Produkthaftung und Produktsicherheit in der Industrie 4.0

 I. Einleitung

Ursprünglich bezeichnete der Begriff der Industrie 4.0 nur die Veränderungen, die mit einer umfassenden Digitalisierung des Produktionsprozesses zusammenhingen. Inzwischen hat sich »4.0« jedoch zu einem Sammelbegriff für vernetzte, autonome und sonstige »smarte« Produkte entwickelt. Die Folgen dieser tiefgreifenden technischen Veränderungen betreffen dabei den gesamten Produktlebenszyklus. Hersteller müssen sich notwendigerweise mit den Auswirkungen dieser Veränderungen auf Sicherheitsanforderungen und daraus resultierenden Haftungsrisiken auseinandersetzen. Dies betrifft insbesondere mögliche Cyberrisiken, die Bereitstellung von Updates sowie die Produktbeobachtungspflichten.

Diese neuen Anforderungen haben zuletzt auch Eingang in die Ausgestaltung neuer Vorschriften gefunden. Dies soll im Folgenden am Beispiel von zwei besonders relevanten Produktkategorien dargestellt werden: vernetzten Verbraucherprodukten (II.) und vernetzten Fahrzeugen (III.). Dass diese Regelungen lediglich beispielhaft sind, da sich die Folgen der Digitalisierung absehbar nicht mehr auf einzelne Produktkategorien eingrenzen lassen werden, bestätigt die aktuelle Revision des Produktsicherheits- und Haftungsrechts, die die Europäische Kommission im Zuge ihrer Digitalstrategie angestoßen hat (IV.).

II. Produkthaftung und IoT-Verbraucherprodukte

Das »Internet der Dinge« (»IoT«) ist in aller Munde. Die Verzahnung von Hard- und Software in vernetzten Produkten bietet Verbrauchern viele Vorteile. Man denke nur an den vernetzten Saugroboter, der bequem aus dem Büro angesteuert werden kann. Sie stellt für Hersteller aber auch eine haftungs- und produktsicherheitsrechtliche Herausforderung dar. Denn die Verbindung des Produkts mit den dazugehörigen zugehörigen Diensten im Internet führt zu neuen Angriffsflächen für Cyberangriffe. Dabei geht es zunehmend nicht nur um den unbefugten Zugriff auf Daten, sondern immer öfter auch um die Beeinträchtigung oder Beeinflussung der Funktionsfähigkeit bis hin zur vollständigen Zerstörung von Produkten.¹ Insbesondere bei Medizinprodukten und bei vernetzten Fahrzeugen können in solchen Fällen Gefahren für Leben und Gesundheit entstehen. Hersteller von IoT-Produkten müssen daher die allgemeinen Produkthaftungs- und Produktsicherheitsvorschriften beachten. Nach § 3 Abs. 2 Produktsicherheitsgesetz (»ProdSG«) darf ein Produkt grundsätzlich nur dann auf dem Markt bereitgestellt werden, wenn es »bei bestimmungsgemäßer oder vorhersehbarer Verwendung die Sicherheit und Gesundheit von Personen nicht gefährdet«. Abzustellen ist dabei nach der Rechtsprechung objektiv darauf, ob ein Produkt diejenige Sicherheit bietet, die die in dem entsprechenden Bereich herrschende Verkehrsauffassung für erforderlich hält.² Auch nach der deliktsrechtlichen Produzentenhaftung gem. § 823 Abs. 1 BGB bzw. nach § 1 Abs. 1 Produkthaftungsgesetz (»ProdHaftG«) haftet der Hersteller grundsätzlich für Rechtsgutverletzungen, die in Folge von Produktfehlern auftreten. Auch der deliktsrechtliche Produkthaftungsmaßstab orientiert sich an den Sicherungsmaßnahmen, die dem Hersteller nach dem Stand der Wissenschaft und Technik zum Zeitpunkt des Inverkehrbringens möglich und zumutbar sind.³ Entsprechend stellt sich die Frage, welche Standards der Hersteller gewährleisten muss.

