Am 10. Oktober hat der Rat der Europäischen Union die Entwürfe zur Verordnung über horizontale Cybersicherheitsanforderungen ("Cyber Resilience Act") sowie zur Richtlinie über die Haftung für fehlerhafte Produkte ("Produkthaftungs-Richtlinie 2.0") angenommen. Damit gibt es zwei weitere Rechtsakte zur Mitigierung der Risken der Digitalisierung: Während der Cyber Resilience Act mit umfangreichen Herstellerpflichten die Cybersicherheit von digitalen Produkten schon vor der Vermarktung gewährleisten soll, zielt die Neuauflage der Produkthaftungs-Richtlinie darauf ab, auch im digitalen Zeitalter verschuldensunabhängige Haftungsansprüche sicherzustellen, wenn es trotz Sicherheitsanforderungen an Produkte zu Schäden kommt.
Cyber Resilience Act
Der Cyber Resilience Act sieht bestimmte Sicherheitsanforderungen an Produkte schon für die frühe Phase der Konzeption und Entwicklung vor. Bereits hier sind von den Herstellern geeignete Maßnahmen zu treffen, um diese für die erwartete Nutzungsdauer zu gewährleisten. Die Verordnung gilt dabei für alle Produkte mit digitalen Elementen. Dies umfasst sowohl Software als auch vernetzte physische Gegenstände, die in der Lage sind, Daten zu verarbeiten. Das erfasst unter dem Stichwort "Internet of Things" zukünftig insbesondere an das Internet angeschlossene Fernsehgeräte, Kameras und Smart-Watches aber auch Kühlschränke oder Waschmaschinen.
Hauptträger der Pflichten sind vor allem die Hersteller solcher Produkte. Um eine durchgängige Anwendung der Bestimmungen auch bei ausländischen Waren sicher zu stellen, müssen aber zukünftig auch Importeure und Händler bestimmte Prüf- und Kontrollpflichten erfüllen. Damit greift der Cyber Resilience Act in der gesamten Lieferkette. Die neuen Sicherheitsanforderungen werden im Anhang der Verordnung aufgeschlüsselt und betreffen unter anderem die Sicherstellung der Datenintegrität, den Schutz vor fremdem Zugriff sowie die Minimierung der Verarbeitung von personenbezogenen Daten auf das absolut erforderliche Maß. Auch laufende Sicherheitsaktualisierungen müssen zukünftig verpflichtend durchgeführt werden.
Um die Erfüllung der Anforderungen sicherzustellen, wird für Produkte mit digitalen Elementen ein Konformitätsbewertungsverfahren und eine CE-Kennzeichnung vorausgesetzt. Die Verordnung führt gesondert wichtige und kritische Produkte mit digitalen Elementen an, für die verschärfte Anforderungen gelten werden. Vergleichbar zur Meldepflicht bei Datenschutzverstößen verpflichtet die Verordnung zukünftig den Hersteller, im Fall einer aktiv ausgenützten Schwachstelle eines Produkts, die zuständigen Behörden innerhalb von 24 Stunden zu informieren. Dafür wird eine Meldeplattform eingerichtet.
Werden die Pflichten des Cyber Resilience Acts verletzt, drohen zukünftig hohe Bußgelder. Zuständige Marktüberwachungsbehörden können Strafen von bis zu EUR 15 Millionen oder 2,5% des weltweiten Jahresumsatzes verhängen.
Produkthaftungs-Richtline 2.0
Mit der Neuauflage der Richtlinie aus 1985 soll die verschuldensunabhängige Produkthaftung nun im 21. Jahrhundert ankommen: Zukünftig haften Hersteller und weitere Wirtschaftsakteure auch für Schäden, die durch eine fehlerhafte Software verursacht werden. Ausdrücklich sind damit auch KI-Lösungen erfasst. Damit wird eine jahrzehntelange Streitfrage, ob Software ein Produkt im Sinne der alten Richtlinie ist, ausdrücklich klargestellt.
Zukünftig gilt ein Produkt auch dann als fehlerhaft, wenn es nicht den angemessenen Cybersicherheitsanforderungen entspricht. Für Hersteller von Produkten mit digitalen Diensten ist daher Compliance mit dem Cyber Resilience Act nicht bloß ein Schutz vor behördliche Strafen – auch das Risiko einer Schadenersatzzahlung nach der Produktsicherheits-Richtlinie kann damit reduziert werden.
Auch der Schadensbegriff wird durch die Richtlinie neu definiert: Mit Inkrafttreten der Bestimmungen ist nicht mehr bloß eine Verletzung der körperlichen Integrität oder die Beschädigung einer dritten, vom Produkt unabhängigen Sache erfasst. Auch die Beschädigung von Daten kann zu Ansprüchen führen. Die Richtlinie trägt damit der immer stärkeren wirtschaftlichen Bedeutung von Daten Rechnung. Hersteller müssen für Fehler ihrer Produkte inklusive Software und KI-Systeme verschuldensunabhängig einstehen. Kann ein vom Fehler Betroffener sein Schadenersatzbegehren plausibel darlegen, ist der Hersteller im Verfahren verpflichtet, relevante Beweismittel zur Fehlerhaftigkeit offenzulegen. Diese Pflicht kann insbesondere im Spannungsfeld zu Betriebs- und Geschäftsgeheimnissen, wie zB bei Source Code oder Algorithmus, zu diffizilen Abwägungsfragen führen.
Fazit & Ausblick
Beide Rechtsakte stehen nach der Zustimmung durch den Rat unmittelbar vor der Veröffentlichung im Amtsblatt der Europäischen Union und treten zwanzig Tage danach in Kraft. Der Cyber Resilience Act wird stufenweise ab dem 18. Monat nach dem Inkrafttreten unmittelbar anwendbar. Die neue Produkthaftungs-Richtlinie muss dagegen innerhalb von 24 Monaten nach dem Inkrafttreten von den Mitgliedsstaaten in nationales Recht umgesetzt werden.
Ihre Experten der DORDA Digital Industries Group hält Sie über alle weiteren Entwicklungen wie gewohnt auf dem Laufenden!