Produkthaftung 2.0: Warum die EU-Richtlinie 2024/2853 zur Compliance-Zeitbombe für Unternehmen werden kann
Die neue EU-Produkthaftungsrichtlinie verändert das Verhältnis zwischen Innovation, Digitalisierung und Unternehmenshaftung grundlegend. Was bislang häufig als juristisches Randthema behandelt wurde, entwickelt sich nun zu einem zentralen Compliance-Thema für Geschäftsführung, IT, Produktentwicklung, Qualitätsmanagement und Cybersecurity.
Dabei liegt die eigentliche Sprengkraft nicht in der Tatsache, dass Unternehmen künftig stärker haften. Die eigentliche Herausforderung ist, dass die Richtlinie die klassische Produkthaftung erstmals vollständig in die digitale Welt überträgt — einschließlich Software, KI-Systemen, Cloud-Funktionen, Updates und datenbasierter Dienste.
Die Mitgliedstaaten müssen die Richtlinie (EU) 2024/2853 bis spätestens 9. Dezember 2026 in nationales Recht umsetzen. Für Unternehmen bedeutet das: Die Zeit bis Ende 2026 ist keine Übergangsphase zum Abwarten — sondern die letzte realistische Gelegenheit, Compliance-Strukturen belastbar aufzubauen.
Was sich mit der neuen Produkthaftung grundlegend ändert
Die bisherige Produkthaftung basierte weitgehend auf einem industriellen Weltbild: physische Produkte, klar identifizierbare Hersteller, statische Funktionen. Dieses Modell passt nicht mehr zu modernen digitalen Ökosystemen. Die neue Richtlinie erweitert deshalb den Produktbegriff massiv. Künftig gelten ausdrücklich auch:
- Software,
- digitale Konstruktionsdaten,
- Updates und Upgrades
als haftungsrelevante Produkte oder Produktbestandteile. Auch KI-gestützte Software und KI-Funktionalitäten können künftig ausdrücklich vom erweiterten Produktbegriff erfasst sein. Bestimmte verbundene digitale Dienste können haftungsrechtlich relevant werden, wenn sie für die Funktion eines Produkts wesentlich sind. Das ist kein kosmetisches Update, sondern ein Paradigmenwechsel. Ein Softwarefehler, ein fehlerhaftes KI-Modell, ein unsicheres Update oder eine mangelhafte Cloud-Anbindung können künftig dieselben haftungsrechtlichen Konsequenzen auslösen wie ein klassischer Konstruktionsfehler in einer Maschine.
Der eigentliche Gamechanger: Compliance wird zur Haftungsverteidigung
Die Richtlinie verschiebt die Logik der Produkthaftung. Bislang konnten Unternehmen häufig argumentieren: „Der konkrete Fehler lässt sich nicht eindeutig nachweisen.“ Künftig wird genau das schwieriger. Die neue Richtlinie erleichtert Geschädigten ausdrücklich die Durchsetzung von Ansprüchen — unter anderem durch:
- Offenlegungspflichten für Unternehmen,
- erleichterte Beweisführung,
- Vermutungsregelungen zum Kausalzusammenhang,
- erweiterte Dokumentationsanforderungen.
Das verändert die Rolle von Compliance fundamental: Sie gewinnt zusätzlich eine erhebliche Bedeutung für die prozessuale Verteidigung und Nachweisführung. Wer Risiken, Tests, Updates, Sicherheitsmaßnahmen und Governance nicht dokumentieren kann, verliert im Ernstfall möglicherweise nicht wegen eines technischen Fehlers, sondern wegen fehlender Nachweisfähigkeit.
Warum viele Unternehmen die Tragweite unterschätzen
Viele Organisationen betrachten die Richtlinie derzeit noch als „weiteres EU-Regulierungsthema“. Genau darin liegt das Risiko. Denn die neue Produkthaftung trifft nicht nur klassische Hersteller. Haftungsrelevant werden unter Umständen auch:
- Softwareanbieter,
- SaaS-Plattformen,
- Integratoren,
- Importeur:innen,
- Fulfillment-Dienstleister,
- Händler,
- Unternehmen mit White-Label-Produkten,
- Betreiber KI-gestützter Systeme,
- Unternehmen mit Connected-Device-Ökosystemen.
Besonders problematisch: Viele mittelständische Unternehmen besitzen heute längst produktähnliche digitale Funktionen, ohne sich selbst als „Produkthersteller“ zu verstehen. Beispiele:
- Maschinenbauer mit Remote-Maintenance,
- MedTech-Unternehmen mit Cloud-Diagnostik,
- Logistikplattformen mit KI-Entscheidungen,
- IoT-Produkte mit OTA-Updates,
- HR-Software mit automatisierten Bewertungen,
- Smart-Building-Systeme,
- digitale Patienten- oder Kundenschnittstellen.
Juristisch verschwimmt die Grenze zwischen „Produkt“, „Service“ und „Softwarefunktion“ zunehmend. Genau dadurch entsteht ein enormes Compliance-Risiko. Eine erhebliche Risikozunahme besteht auch durch die beträchtlichen Beweiserleichterungen für Verbraucher im Schadensfall.