Die allgemeinen Sicherheitsanforderungen an vernetzte Produkte sind bislang allerdings nicht in Spezialgesetzen konkretisiert. Das ist im Produktrecht keine Besonderheit: Die Ausarbeitung von technischen Anforderungen an Produkte wird überwiegend privat organisierten nationalen (z.B. DIN) oder europäischen (z.B. ETSI) Normungsinstituten überlassen. ⁴ Solche technischen Normen und Spezifikationen sind zwar grundsätzlich nicht verbindlich für Hersteller, können aber gem. §§ 4 und 5 ProdSG Vermutungswirkung für eine bestehende Produktsicherheit entfalten bzw. von Behörden und Gerichten als objektiver Maßstab für die Beurteilung der Produktsicherheit herangezogen werden. Auch können technische Normen und Spezifikationen herangezogen werden,
um zu beurteilen, ob ein Produkt fehlerfrei im Sinne des Produkthaftungsrechts ist. 

Die Beachtung technischer Normen und Spezifikationen führt dabei zwar nicht automatisch zur Annahme der Produktsicherheit bzw. der Fehlerfreiheit der Produkte.⁵ Maßgeblich ist vielmehr der aktuelle Stand. So hat etwa der Bundesgerichtshof ausdrücklich klargestellt, dass DIN-Normen hinter den anerkannten Regeln der Technik zurückbleiben können.⁶ Dennoch haben technische Normen und Spezifikationen in der Praxis auch aufgrund der Vermutungswirkung gem. §§ 4 und 5 ProdSG eine große Relevanz.⁷ Die Nichteinhaltung technischer Normen und Spezifikationen kann zu Nachfragen von Behörden sowie Gerichten führen. Wenn ein Produkt daher technische Normen oder Spezifikationen nicht einhält, sollten Hersteller darauf vorbereitet sein, erklären zu können, welche gleich geeigneten Alternativmaßnahmen zur Gewährleistung der Produktsicherheit getroffen wurden.

Vor diesem Hintergrund bietet eine Reihe von technischen Standards eine Hilfestellung, die in jüngerer Zeit veröffentlicht worden sind und die Sicherheit von bestimmten IoTProdukten betreffen. Besonders hervorzuheben ist dabei der am 30.06.2020 veröffentlichte europäische Standard ETSI EN 303 6458 für die Sicherheit von IoT-Verbraucherprodukten, der unter anderem auf der Vorgängernorm ETSI TS 103 645 und der deutschen Norm DIN 27072 aufbaut.9 Der Standard ETSI EN 303 645 führt dabei in einer nicht abschließenden Liste unter anderem vernetzte Kinderspielzeuge, Smart TVs, Smart Haushaltsgeräte und Smart Home Assistants als Beispiele für vernetzte IoT-Verbraucherprodukte auf. Der Standard enthält einen Katalog von obligatorischen und optionalen Mindestanforderungen an die Sicherheit von IoT-Verbraucherprodukten nach dem Grundprinzip »Security by Design«. 

Danach treffen Hersteller unter anderem Konstruktions- (z.B. Produktserien nicht mit identischen Standardpasswörtern auszuliefern) und Beobachtungspflichten (z.B. Implementierung eines Systems zur Verwaltung von Berichten über Schwachstellen und Software). Zudem enthält der Standard ETSI EN 303 645 umfangreiche Empfehlungen für Software- Updates von IoT-Produkten. 

Dies entspricht auch gesetzlichen Produkthaftungs- und Produktsicherheitspflichten. Auch nach der deliktsrechtlichen Rechtsprechung treffen Hersteller nicht nur Konstruktions- und Instruktionspflichten. Hersteller sind nach ständiger Rechtsprechung grundsätzlich auch zur Produktbeobachtung (oder auch »Monitoring«) nach Markteinführung verpflichtet.¹⁰ Hersteller sind danach nicht nur verpflichtet, Produktbeschwerden oder Gefahrhinweise entgegenzunehmen, sondern auch sich selbst über mögliche Gefahrenlagen im Zusammenhang mit ihren Produkten zu informieren und zu reagieren. Diese Pflicht kann nach der Rechtsprechung des Bundesgerichtshofs unter Umständen sogar die Beobachtung etwaiger Wechselwirkungen mit Zubehörprodukten von Drittherstellern umfassen.¹¹ 

Für Hersteller von IoT-Produkten dürften aufgrund der dynamischen Gefahrensituation im Zusammenhang mit Cyberrisiken Produktbeobachtungspflichten besonders relevant sein. IoT-Produkte bieten Herstellern eine erweiterte Palette an Produktbeobachtungs- und vor allem Reaktionsmöglichkeiten. So können in die Software des IoT-Produkts freiwillige und/oder sogar verbindliche Reportingsysteme integriert werden (sog. »integrierte Produktbeobachtung«), mit denen Nutzer aufgetretene Probleme nach Einwilligung in die Datenübertragung direkt an die Hersteller melden können.

