Die Europäische Union steht vor der Finalisierung einer Novelle zur Produkthaftung in Europa, die erstmals auch Software-Hersteller in die Produkthaftung einbezieht. Zum aktuell verhandelten Stand der Novelle haben wir Alexandra Ciarnau, spezialisierte Rechtsanwältin aus Wien, zum Gespräch gebeten, vor allem um Unsicherheiten zu klären, die der aktuelle Entwurf für Software-Hersteller bringt.
xBN: Die neue Produkthaftungsrichtlinie der EU umfasst erstmals auch Softwareprodukte. Was müssen Unternehmen wissen und vorbereiten?
Alexandra Ciarnau: Die geplante Ausweitung der Produktdefinition ist eine der Kernneuerungen der Produkthaftungsnovelle. Aktuell ist reine Software nicht als Produkt im Sinne des Produkthaftungsgesetzes (“PHG”) zu qualifizieren. Werden z.B. über eine Finanz-App aufgrund eines Softwarefehlers heikle Informationen veröffentlicht, ist ein daraus resultierender Schaden nicht verschuldensunabhängig zu ersetzen. Gerät hingegen der Staubsaugerroboter aufgrund eines Softwarefehlers bei der ersten Nutzung in Brand und beschädigt den Teppich, ist dieser Schaden aufgrund der Hardwaresteuerung nach der österreichischen Rechtsprechung jetzt schon vom PHG erfasst. Das wird allerdings nicht zwingend in allen EU-Mitgliedstaaten gleich beurteilt. Durch die Ausweitung der Definition auf Software und digitale Produkte wird diese Gesetzeslücke geschlossen.
Daneben sieht die Novelle aber noch weitere Neuerungen zur Stärkung der Verbraucherinteressen vor:
- Der Schadensbegriff wird auf Datenverluste und immaterielle Schäden, einschließlich medizinisch anerkannter Schäden an der psychischen Gesundheit ausgedehnt.
- Geschädigte können zukünftig ihre Ansprüche sowohl gegen den Hersteller eines Produkts als auch gegen den einzelnen Hersteller integrierter Komponenten geltend machen. Haben die Hersteller ihren Sitz außerhalb der EU, sollen für Fehler der Importeur oder der zu benennende Vertreter für die EU einstehen.
- Weiters wird der Produktfehler neu gefasst und berücksichtigt neue Technologien, wie etwa Künstliche Intelligenz. Die Bestimmungen des AI Act gelten z.B. als obligatorische Sicherheitsanforderungen. Eine Verletzung begründet somit zukünftig eine verschuldensunabhängige Gefährdungshaftung.
- Um auch in diesem Kontext die Informationsasymmetrie zwischen Geschädigten und Hersteller auszugleichen, sollen Kläger außerdem erleichterten Zugang zu Beweismitteln haben. Warum eine Software fehlerhaft ist, ist für einen Dritten schließlich schwer nachweisbar.
- Die Verjährung von Haftungsansprüchen soll in Ausnahmefällen von 10 auf 25 Jahre ausgeweitet werden, wenn sich die Nachteile erste verzögert manifestieren.
Für Unternehmen ist das insofern kritisch, als dadurch eine neues Haftungsrisiko für die Vermarktung von reiner Software geschaffen wird. Das trifft nicht nur Hersteller, sondern auch Importeure, Händler und Marktplätze. In Vorbereitung auf die Produkthaftungsnovelle sind Unternehmen gut beraten:
- ihre Verträge mit Lieferanten und Abnehmern in puncto Leistungspflichten und Haftung nachzujustieren;
- valide Instruktionen für die Nutzung von Software mitzugeben;
- Software nur unter Einhaltung der gesetzlichen, vertraglich vereinbarten und demnach erwartbaren Anforderungen zu vertreiben,
- die Erwartungshaltung der Verbraucher auch über Werbeaussagen richtig zu schnüren und im Marketing sensibler zu sein;
- sich entsprechend zu versichern;
- ihre Dokumentationspflichten nachzuschärfen und Löschfristen angesichts der Verjährungsverlängerung auf 25 Jahre zu hinterfragen.
xBN: Wann ist mit einem Beschluss, mit dem Inkrafttreten und der Umsetzung in den Mitgliedsstaaten zu rechnen?
