Skip links

Die neue EU-Produkthaftungsrichtlinie (2024) in der Automobilindustrie: Herausforderungen und Chancen

Mit der überarbeiteten Produkthaftungsrichtlinie, die am 18.11.2024 veröffentlicht wurde und bereits am 9.12.2024 in Kraft tritt, hat die Europäische Union ein ambitioniertes Regelwerk vorgelegt, das die Anforderungen an Hersteller und Zulieferer in der Automobilindustrie erheblich verändern wird. Von Software-Updates, digitalen Diensten, Drohnen, Smart Home-Systemen über KI-Systeme bis hin zu Fragen der Cybersicherheit wird die Richtlinie viele Aspekte moderner Fahrzeugtechnik direkt und indirekt betreffen. Im Folgenden soll versucht werden, die konkreten Auswirkungen auf die Branche näher zu beleuchten.

Philipp Veronesi

Die aktualisierte Produkthaftungsrichtlinie (EU) 2024/2853 (veröffentlicht am 18. November 2024) hebt die seit 1985 geltende Produkthaftungsrichtlinie 85/374/EWG auf und ersetzt sie. Klingt nach einem bürokratischen Vorgang, ist aber hochinteressant, da die Richtlinie damals wie heute als Meilenstein der Verbraucherrechte gilt. Womit wir gleich bei einem wichtigen Detail wären: Die Richtlinie adressiert den Schutz von Privatpersonen, ein Automobilhersteller kann sie beispielsweise nicht auf die Zusammenarbeit mit Zulieferern anwenden.

Worum es geht es bei der EU-Produkthaftungsrichtlinie?

Ziel der Richtlinie ist es, für den EU-Binnenmarkt einen klaren Rechtsrahmen für die Haftung von Wirtschaftsakteuren für fehlerhafte Produkte gegenüber Verbrauchern und natürlichen Personen zu schaffen. Vereinfacht gesagt geht es also darum, dass alle am Produktionsprozess beteiligten Akteure, selbstverständlich auch bis zur Entwicklung, haften, wenn ein Endprodukt fehlerhaft ist bzw. dadurch ein Schaden entsteht.

Sicherheit als kritischer Aspekt der EU-Produkthaftungsrichtlinie

Die Konkretisierung dessen, was unter einem fehlerhaften Produkt zu verstehen ist, berührt unmittelbar den Bereich der Sicherheit. Ein Produkt muss die Sicherheit bieten, die ein Verbraucher unter Berücksichtigung der Zweckbestimmung, der Produkteigenschaften und der festgelegten Sicherheitsanforderungen berechtigterweise erwarten kann. Hier wird es direkt interessant, denn die aktualisierte Richtlinie formuliert hierzu unter anderem:

Es kann auch festgestellt werden, dass ein Produkt aufgrund seiner Sicherheitslücken im Bereich der Cybersicherheit fehlerhaft ist, etwa wenn das Produkt die sicherheitsrelevanten Cybersicherheitsanforderungen nicht erfüllt.

Gerade diese technologischen Entwicklungen und die Digitalisierung von Produkten – insbesondere auch im Hinblick auf Software und Software-Updates – waren Ausgangspunkt dafür, dass die Produkthaftung hier ein “Update” erhalten hat.

Die Automotive-Branche im Fokus der EU-Produkthaftung

Die neue Richtlinie erweitert daher den Begriff „Produkt“ und bezieht ausdrücklich Software, KI, Betriebssysteme (und mehr) mit ein. Damit fallen auch Software-Updates und KI-gestützte Systeme in Fahrzeugen unter die Produkthaftung.

Konkret betrachtet die Richtlinie Cybersicherheitsmängel als potenzielle Produktfehler – ein bedeutender Schritt, insbesondere angesichts der zunehmenden Vernetzung und Autonomisierung von Fahrzeugen.

Die Haftungskette wird erheblich ausgeweitet: Nicht nur Hersteller, sondern auch Importeure, Fulfillment-Dienstleister und Händler können haftbar gemacht werden.

Gleichzeitig erleichtert die Richtlinie geschädigten Parteien den Zugang zu Beweismitteln und erkennt Datenverluste explizit als erstattungsfähigen Schaden an.

Diese Neuerungen, verbunden mit dem Wegfall von Haftungshöchstgrenzen und der rückwirkenden Haftung für Software-Updates, stellen (neben vielen anderen Branchen) auch Fahrzeug- und Automobilhersteller sowie deren Zulieferer vor massive Herausforderungen.

In ihrer Tragweite meist vollkommen unterschätzt: Die Rolle von Software-Updates

In Bezug auf Software-Updates (UN R156 und ISO 24089 seien hier am Rande erwähnt) muss man sich über Folgendes im Klaren sein: Während es in der Vergangenheit für Hersteller weitgehend ausreichend war, dass ein Produkt zum Zeitpunkt der Markteinführung sicher war, ändert sich dies nun insbesondere durch Software und die Notwendigkeit von Software-Updates.