Reaktionspflichten können für Hersteller auch dann entstehen, wenn neue IT-Sicherheitslücken bekannt werden, die zu Angriffsflächen für mögliche Cyberangriffe werden könnten. Traditionell bieten sich dem Hersteller beim Bekanntwerden von Produktgefahren im Markt – je nach Schwere der erkannten Gefahr – grundsätzlich zwei Reaktionsmöglichkeiten: die Warnung und der Rückruf. Bei vernetzten Produkten könnten Sicherheitsupdates als dritte Option in Betracht kommen. Über diese kann der Hersteller gegebenenfalls die sichere Funktion seiner Produkte im Markt ohne aufwändigen Rückruf wiederherstellen.¹²

Rechtlich ist bisher ungeklärt, ob ein Hersteller mit der Bereitstellung von Updates seinen Gefahrabwendungspflichten nachkommen oder gar zur Bereitstellung verpflichtet werden kann.¹³ Praktisch dürften Gerichte und Behörden gegen die freiwillige Bereitstellung von Updates wenig Einwände haben, wenn eine ausreichende Abdeckung der im Feld befindlichen Produkte und insgesamt eine effektive Gefahrbeseitigung erreicht werden kann. Bei der Beurteilung einer »Updatepflicht« wird vor allem zu beachten sein, ob die Maßnahmen für den Hersteller wirtschaftlich zumutbar sind und über welchen Zeitraum der Hersteller zur Produktbeobachtung und gegebenenfalls zur Bereitstellung von Updates verpflichtet sein soll.

III. Neue Sicherheitsstandards für vernetzte Fahrzeuge

Eine eigene Kategorie von IoT-Produkten mit spezifischen Risiken für Leben und Gesundheit sind vernetzte Fahrzeuge im Straßenverkehr. Im Automobilbereich sind softwaregestützte Funktionen, insbesondere zur Automatisierung des Fahrens, zunehmend wichtig für Verbraucher und Hersteller. Der Gesetzgeber hat auf diese technische Entwicklung reagiert und das Straßenverkehrsgesetz bereits 2017 mit dem 8. StVGÄndG im Hinblick auf automatisierte Fahrzeuge angepasst.¹⁴ Dabei hat der Gesetzgeber unter anderem in § 1a Abs. 2 StVG Vorgaben für den Funktionsumfang von hoch- und vollautomatisierten Fahrzeugen in das Gesetz aufgenommen. So müssen hoch- oder vollautomatisierte Fahrzeuge nach dem StVG bspw. jederzeit durch den Fahrzeugführer manuell übersteuerbar sein (§ 1a Abs. 2 Nr. 3 StVG) und/oder über eine Warnfunktion bei einer erforderlichen Übernahme der Eigensteuerung durch den Fahrzeugführer verfügen (§ 1a Abs. 2 Nr. 5 StVG).

Werden Fahrzeuge als hoch- oder vollautomatisiert in den Verkehr gebracht, kann § 1a Abs. 2 StVG daher als Maßstab für die nach der allgemeinen Sicherheitserwartung erforderlichen Funktionen – und somit zur Bestimmung der Konstruktionspflichten des Herstellers – herangezogen werden.¹⁵ Gleichzeitig lässt § 1a Abs. 1 StVG den Betrieb von hoch- und vollautomatisierten Fahrzeugen im Straßenverkehr nur dann zu, wenn ihre Automatisierungsfunktion »bestimmungsgemäß « verwendet wird. Ob eine bestimmungsgemäße Verwendung vorliegt, richtet sich regelmäßig nach den Verwendungsvorgaben des Herstellers, die wiederum bei der Ermittlung der berechtigten Sicherheitserwartung an das Fahrzeug zu berücksichtigen sind.¹⁶

Auch abseits von hoch- und vollautomatisierten Fahrzeugen verfügen Autos und andere Straßenfahrzeuge heute typischerweise über eine Vielzahl elektronischer und vernetzter Komponenten. Umso dringender stellen sich daher Fragen zur Haftung für etwaige Schäden, die durch Cyberattacken auf Fahrzeuge hervorgerufen werden.¹⁷ Kommt es infolge einer solchen Attacke zu Personen- oder Sachschäden, könnte – je nach Einzelfall – unter Umständen auch eine gewisse Haftung des Herstellers nach dem Produkthaftungsgesetz im Raum stehen, falls Fahrzeuge oder ihre Komponenten unzureichend gegen solche Cyberattacken geschützt waren. Auch hier sprechen gute Argumente dafür, den aktuellen Stand der Technik und die berechtigte Sicherheitserwartung zur Bestimmung des Umfangs der Verkehrssicherungspflichten des Herstellers anzulegen.

