EU-Produkthaftungsrichtlinie 2024/2853: Was Software- und KI-Anbieter jetzt wissen müssen

Die bisherige Produkthaftungsrichtlinie der EU stammte im Kern aus dem Jahr 1985 – einer Zeit, in der an Smartphones, Cloud-Lösungen oder generative KI noch nicht zu denken war. Bislang lag der Fokus der verschuldensunabhängigen Haftung fast ausschließlich auf physischen Waren. Geschädigte Verbraucher hatten es bei reinen Softwarefehlern extrem schwer, Schadensersatz einzufordern.

Mit der neuen Richtlinie (EU) 2024/2853 (oft auch als Product Liability Directive oder PLD bezeichnet), die am 8. Dezember 2024 in Kraft getreten ist, ersetzt die EU das fast 40 Jahre alte Regelwerk.

Der zeitliche Fahrplan zur Umsetzung:

• 11. September 2025: Das Bundesministerium der Justiz (BMJ) hat bereits einen offiziellen Referentenentwurf zur Anpassung des deutschen Produkthaftungsgesetzes (ProdHaftG) vorgelegt.
• 9. Dezember 2026: Bis zu diesem Stichtag muss Deutschland die EU-Vorgaben final in nationales Recht umgesetzt haben.
• Wichtige Übergangsregelung: Für alle Produkte und Software-Versionen, die bis einschließlich 8. Dezember 2026 in den Verkehr gebracht werden, bleibt das bisherige, alte ProdHaftG anwendbar. Das neue, verschärfte Recht greift exakt für Produkte, die ab dem 9. Dezember 2026 auf den Markt kommen.

Der entscheidende Hebel der Reform ist die fundamentale Erweiterung des Produktbegriffs. Ein „Produkt“ ist nach neuem Recht nicht mehr zwingend eine physische, greifbare Sache.

Unter die neue Definition fallen nun explizit:

• Software aller Art: Betriebssysteme, mobile Apps, klassische Embedded Software und Stand-alone-Programme.
• Cloud-Services & SaaS: Es ist rechtlich völlig unerheblich, ob die Software auf einem lokalen Gerät gespeichert ist oder rein virtuell aus der Cloud abgerufen wird.
• Künstliche Intelligenz: KI-Systeme werden als Unterfall von Software verstanden und unterliegen uneingeschränkt der verschuldensunabhängigen Produkthaftung.

Die einzige Ausnahme: Freie und quelloffene Software (Open Source) ist von der Richtlinie ausgenommen – allerdings nur dann, wenn sie nicht im Rahmen einer gewerblichen/kommerziellen Tätigkeit entwickelt oder bereitgestellt wird. Sobald ein Unternehmen damit Geld verdient oder Open-Source-Komponenten in ein kommerzielles Produkt integriert, greift die Haftung vollumfänglich.

Das neue Recht verschiebt das Machtverhältnis zwischen Software-Herstellern und Verbrauchern drastisch. Das sind die drei massivsten Einschnitte für Unternehmen:

1. Wegfall aller Haftungsobergrenzen

Bisher war das finanzielle Risiko für Hersteller gedeckelt: Es gab einen Selbstbehalt von 500 Euro für Sachschäden und eine Haftungshöchstgrenze von 85 Millionen Euro für Personenschäden. Beide Grenzen fallen ersatzlos weg. Damit sind für Verbraucher und Geschädigte künftig theoretisch unbegrenzte Schadensersatzforderungen einklagbar.

2. Haftung für Datenverlust, Updates und Cybersicherheit

Der ersatzfähige Schaden wird massiv erweitert. Künftig umfasst die Produkthaftung auch den Verlust, die Vernichtung oder die Verfälschung von Daten, sofern diese nicht ausschließlich beruflich genutzt werden. Unternehmen können direkt haftbar gemacht werden, wenn Schäden durch unzureichende oder komplett fehlende Software-Updates entstehen, oder wenn ein mangelhafter Cybersicherheitsschutz (z. B. fehlende Verschlüsselung) eine Manipulation durch Hacker ermöglicht.

3. Beweislasterleichterung bei komplexer Technik

Da es für einen normalen Verbraucher unmöglich ist, die "Black Box" eines Algorithmus oder einer KI zu durchleuten, greift eine weitreichende Beweislastumkehr. Kann der Kläger den genauen Programmierfehler aufgrund der technischen Komplexität nicht nachweisen, vermutet das Gericht den Fehler beim Hersteller. Das Unternehmen muss dann aktiv beweisen, dass das System fehlerfrei war.

Besonders bei Künstlicher Intelligenz verschärft die Richtlinie das Risiko: Der Hersteller haftet auch für Fehler, die durch das kontinuierliche Lernen und die autonome Weiterentwicklung eines KI-Systems nach dem Verkaufsstart auftreten.

Die Reform steht dabei im direkten Kontext des europäischen AI Acts. Die dort definierten Sicherheits- und Transparenzanforderungen werden über rechtliche Verweise ausdrücklich in den zivilrechtlichen "Fehlerbegriff" der Produkthaftung hineingezogen. Wer gegen den AI Act verstößt, dessen KI-Produkt gilt vor Gericht automatisch als fehlerhaft – die Haftung ist dann kaum noch abzuwenden.

Die neue Richtlinie erhöht die Verantwortung drastisch und erweitert den Kreis der potenziellen Beklagten, die für ein fehlerhaftes digitales Produkt haften müssen.