Alexandra Ciarnau: Nachdem die Vorbereitungen zur Anpassung des Haftungsregimes Hand in Hand mit dem AI Act gehen und seit Mitte Dezember 2023 bereits eine vorläufige politische Einigung zwischen EU Parlament, Rat und Kommission besteht, rechne ich mit einer Verabschiedung der Richtlinie noch im Frühjahr diesen Jahres. Die Produkthaftungsrichtlinie muss dann binnen 24 Monaten von den Mitgliedsstaaten ins nationale Recht umgesetzt werden.
xBN: Im aktuellen Entwurf ist vorgesehen, dass Software-Hersteller auch ohne direkte vertragliche Beziehung zum Geschädigten in Anspruch genommen werden können (also für Schäden haften). Ein völliges Novum, insbesondere auch deshalb, weil die Beweislast dafür auf die Softwarehersteller fällt. Insbesondere bei KMU oder EPU könnte eine ungerechtfertigte Klage das Unternehmen in die Insolvenz oder den Konkurs treiben. Wie können sich Hersteller am besten vorbereiten?
Alexandra Ciarnau: Die neuen Bestimmungen wirbeln auch die Positionen und Ansprüche in einem Verfahren etwas auf. Das war auch die Intention der Kommission, um die Verbraucherinteressen zu stärken. Die Beweislast in einem Prozess trägt nämlich immer der Kläger. Allerdings ist es verständlich, dass der Verbraucher z.B. bei einem erlittenen Schaden aufgrund eines fehlerhaften Algorithmus schwer nachweisen kann, dass tatsächlich die Software des Unternehmers fehlerhaft und dafür kausal war. Diese Informationsasymmetrie soll durch den Offenlegungsanspruch auf Beweismitteln ausgeglichen werden. Der Verbraucher muss daher zunächst einen Antrag stellen und plausibilisieren, dass die Software für den Schaden ursächlich war. Das Unternehmen kann dann dagegen Einwände erheben. Diese werden dann vom Gericht geprüft. Letztlich entscheidet das Gericht darüber, ob Beweismittel herauszugeben sind. Daher ist wichtig, dass Unternehmen in einem Prozess ausreichend dokumentiert sind und insbesondere dem Offenlegungsanspruch Betriebs- und Geschäftsgeheimnisse entgegenhalten können.
xBN: Die Offenlegungspflichten im Falle einer Klage betreffen typischerweise genau das, wovon ein Software-Unternehmen lebt, den Source Code. Was bedeutet das und was raten Sie Software-Herstellern – vor allem jenen im KMU und EPU Umfeld, die sich schützen wollen?
Alexandra Ciarnau: Um sich auf das Vorliegen von Betriebs- und Geschäftsgeheimnissen stützen und so eine Offenlegung abwenden zu können, müssen Source Code, begleitende Softwaredokumentationen sowie Algorithmen tatsächlich streng geschützt sein. Es müssen daher technische und organisatorische Maßnahmen zum Geheimnisschutz getroffen werden. Dazu zählen z.B.
- Klassifizierung und Kennzeichnung von geheimen Informationen;
- beschränkter Zugriff im Unternehmen nach dem need-to-know-Prinzip;
- Abschluss von Vertraulichkeitsvereinbarungen (NDA) mit Mitarbeitern und sonstigen Dritten, die Zugang zu den Systemen haben;
- Umsetzung angemessener technischer Maßnahmen zum Schutz der Informationen, insbesondere vor einem Data Leakage, durch Backup, Logging bei Zugriff auf Software etc.
Nur durch die tatsächliche Behandlung der Software als Betriebs- und Geschäftsgeheimnis, kann ein Abfluss von Unternehmensassets verhindert werden.
xBN: Vielen Dank für das interessante und lehrreiche Gespräch.
Mag. Alexandra Ciarnau ist Rechtsanwältin IT/IP/Datenschutz und Co-Head der Digital Industries Group und Head of Metaverse bei DORDA Rechtsanwälte, Wien