Die Wirtschaftskommission der Vereinten Nationen für Europa (United Nations Economic Commission for Europe, »UNECE«) hat diese Entwicklungen aufgegriffen und im Juni 2020 mit den UNECE WP.29/2020/79 und UNECE WP.29/2020/80 zwei Regelungen zur Cybersicherheit von Fahrzeugen verabschiedet.¹⁸ Diese Regelungen sollen bereits im Januar 2021 in Kraft treten und zeitnah in das Typgenehmigungsrecht der UNECE-Mitgliedstaaten umgesetzt werden. Auf dem Gebiet der Europäischen Union sollen die Regelungen der UNECE WP.29/2020/79 ab Juli 2022 für die Erteilung neuer Typgenehmigungen gelten. Bei ab Juli 2024 produzierten Fahrzeugen sollen die Regelungen auch für die Erstzulassung verbindlich sein.¹⁹

Die Regelung UNECE/TRANS/WP.29/2020/79²⁰ »über einheitliche Bedingungen für die Genehmigung von Fahrzeugen hinsichtlich der Cybersicherheit und des Cybersicherheitsmanagementsystems « schafft den Rahmen für die Berücksichtigung von Cybersicherheitsrisiken im gesamten Produktionsprozess und die Einrichtung eines sog. Cybersicherheitsmanagementsystems auf Seiten des Herstellers. Der Grundsatz des »Security by Design« wurde damit auch im Typgenehmigungsrecht verankert: Sicherheitsmaßnahmen und Risikofaktoren sollten bereits im Software- und Fahrzeugdesign berücksichtigt werden und durch fortgesetzte Risikoanalyse auf ihre Wirksamkeit überprüft werden. Die Einrichtung des Cybersicherheitsmanagementsystems ist im Typgenehmigungsverfahren nachzuweisen; außerdem müssen Hersteller auch auf das Bekanntwerden von neuen Cybersicherheitsbedrohungen reagieren.

Um einen dauernden Sicherheitsstandard zu gewährleisten, enthält die Regelung UNECE/TRANS/WP.29/2020/80²¹ »über einheitliche Bedingungen für die Genehmigung von Kraftfahrzeugen hinsichtlich der Softwareaktualisierung und des Softwareaktualisierungsmanagementsystems« umfangreiche Bestimmungen im Hinblick auf die Gestaltung und Bereitstellung von Updates durch den Hersteller. Diese Regelung stellt unter anderem Anforderungen an sog. »Over-the-Air-Updates« der Fahrzeugsoftware im Feld, deren Einhaltung im Typgenehmigungsverfahren nachzuweisen ist. Dazu gehört bspw., dass Updates nur vorgenommen werden dürfen, wenn dafür genug Energie vorhanden ist, oder dass das Fehlschlagen eines Updates nicht zum Ausfall des Fahrzeugs führen darf.

Insgesamt enthalten die UNECE/TRANS/WP.29/2020/79 und die UNECE/TRANS/WP.29/2020/80 vor allem Anforderungen für die Erteilung einer Typgenehmigung und an den Entwicklungsprozess, sparen aber konkrete Maßnahmen und deren technische Umsetzung weitgehend aus.²² Bei der konkreten (technischen) Umsetzung der Regelungen in der Praxis – also durch Hersteller und/oder Zulieferer zur Erreichung des Stands der Technik – wird voraussichtlich der derzeit von der ISO entwickelte und für spätestens 2021 angekündigte technische Standard ISO/SAE DIS 21434 »Road
Vehicles – Cybersecurity Engineering«²³ eine große Rolle spielen. Dieser Standard soll die Anforderungen an Cybersicherheitsmaßnahmen bei der Fahrzeugentwicklung weiter konkretisieren und eine einheitliche Terminologie in Bezug auf die Cybersicherheit bei Fahrzeugen schaffen. Allerdings soll auch dieser Standard keine spezifischen Technologielösungen vorschreiben, sodass den Herstellern voraussichtlich ein breiter Gestaltungspielraum für die Umsetzung der Sicherheitsanforderungen bleiben wird.