Cybersecurity wird zum Haftungsthema
Besonders brisant ist die ausdrückliche Einbeziehung sicherheitsrelevanter Cybersecurity-Aspekte in die Fehlerbewertung eines Produkts. Das bedeutet praktisch: Ein Produkt kann künftig bereits deshalb als fehlerhaft gelten, weil
- bekannte Schwachstellen nicht geschlossen wurden,
- Updates fehlen,
- Sicherheitsmechanismen unzureichend sind,
- unsichere Drittkomponenten integriert wurden,
- keine angemessene Sicherheitsarchitektur existiert.
Damit verschmilzt Produkthaftung zunehmend mit:
- NIS2,
- CRA (Cyber Resilience Act),
- AI Act,
- DSGVO,
- ISO-27001-ähnlichen Sicherheitsstandards.
Unternehmen benötigen künftig keine isolierten Compliance-Projekte mehr, sondern integrierte Governance-Strukturen.
KI-Systeme: Das unterschätzte Langzeitrisiko
Die Richtlinie adressiert ausdrücklich auch KI-Systeme und dynamische Software. Gerade bei lernenden Systemen entsteht dadurch ein hochkomplexes Haftungsproblem: Wer trägt Verantwortung, wenn sich ein KI-System nach dem Inverkehrbringen verändert? Die Richtlinie wirft neue Haftungsfragen für adaptive und lernende Systeme auf, insbesondere wenn sich Funktionen nach dem Inverkehrbringen verändern. Das stellt viele heutige KI-Governance-Ansätze infrage.
Denn zahlreiche Unternehmen dokumentieren aktuell zwar Modelltraining, Initialtests und Datenschutzmaßnahmen, aber nicht ausreichend:
- Drift-Überwachung,
- Modellveränderungen,
- Prompt-Manipulationen,
- nachgelagerte Risiken,
- Sicherheitsupdates,
- menschliche Kontrollmechanismen.
Gerade generative KI und agentische KI-Systeme könnten hier zu erheblichen Rechtsunsicherheiten führen. Aktuelle wissenschaftliche Analysen weisen bereits darauf hin, dass dynamische KI-Agenten erhebliche Compliance-Herausforderungen im Zusammenspiel mit AI Act, Cybersecurity- und Produkthaftungsrecht erzeugen.
Dokumentation wird zur zentralen Überlebensstrategie
Die neue Produkthaftung belohnt nicht das „sicherste“ Unternehmen — sondern häufig das am besten dokumentierte. Entscheidend werden künftig unter anderem:
- technische Dokumentationen,
- Versionierung,
- Risikobewertungen,
- Testprotokolle,
- Vulnerability-Management,
- Lieferkettennachweise,
- Open-Source-Dokumentation,
- Verantwortlichkeitszuordnungen,
- Incident-Historien.
Das ist insbesondere für Unternehmen problematisch, deren Entwicklungsprozesse historisch gewachsen sind. Denn viele Organisationen besitzen keine vollständige Software-Stückliste (SBOM), keine revisionssichere Updatehistorie, keine klare KI-Governance, keine belastbare Nachweiskette für Sicherheitsentscheidungen. Im Streitfall kann genau das existenzbedrohend werden.
Was Unternehmen jetzt konkret tun sollten
- Digitale Produkte identifizieren
Viele Unternehmen wissen nicht einmal, welche ihrer Leistungen künftig als „Produkt“ gelten könnten. Ein vollständiges Product-Mapping wird zwingend notwendig.
- Compliance-Silos auflösen
Produkthaftung darf nicht isoliert betrachtet werden. Relevante Bereiche müssen gemeinsam arbeiten:
- Legal,
- IT-Security,
- Produktmanagement,
- Qualitätsmanagement,
- Datenschutz,
- Einkauf,
- KI-Governance.
- Dokumentationsfähigkeit prüfen
Die zentrale Frage lautet nicht „Sind wir compliant?“, sondern „Können wir unsere Compliance gerichtsfest nachweisen?“
- Cybersecurity als Haftungsprävention verstehen
Security wird künftig nicht mehr nur IT-Thema sein, sondern unmittelbarer Bestandteil der Produktsicherheit.
- KI-Governance professionalisieren
Unternehmen benötigen belastbare Prozesse für:
- Modellkontrolle,
- menschliche Aufsicht,
- Änderungsmanagement,
- Auditierbarkeit,
- Sicherheitsüberwachung.
Dezember 2026 ist näher als viele glauben
Die EU-Produkthaftungsrichtlinie 2024/2853 ist keine rein juristische Reform. Sie verändert die operative Verantwortung digitaler Unternehmen grundlegend. Besonders gefährlich ist dabei die trügerische Ruhephase bis Dezember 2026. Denn wer erst auf nationale Umsetzungsgesetze wartet, verliert wertvolle Vorbereitungszeit. Die neue Realität lautet:
- Digitale Funktionen werden zu haftungsrelevanten Produkten.
- Cybersecurity wird Teil der Produktsicherheit.
- KI-Systeme erzeugen neue Dauerhaftungsrisiken.
- Dokumentation wird zur Verteidigungslinie vor Gericht.
- Compliance entwickelt sich vom Verwaltungsprozess zum unternehmerischen Schutzschild.
Die Unternehmen mit den größten Problemen werden vermutlich nicht jene sein, die unsichere Produkte entwickeln — sondern jene, die ihre Sicherheit nicht beweisen können.
