderne Anwendungen bei gängigen Funktionalitäten stark auf das Open-Source-Ökosystem angewiesen sind, muss die Wahl jeder einzelnen Open-Source-Komponente begründbar sein.
Durch die Nutzung von Software-Stücklisten (SBOM) zur Dokumentation der Zusammensetzung jeder Softwareversion und der damit verbundenen Schwachstellen können Unternehmen eine Routine zur Durchführung von Risikobewertungen etablieren. Diese Bewertungen können im Falle eines Rechtsstreits bei der Abwehr von Haftungsansprüchen von unschätzbarem Wert sein. Beispielsweise ist das umgehende Reagieren auf eine neu entdeckte ausnutzbare Schwachstelle, die Bereitstellung eines Patches und die Sicherstellung, dass dieser den Kunden zur Verfügung gestellt wird, die stärkste Verteidigung gegen Haftungsansprüche, die aus Schäden durch solche Schwachstellen resultieren.
Implementierung einer Überwachung von Softwareänderungen
Im Rahmen der PLD werden Softwareschwachstellen rechtlich als Fehler eingestuft, weshalb es von entscheidender Bedeutung ist, Aufzeichnungen über Patches und Abhilfemaßnahmen lückenlos zu pflegen. Dies ist besonders kritisch für Software, die in externen Umgebungen wie IoT-Geräten oder On-Premises-Lösungen bereitgestellt wird, da diese oft Gefahr laufen, bei Updates übersehen zu werden. Solche Szenarien bergen ein erhebliches Potenzial dafür, dass diese Systeme fälschlicherweise als Haftungsrisiko angesehen werden.
Durch die Einführung eines SBOM-Automatisierungsprogramms können Softwareentwickler die Dokumentation nahtlos in den SDLC integrieren und Softwareänderungen automatisch verfolgen, während sie den Entwicklungslebenszyklus und die Phasen danach durchlaufen. Durch den Vergleich des Softwarezustands zu jedem beliebigen Zeitpunkt sowie der neuesten Version wird es einfacher, sich auf die Abwehr unberechtigter Ansprüche vorzubereiten.
Förderung der Verbrauchertransparenz
Betrachtet man dies im Zusammenhang mit den Anforderungen des Cyber Resilience Act (CRA) zur Meldung von Schwachstellen, zur benutzerfreundlichen Offenlegung von Informationen, zur Kommunikation über das Ende der Lebensdauer bzw. des Supports und zur Sicherheitskennzeichnung, wird deutlich, dass digitale Produkte in eine Ära größerer Transparenz und Rechenschaftspflicht eintreten.
Die Nutzung von SBOMs, um diese Anforderungen direkt an Verbraucher und Kunden zu kommunizieren, ermöglicht es Unternehmen, sich von der Konkurrenz abzuheben und ihr Risiko potenzieller Rechtsstreitigkeiten zu verringern.
Verbesserung der Marktüberwachung nach dem Inverkehrbringen
Die Produkthaftung endet nicht mit der Herstellung des Produkts; sie erfordert eine kontinuierliche Überwachung auf nach der Veröffentlichung festgestellte Mängel. Eine SBOM mit eindeutigen Identifikatoren für jede Komponente bietet die effektivste Lösung für die systematische Nachverfolgung von Open-Source- und Drittanbieterkomponenten, aus denen sich das Endprodukt zusammensetzt, und macht eine Ad-hoc-Überwachung überflüssig.
Fazit
Die aktualisierte Produkthaftungsrichtlinie der Europu00e4ischen Union spiegelt die Realitu00e4ten einer digital ausgerichteten Wirtschaft und die mit aufstrebenden Technologien verbundenen Risiken wider. Unternehmen mu00fcssen Compliance nicht nur als regulatorische Anforderung, sondern als strategische Notwendigkeit betrachten, um Vertrauen und Widerstandsfu00e4higkeit aufzubauen. Durch die Einfu00fchrung proaktiver Mau00dfnahmen wie die Implementierung von SBOMs, robuste Cybersicherheitspraktiken und ein umfassendes Risikomanagement ku00f6nnen Organisationen die Herausforderungen der Richtlinie bewu00e4ltigen und sie in Mu00f6glichkeiten fu00fcr Innovation und Wachstum umwandeln.
Wenn Sie nach Tools suchen, die die Einhaltung von EU-Vorschriften, einschlieu00dflich SBOM-Management und Schwachstellenverfolgung, vereinfachen, bietet Interlynk Lu00f6sungen, die fu00fcr Transparenz und Sicherheit sorgen und gleichzeitig die Compliance-Prozesse optimieren. Kontaktieren Sie uns, um zu erfahren, wie wir Ihnen helfen ku00f6nnen, immer einen Schritt voraus zu sein.