Es ist damit zu rechnen, dass mit diesen Initiativen die Cybersicherheit von vernetzten Fahrzeugen eine weiter wachsende Rolle bei der Entwicklung und Herstellung von Fahrzeugen spielen wird. Bisher fehlt es aber jedenfalls auch auf diesem Gebiet noch an Rechtsprechung und behördlichen Leitfäden, sodass Herstellern zu raten ist, sich bei der Konstruktion von Fahrzeugen möglichst eng am aktuellen Stand der Technik zu orientieren und möglichst frühzeitig mit der Umsetzung der neuen UNECE-Regelungen zu beginnen.²⁴

IV. Revision der Produktsicherheits- und Haftungsgesetze

Unabhängig von spezifischen Produktkategorien hat die EUKommission Anfang 2020 mit ihrem Bericht über die Auswirkungen künstlicher Intelligenz, des Internets der Dinge und der Robotik im Hinblick auf Sicherheit und Haftung einen Revisionsprozess der Produktsicherheits- und Produkthaftungsvorschriften angestoßen.²⁵ Zusammen mit dem Weißbuch zur künstlichen Intelligenz und der Datenstrategie der Europäischen Union ist dieser Bericht Teil der Digitalstrategie der Europäischen Kommission.

Diese Strategie soll »wissenschaftliche Durchbrüche […] ermöglichen, [um] die Technologieführerschaft der EU zu wahren«. Zur Erreichung des Ziels, eine »weltweite Führungsrolle« in den Bereichen künstliche Intelligenz, Internet der Dinge und Robotik einzunehmen, soll ein klarer und transparenter Rechtsrahmen geschaffen werden.²⁶ Dazu hat die Europäische Kommission die durch Veränderungen der KI, IoT und Robotik veränderte Risikostruktur analysiert und überprüft, inwieweit der bestehende Rechtsrahmen des Produktsicherheits- und -haftungsrechts geeignet ist, um auf die veränderte Ausgangssituation zu reagieren, und inwieweit dieser gegebenenfalls angepasst werden müsste.

Die Kommission hat hierbei insbesondere die Konnektivität, Autonomie, Datenabhängigkeit und Opazität neuer Produkte als Kernherausforderungen für die Neugestaltung des Produktsicherheits- und -haftungsrechts identifiziert. So sei bei einem selbstlernenden Produkt die spätere Verwendung oder Funktionsweise möglicherweise zum Zeitpunkt des Inverkehrbringens noch nicht vorhersehbar. Eine bei Inverkehrbringen durchgeführte Risikobewertung könne sich daher später als lückenhaft erweisen.²⁷ Zudem könne eine Risikobewertung dadurch erschwert werden, dass der Entscheidungsprozess von KI-Systemen nicht immer vollständig nachvollziehbar sei. Diesem auch als »Opazität« bezeichneten »Black-Box-Effekt« müsse Rechnung getragen werden, insbesondere um das Vertrauen der Verbraucher sicherzustellen.²⁸

Vor diesem Hintergrund stellen sich grundlegende Fragen dahingehend, inwiefern die gegenwärtige Terminologie und das gegenwärtige Regelungssystem – etwa mit Blick auf die Zweckbestimmung und/oder das Inverkehrbringen – überhaupt noch auf Produkte mit KI-Funktionalitäten übertragbar sind. Welche Aussagekraft bleibt bspw. bei Konformitätserklärungen erhalten, wenn das Produkt nach »Inverkehrbringen « seine Zweckbestimmung ändert und/oder erweitert? Wie konkret kann der Hersteller in diesem Fall die Zweckbestimmung beim erstmaligen Inverkehrbringen überhaupt (noch) definieren? Kann ein Software-Update dazu führen, dass – rechtlich – ein neues Inverkehrbringen erfolgt, obwohl sich die physischen Eigenschaften sowie die Besitz- und/oder Eigentumsverhältnisse nicht geändert haben? Wird diejenige – juristische oder natürliche – Person, die das Software-Update veranlasst, zum neuen Hersteller/Inverkehrbringer?
Muss sogar ein neuerliches Konformitätsbewertungsverfahren erfolgen, für welches andere – unter Umständen strengere – Sicherheitsanforderungen gelten als beim ursprünglichen Inverkehrbringen? Und wie konkret wirken sich all diese Fragen auf die Produktbeobachtungspflichten des (ursprünglichen) Herstellers aus?