Dazu gehören künftig:

• Der Softwareentwickler (auch als Subunternehmer, wenn sein fehlerhafter Code das Gesamtsystem korrumpiert).
• Bevollmächtigte des Herstellers und Fulfillment-Dienstleister.
• Quasi-Hersteller, die Software unter eigenem Namen oder eigener Marke vertreiben.

Zudem stellt die Richtlinie sicher, dass es innerhalb der EU immer eine haftbare Person gibt. Ist der eigentliche Software-Hersteller außerhalb der EU ansässig (z. B. in den USA oder China), haftet automatisch der Importeur oder der in der EU ansässige Bevollmächtigte für entstandene Schäden.

Die Produkthaftungsrichtlinie ist Teil eines komplexen, ineinandergreifenden regulatorischen Gefüges der EU:

• AI Act: Definiert die präventiven Qualitäts- und Risikostandards für KI-Systeme.
• DSGVO: Schützt personenbezogene Daten. Führt ein Softwarefehler zu einem Datenleck, greifen DSGVO-Schadensersatz und Produkthaftung parallel.
• NIS2-Richtlinie: Definiert den gesetzlichen Mindeststandard für Cybersecurity im Jahr 2026. Wer NIS2-Pflichten vernachlässigt, dessen Software gilt im Haftungsprozess automatisch als fehlerhaft konstruiert.

Praxis-Tipp: Das Zusammenspiel dieser Gesetze stellt für den Mittelstand ein kaum zu durchdringendes Compliance-Dickicht dar. Um Haftungsfallen effektiv zu vermeiden, setzen zukunftsorientierte Tech-Unternehmen auf ganzheitliche digitale Plattformen wie heyData. heyData bündelt das notwendige Expertenwissen und hilft Unternehmen, den Status ihrer Datenschutz-, Hinweisgeber- und IT-Sicherheits-Compliance zentral zu steuern, Lücken transparent zu schließen und die gesetzlich geforderte Dokumentation audit-bereit vorzuhalten.

Hersteller und Vertreiber digitaler Produkte sollten die verbleibende Zeit bis zum finalen Geltungsbeginn im Dezember 2026 intensiv nutzen für:

• Überprüfung der Dokumentationsprozesse: Eine lückenlose Dokumentation der Trainingsdaten, der Algorithmus-Logik und der Qualitätssicherung ist deine einzige Verteidigungslinie gegen die Beweislastumkehr.
• Anpassung des Versicherungsschutzes: Aufgrund des Wegfalls der 85-Mio.-Euro-Haftungsobergrenze müssen die Deckungsummen von IT-Haftpflicht- und Produkthaftpflichtversicherungen dringend überprüft und erhöht werden.
• Überwachungs- und Rückrufsysteme für Software: Etabliere Prozesse, um Sicherheitslücken im Feld in Echtzeit zu tracken und Over-the-Air-Updates (OTA) rechtssicher und fehlerfrei auszurollen.
• Regressvereinbarungen mit Drittlieferanten: Verträge mit API-Lieferanten, Cloud-Anbietern und externen Code-Zulieferern müssen exakt regeln, wie das Produkthaftungsrisiko im Schadensfall intern verteilt wird.

Die EU-Produkthaftungsrichtlinie 2024/2853 beendet das Zeitalter, in dem sich Software-Anbieter hinter dem Argument „Software hat nun mal Bugs“ verstecken konnten. Neben der neuen Produkthaftung sollten Hersteller zudem die kommenden Pläne für eine spezifische EU-KI-Haftungsrichtlinie (AI Liability Directive) im Auge behalten, die das zivilrechtliche Haftungssystem für KI-Anbieter demnächst komplettieren wird.

Für die Praxis trifft die Reform den Kern einer völlig neuen Realität: Die Kernaussage „Ein Prototyp ist keine Software“ ist ab Dezember 2026 keine bloße Design-Meinung mehr, sondern hat direkte, existenzielle Haftungskonsequenzen. Besonders für den aktuellen Trend, mit KI-Tools in Windeseile unausgereifte SaaS-Produkte zu bauen und ungeprüft auf den Markt zu werfen, bricht ab sofort eine neue Ära der rechtlichen Verantwortung an.

Müssen kleine Startups dieselben Regeln befolgen wie Tech-Giganten?

Ja. Die Produkthaftungsrichtlinie unterscheidet nicht nach Unternehmensgröße. Wer ein fehlerhaftes digitales Produkt kommerziell in den EU-Markt bringt, haftet unbeschränkt für die daraus resultierenden Schäden.

Was passiert, wenn ein deutsches Gesetz bis Dezember 2026 noch nicht final verabschiedet ist?

Selbst wenn sich das finale deutsche Gesetz über den aktuellen Referentenentwurf hinaus verzögern sollte: Nach Ablauf der Umsetzungsfrist am 9. Dezember 2026 können sich Verbraucher unter bestimmten Voraussetzungen direkt auf die verbraucherschützenden Bestimmungen der EU-Richtlinie vor Gericht berufen (Richtlinienwirkung). Vertrauen auf Verzögerungen ist also hochgradig riskant.

Gilt die Haftung auch für KI-Systeme, die kostenlos angeboten werden?

Entscheidend ist, ob die Bereitstellung im Rahmen einer "gewerblichen Tätigkeit" erfolgt. Wenn ein Tool zwar kostenlos ist, aber der Lead-Generierung dient, über Werbung monetarisiert wird oder eine kostenpflichtige Pro-Version bewerben soll, greift die Produkthaftung vollumfänglich.