Produkthaftung für Software: Was die EU-Richtlinie 2024/2853 für dich bedeutet
Die EU hat die Produkthaftung auf Software ausgeweitet. Standalone-Apps, SaaS-Komponenten und KI-Systeme fallen unter die neue Richtlinie. Hier ist, was du wissen musst.
Frist: 09.12.2026
EU-Mitgliedstaaten müssen die Richtlinie bis dahin in nationales Recht umsetzen.
Was hat sich geändert?
Die alte Produkthaftungsrichtlinie von 1985 kannte Software nicht. Digitale Produkte existierten schlicht nicht. Die neue Richtlinie 2024/2853 ändert das grundlegend:
- Software ist ein Produkt. Standalone-Software, eingebettete Software und Apps fallen unter die Haftung.
- SaaS ist kompliziert. Rein browser-basierte Dienste gelten als Dienstleistung. Aber: Sobald Downloads (Apps, SDKs, Extensions) existieren, greift die Produkthaftung.
- KI ist erfasst. Machine-Learning-Systeme und autonome Entscheidungen gelten als potenzielle Fehlerquellen.
- Updates können haften. Automatische Updates, die das Produkt verschlechtern oder unsicher machen, begründen Haftung.
Wer haftet? Die 6-stufige Kaskade
Artikel 7 der Richtlinie definiert eine Rangfolge. Wer zuerst erreichbar und identifizierbar ist, haftet primär:
- Hersteller — Wer das Produkt entwickelt und in Verkehr bringt
- Bevollmächtigter — EU-Vertreter eines Nicht-EU-Herstellers
- Importeur — Wer das Produkt aus einem Drittland einführt
- Fulfillment-Dienstleister — Lagerung und Versand innerhalb der EU
- Händler — Verkäufer, der den Hersteller nicht benennen kann
- Online-Plattform — Marktplätze als letztes Glied
Das bedeutet: Als EU-basierter Softwarehersteller bist du in der Regel primär haftbar. Als Importeur oder Händler nur, wenn der Hersteller nicht greifbar ist.
Was ist ein Produktfehler bei Software?
Die Richtlinie definiert einen Fehler als Abweichung von der berechtigten Sicherheitserwartung. Bei Software kann das sein:
- Sicherheitslücken, die Datenverlust ermöglichen
- Unerwartetes Verhalten, das zu Schäden führt
- Fehlende Updates für bekannte Schwachstellen
- Irreführende Funktionalität oder Dokumentation
- KI-Entscheidungen, die nachweislich fehlerhaft sind
Welche Schäden sind erfasst?
Die neue Richtlinie erweitert die Schadensarten erheblich:
- Personenschäden — Tod, Körperverletzung
- Sachschäden — Zerstörung von Privateigentum
- Datenverlust — Neu: Zerstörung oder Verfälschung von Daten
- Psychische Schäden — Unter bestimmten Umständen
Die Haftungsobergrenze von 70 Millionen Euro aus der alten Richtlinie wurde gestrichen. Es gibt keine Deckelung mehr.
Beweislast: Was hat sich geändert?
Die größte praktische Änderung: Geschädigte müssen nicht mehr beweisen, welcher konkrete Fehler den Schaden verursacht hat.
Es reicht zu zeigen:
- Das Produkt war fehlerhaft (allgemein)
- Ein Schaden ist eingetreten
- Der Schaden wurde wahrscheinlich durch das Produkt verursacht
Der Hersteller muss dann im Rahmen der Disclosure-Pflicht offenlegen, ob und welcher Fehler vorlag. Das verschiebt die Beweislast erheblich.
Open-Source-Software: Bin ich betroffen?
Die Richtlinie erfasst Open-Source-Software, wenn sie im Rahmen einer wirtschaftlichen Tätigkeit verbreitet wird. Das bedeutet:
- Nicht betroffen: Hobbyist, der ein Projekt auf GitHub veröffentlicht
- Möglicherweise betroffen: Unternehmen, das ein Open-Source-Projekt pflegt und Support verkauft
- Betroffen: Unternehmen, das Open-Source-Komponenten in kommerzielle Produkte integriert
Die Grenzen sind fließend. Wer auf Nummer sicher gehen will, sollte seine Supply Chain dokumentieren und ggf. versichern.
Was solltest du jetzt tun?
Prüfliste für Software-Hersteller
- ☐ Produkthaftpflichtversicherung prüfen oder abschließen
- ☐ Technische Dokumentation erstellen oder aktualisieren
- ☐ Update-Policy definieren (Zeitrahmen, Kommunikation)
- ☐ Risikoanalyse durchführen
- ☐ Lieferketten-Dokumentation anlegen
- ☐ Bei Nicht-EU-Sitz: EU-Bevollmächtigten benennen
- ☐ Verträge mit Zulieferern prüfen (Haftungsklauseln)
Produkthaftung vs. Vertragshaftung
Ein häufiges Missverständnis: Die Produkthaftung ist unabhängig vom Vertrag. Du kannst sie nicht durch AGB ausschließen. Gegenüber Verbrauchern ist ein Haftungsausschluss unwirksam.
Im B2B-Bereich sind gewisse Einschränkungen möglich, aber die Kernhaftung für fehlerhafte Produkte bleibt bestehen. Die Produkthaftung ist eine gesetzliche Gefährdungshaftung, keine vertragliche Haftung.
Fristen und Verjährung
| Was | Frist |
|---|---|
| Umsetzung in nationales Recht | 09.12.2026 |
| Anspruchsverjährung (ab Kenntnis) | 3 Jahre |
| Absolute Verjährung (ab Inverkehrbringen) | 10 Jahre (15 bei latenten Schäden) |
| Update-Pflicht | Lebensdauer des Produkts |
Die AI Liability Directive (AILD) — was ist damit?
Die AI Liability Directive wurde im Oktober 2025 von der EU-Kommission zurückgezogen. KI-spezifische Haftung wird nun primär über die Produkthaftungsrichtlinie 2024/2853 und den AI Act geregelt.
Für KI-Systeme gelten die gleichen Regeln wie für andere Software — plus die zusätzlichen Anforderungen des AI Act je nach Risikokategorie.
Fazit
Die neue EU-Produkthaftungsrichtlinie ist kein Grund zur Panik, aber ein Grund zur Vorbereitung. Software-Hersteller sollten:
- Ihre Risikosituation verstehen
- Versicherungsschutz prüfen
- Dokumentation aufbauen
- Die Frist 09.12.2026 im Blick behalten
Jetzt prüfen
Mit dem kostenlosen Compliance-Checker findest du in 3 Minuten heraus, ob und wie du betroffen bist.
Zum Checker → Rechtsstand: EU 2024/2853 vom 08.12.2024
Hinweis: Dieser Artikel bietet eine strukturierte Übersicht und ersetzt keine individuelle Rechtsberatung.