Im Zuge des von der EU-Kommission angestoßenen Konsultationsverfahrens haben zahlreiche Akteure aus Wirtschaft und Industrie öffentlich Stellung bezogen. Insbesondere eine mögliche Änderung von Fokus und Anwendungsbereich der Produktsicherheitsrichtlinie sorgt hierbei für Diskussionen.

Google warnt öffentlich bspw. ausdrücklich vor einer ausufernden Erweiterung des Sicherheitsbegriffs, der zu unbeabsichtigten Rechtsunsicherheiten führen könnte.²⁹ Am Beispiel einer RAPEX-Meldung aus dem Jahr 2019 – die auch Eingang in den Bericht der EU-Kommission gefunden hat – stellt Google die These auf, dass der Begriff der Sicherheit sich immer weiter vom Schutz der körperlichen Unversehrtheit vor direkten Produktgefahren (»Safety«) entferne. Insbesondere werde der Sicherheitsbegriff auf nicht-produktspezifische Gefahren ausgeweitet, wenn diese auf Cybersicherheits-Schwachstellen des Produkts beruhen (»Security«). Im konkreten Beispielfall geht es um eine »intelligente Armbanduhr für Kinder«, die – so die RAPEX-Meldung – unter Umständen unbefugten Dritten ermöglichte, Funktionen der Uhr zu steuern und Kontakt zu dem Kind aufzunehmen bzw. über die Uhr dessen Aufenthaltsort zu ermitteln. Die Kenntnis des Aufenthaltsortes könne seinerseits etwaigem (strafrechtlich relevanten) Fehlverhalten Vorschub leisten. Aus der RAPEXMeldung, so die These von Google, könne unter Umständen abgeleitet werden, dass Sicherheitsrisiken bereits dann durch Behörden angenommen wurden bzw. auch in Zukunft werden könnten, wenn unberechtigte Dritte durch Ausnutzung von Datensicherheits-Schwachstellen produktunabhängige Gefahren schaffen können. Google plädiert dafür, zukünftig derartige Fälle eines quasi mittelbaren Sicherheitsrisikos abschließend in spezifischen Rechtsakten zur Cybersicherheit  zu regeln.³⁰ Das Produktsicherheitsrecht hingegen solle auf unmittelbare Schadensrisiken durch das Produkt selbst beschränkt werden.

Die Europäische Kommission spricht in ihrem Bericht auch psychische Gesundheitsrisiken an. Aus Sicht der Kommission ist zu befürchten, dass eine weitere Intensivierung der Mensch-Maschinen-Interaktion (z.B. beim Einsatz humanoider KI-Roboter in der Pflege) insbesondere bei kranken oder alten Personen zu psychischen Gesundheitsrisiken führen kann. Solchen Risiken solle bereits auf der »originären« Produktsicherheits-Ebene vorgebeugt werden. Auch hierzu bezieht bspw. Google öffentlich Stellung und warnt vor einer ausufernden Ausweitung des Regelungsbereichs auf den
Schutz »weicher« und schwerer zu fassender Rechtsgüter wie z.B. der psychischen Gesundheit. Einige der Erwägungen der Kommission seien – so die Stellungnahme von Google – damit weniger produktsicherheitsrechtlicher Natur, sondern erschienen vielmehr ethischer Art. Sie bedürften daher eines intensiven gesellschaftlichen Diskurses, der mit einer bloßen Revision des Rechtsrahmens nicht zu leisten sei. Schließlich gehe es hier um nicht weniger als einen Paradigmenwechsel.