Wird ein Produkt im Laufe der Zeit unsicher, kann der Hersteller konkret haftbar gemacht werden. Schließlich hätte man durch Software-Updates die Fehlerhaftigkeit kontrollieren können. Auch Software-Upgrades, also wesentliche Änderungen am Produkt, oder lernende Systeme (auch in Bezug auf KI) sind hier immer entsprechend als “neu” zu bewerten, so dass hier eine Gesamtbetrachtung von Schwachstellen und Angreifbarkeit gegeben sein muss.

Auch wenn ein Dritter Schwachstellen in der Cybersicherheit eines Produktes ausnutzt, gilt: Die Haftung wird durch solche Einwirkungen durch Ditte nicht gemindert.

Gleichzeitig ist zu beachten: Wird durch ein Software-Update oder -Upgrade eine wesentliche Änderung am Produkt vorgenommen, so wird dies von der Richtlinie so ausgelegt, dass das Produkt zum Zeitpunkt der tatsächlichen Änderung wieder als „neu“ gilt.

Gut für Endkunden: Stärkung für Verbraucherschutz und Sicherheitsnotwendigkeiten

Die Produkthaftungsrichtlinie fördert einen stärkeren Fokus auf Sicherheit und Datenschutz innerhalb der Fahrzeugentwicklung. Die Anerkennung von Datenverlusten als haftungsrelevant zwingt Unternehmen, robuste Cybersicherheitsmaßnahmen zu implementieren. ISO/SAE 21434 und andere Standards werden künftig tief in die Entwicklungs- und Produktionsprozesse zu integrieren, um vernetzte Fahrzeuge besser vor Cyberangriffen zu schützen.

Die erweiterten Offenlegungspflichten der Hersteller stärken zudem den Verbraucherschutz. Die Voraussetzungen an die Offenlegung von Informationen und der zugehörigen Beweispflicht haben sich im Vergleich zur alten Richtlinie insofern geändert, dass hier nun mehr Verantwortung beim Hersteller liegt. Dies bedeutet eine Erleichterung der Beweisführung für den Verbraucher; Gerade bei hochkomplexen Produkten soll so der Informationsasymmetrie zwischen Verbraucher und Hersteller entgegengewirkt werden.

Geschädigte können die leichter Schadensersatzansprüche geltend machen, was langfristig das Vertrauen in neue Technologien stärken soll.

Die Harmonisierung mit internationalen Standards wie UN R155 und R156 ermöglicht zudem eine klarere Orientierung für Hersteller, Zulieferer und Regulierungsbehörden.

Klar abgeleitet werden sollte daher die Notwendigkeit einer sauberen und vollständigen Dokumentation. Wird eine Offenlegung notwendig, können sich mangelhafte Dokumentationen oder unzureichende Überprüfungen von Sicherheitskonzepten schnell rächen. Abgesehen von Schuldfragen im konkreten Einzelfall besteht dann auch die Gefahr eines ernstzunehmenden Imageschadens.

Herausforderung: Mehraufwand und Innovationshemmnisse?

Die Kehrseite dieser Entwicklung ist entsprechend der immense Aufwand, der auf Unternehmen zukommt. Die Anforderungen an Dokumentation, Sicherheitsprüfungen und Tests werden deutlich steigen. Insbesondere bei Software-Updates und selbstlernenden Systemen, die nach der Markteinführung neue Funktionen entwickeln können, ist eine lückenlose Rückverfolgbarkeit unabdingbar. (Siehe auch RXSWIN gemäß UN R156.) Dies erhöht nicht nur die Entwicklungs- und Verwaltungskosten, sondern auch die Komplexität des Lieferkettenmanagements.

Kleinere Unternehmen und Drittanbieter könnten durch die hohen Markteintrittsbarrieren abgeschreckt werden.

Gleichzeitig führt die erweiterte Haftung zu höheren Versicherungsprämien und einem intensiveren Wettbewerb um Cybersicherheitsexperten. Dies könnte europäische Unternehmen im internationalen Vergleich benachteiligen, da Regionen wie die USA oder China weniger restriktive Produkthaftungsgesetze haben. Gerade in Zeiten, in denen weltweit eine Verschiebung von Regulierungsbestrebungen und Deregulierung zu beobachten ist, wird die übergeordnete Frage Preis vs. Qualität gerade im kostengetriebenen Automobilsektor neu zu diskutieren sein.