Der Europäische Automobilherstellerverband (Association des Constructeurs Européens d’Automobiles, »ACEA«) sieht in seiner öffentlichen Stellungnahme bspw. die Gefahr, dass nach derzeitiger Rechtslage immer wieder neue Typgenehmigungen erforderlich werden könnten – eine Rechtsfolge, die in der Praxis realitätsfremd und nicht umsetzbar erscheint: Bei der Entwicklung von autonomen Fahrsystemen könnte – hypothetisch – jede Aktualisierung/Verbesserung der System-Software eine neue Typgenehmigung erfordern.³¹ Diese Konsequenz dürfte jedoch die Weiterentwicklung solcher Systeme stark behindern, wenn nicht gar verhindern. Wie diese Themen praxisnah und rechtssicher für Hersteller adressiert werden könnten, ist den vorgestellten Plänen bislang nicht zu entnehmen.

Bei der Europäischen Kommission und den stellungnehmenden Wirtschaftsakteuren besteht jedenfalls in einer Sache weitgehende Einigkeit:
Die Marktüberwachungsmechanismen sollten neu geregelt werden. Signifikante Unterschiede in der Umsetzung bestehender Regeln durch die Mitgliedstaaten würden derzeit – so die überwiegende Meinung – eine effiziente Durchsetzung der europäischen Vorschriften behindern und bereits dadurch zu ungewollten Risiken für Verbraucher führen.³² Diverse Stellungnahmen schlagen daher vor, Marktüberwachungsmaßnahmen durch eine (unmittelbar geltende) Verordnung zu vereinheitlichen und ggf. sogar zusätzlich Umsetzungsrichtlinien zu veröffentlichen.

Der Vorgang befindet sich insgesamt noch in einem sehr frühen Stadium. Ein erster Entwurf einer neuen Produktsicherheitsrichtlinie wurde für das zweite Quartal 2021 angekündigt. Bereits die ersten Diskussionsbeiträge der EU-Kommission und verschiedener Wirtschaftsakteure zeigen aber, dass etwaige Veränderungen tiefgreifend sein und selbst Grundbegriffe wie die des »Produkts« oder des »Inverkehrbringens« nachhaltig verändern könnten.

V. Fazit

Die mit dem technischen Fortschritt verbundene zunehmende Verzahnung von Hard- und Software hat erhebliche Auswirkungen auf produktsicherheits- und produkthaftungsrechtliche Herstellerpflichten. Bereits in der Entwicklungs- und Herstellungsphase sollten Cyberrisiken identifiziert und entsprechende Sicherheitsmaßnahmen berücksichtigt werden, damit die Anforderungen an die Sicherheit von Erzeugnissen erfüllt und Haftungsrisiken minimiert werden können.

Angesichts der rasanten technischen Entwicklung stellt die Gewährleistung des erforderlichen Sicherheitsniveaus von vernetzten Produkten eine erhebliche Herausforderung für die Hersteller dar. Dies gilt für das Inverkehrbringen ebenso wie für die nachträgliche Veränderung von Produkten und damit verbundene Produktbeobachtungspflichten. Es fehlt bisher in vielen Fällen an belastbarer und umfassender Gesetzgebung oder Rechtsprechung zu den Erwartungen an die Herstellerpflichten. Orientierung bieten neue technische Standards wie der ETSI EN 303 645 für IoT-Verbraucherprodukte oder die neuen UNECE-Regelungen für Fahrzeuge. Es bleibt abzuwarten, inwiefern diese zumindest für eine gewisse Zeit als Best Practices auf dem Gebiet der Cybersicherheit anerkannt werden oder ob sich sogar in kurzer Zeit weitergehende Anforderungen durchsetzen könnten.

Zunehmende Bedeutung erlangt das Thema in Zukunft insbesondere auch in Bezug auf die Fahrzeugentwicklung und Typgenehmigungsaspekte. Hier werden in absehbarer Zeit kontinuierliche Risikoanalysen und Sicherungsmaßnahmen in Bezug auf Cyberrisiken für vernetzte Fahrzeuge für die meisten Hersteller erforderlich werden. Es ist sehr wahrscheinlich, dass auch andere Industriezweige dazu übergehen werden, die Minimierung von Cyberrisiken noch stärker in ihre Entwicklungs- und Produktionsprozesse einzubinden.

Das aktuelle öffentliche Konsultationsverfahren der Europäischen Kommission zeigt, dass der Gesetzgeber den Entwicklungen Rechnung tragen will. Gleichzeitig wird jedoch bereits im jetzigen – frühen – Stadium des Verfahrens erkennbar, dass noch viele Fragen ungeklärt sind, die Beteiligten durchaus sehr unterschiedliche Auffassungen vertreten und umfangreiche Diskussionen folgen dürften.