Bedeutung für die Automobilbranche

Für Hersteller und Zulieferer bedeutet die neue Richtlinie weitreichende Veränderungen. Die Einführung von Cyber Security Management Systemen (CSMS) und strengere interne Audits werden unumgänglich. Over-the-Air-Updates müssen künftig nicht nur funktional, sondern auch rechtssicher sein, was zusätzliche Sicherheitsprotokolle und Rollback-Mechanismen erfordert.

Die Zusammenarbeit entlang der Lieferkette wird wichtiger denn je, um Sicherheits- und Zulassungsanforderungen zu erfüllen. Gleichzeitig erhöht die unbefristete Haftung den Druck auf Unternehmen, langfristige Strategien für Risikomanagement (hier sei erwähnt: NIS-2) und Versicherungsschutz zu entwickeln.

Ein weiterer Aspekt ist die mögliche Verlangsamung der Entwicklung von Elektrofahrzeugen und autonomen Fahrzeugen. Strengere Testverfahren und Validierungsprozesse für selbstlernende Systeme könnten die Einführung innovativer Technologien verzögern.

Gleichzeitig ist für die Wirtschaftsakteure ein Passus zum “Stand der Technik”, der ebenfalls in die Richtlinie aufgenommen wurde, von besonderer Bedeutung:

Im Interesse einer gerechten Risikoverteilung sollten Wirtschaftsakteure von der Haftung befreit sein, wenn sie beweisen, dass die Fehlerhaftigkeit nach dem Stand der Wissenschaft und Technik — bezogen auf den neuesten Stand zugänglichen objektiven Wissens und nicht auf die tatsächlichen Kenntnisse des betreffenden Wirtschaftsakteurs — in dem Zeitraum, in dem sich das Produkt in der Kontrolle des Herstellers befand, nicht erkannt werden konnte.

Die Anwendung von (ansonsten nicht verpflichtenden!) Industriestandards wie der ISO/SAE 21434 (und ISO 26262 u.a.) dürfte hier eine umso größere Bedeutung erlangen, da diese stets den “Stand der Technik” abbilden und im Zweifelsfall als Nachweis vor Gericht dienen.

In diesem Zusammenhang kommt der Sensibilisierung und dem Kompetenzaufbau im Bereich der Fahrzeugsicherheit eine konkrete Bedeutung zu, insbesondere im Hinblick auf die Erbringung von angemessenen Qualifizierungsnachweisen, z.B. durch Automotive Cybersecurity-Zertifizierungen.

Ausblick: Neue Chancen für die Fahrzeugindustrie durch die EU-Produkthaftungsrichtlinie?

Ungeachtet aller Herausforderungen bietet die neue Produkthaftungsrichtlinie auch Chancen. Sie fördert Investitionen in Cybersicherheit, stärkt den Datenschutz und erhöht das Vertrauen der Verbraucher in moderne Technologien. (Was gerade in der Automobilbranche derzeit ein immens wichtiger Schritt nach vorne wäre.)

 Unternehmen, die frühzeitig auf die neuen Anforderungen reagieren und innovative Lösungen entwickeln, können sich Wettbewerbsvorteile sichern.

Langfristig könnte die Harmonisierung von Standards und die Stärkung von Normen wie ISO 24089 die Automobilindustrie auf ein neues Sicherheitsniveau heben. Darüber hinaus könnte die Notwendigkeit internationaler Kooperationen in Sicherheits- und Haftungsfragen die Branche näher zusammenbringen und globale Lieferketten nachhaltiger gestalten.

Die Zukunft der Automobilindustrie hängt entscheidend davon ab, wie flexibel und innovativ die Unternehmen auf die neuen Anforderungen reagieren.

Klar ist: Die EU-Produkthaftungsrichtlinie markiert einen Wendepunkt in der Fahrzeugentwicklung – hin zu mehr Sicherheit, Transparenz und Verantwortung.

Share the Post:

Up to date bleiben?
Newsletter abonnieren

Kostenlos   |   Relevanter Input zur Cybersecurity in der Fahrzeugentwicklung   |   Nicht zu häufig

More resources and insights to strengthen your industry know how

Schön, dass Du Dich bei uns bewirbst!

Bitte fülle die entsprechenden Felder aus.

Newsletter abonnieren.

Praxisorientiertes Fachwissen, relevante Einblicke und exklusive Updates zu aktuellen Themen der Automotive Cybersecurity – von den führenden Experten der Branche. Melden Sie sich jetzt an für den CYEQT Knowledge Base Newsletter.

Nicht zu oft, aber regelmäßig erhalten Sie von uns einen Überblick über aktuelle Inhalte zur Implementierung von Cybersecurity in der Fahrzeugentwicklung, direkt in Ihren Posteingang.

Allgemeine Fragen

Schreiben Sie uns direkt.

learn@cyeqt.com

Melden Sie sich hier für den CYEQT Knowledge Base Newsletter an - kostenlos und unverbindlich.