Die IAA 2025 ist vorbei, doch die rechtlichen Neuerungen beginnen erst: Der Entwurf zur Modernisierung des Produkthaftungsrechts übersetzt die digitale Transformation des Fahrzeugs direkt in ein verschärftes Haftungsregime für Hersteller und Zulieferer. Künftig unterfallen nicht nur Software und KI-Systeme der Produkthaftung, Hersteller sind auch über den gesamten Lebenszyklus des Produkts für die Cybersicherheit verantwortlich. Neue produkthaftungsrechtliche Beweisregeln und die Anforderungen des Cyber Resilience Act an die Lieferkette stellen zusätzliche Herausforderungen dar. Unser Beitrag analysiert die zentralen Verschärfungen und leitet daraus strategische Handlungsempfehlungen ab.
Der Kontext: Zwischen der technologischen Weiterentwicklung des Autos und Cybersicherheitslücken nach der BSI-Warnung
Die IAA 2025 hat eindrucksvoll gezeigt: Die Wertschöpfung im Automobilbau verlagert sich unaufhaltsam von der Hardware zur Software. Doch diese technologische Vision trifft auf eine harte Realität: Cybersicherheitslücken. Der neue Lagebericht „Cybersicherheit im Straßenverkehr 2025“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) dokumentiert eine steigende Anzahl an Schwachstellen und erfolgreichen Angriffen auf vernetzte Fahrzeuge – von gehackten Infotainment-Systemen, die Fernzugriffe auf Fahrzeugfunktionen ermöglichen, bis hin zu massiven Datenlecks.
Bislang bewegte sich die juristische Einordnung solcher Cyber-Vorfälle oft in einer Grauzone. Der Entwurf des neuen Produkthaftungsgesetzes stellt klar: Technologischen Risiken, die das BSI aufzeigt, führen fortan direkt in produkthaftungsrechtliche Haftungstatbestände. Die IAA zeigt die Innovation, der BSI-Bericht das Risiko und der Gesetzesentwurf die Konsequenzen. Cybersicherheit bedeutet nunmehr auch Produktsicherheit.
Analyse: Was das neue Produkthaftungsrecht konkret für die Automobilindustrie bedeutet
Für OEMs und Zulieferer ergeben sich aus dem Gesetzesentwurf drei zentrale Verschärfungen, die einer sofortigen Neubewertung bedürfen:
Das „Software-Defined Car“ wird zum „Liability-Defined Product“
Die grundlegendste Änderung ist die explizite Aufnahme von Software und KI-Systemen in den Produktbegriff (§ 2 ProdHaftG-E).
Konsequenz: Jede Software-Komponente – von der Firmware eines Steuergeräts bis zum KI-Algorithmus eines Fahrassistenten – ist nun ein eigenständig haftungsrelevantes Produkt. Ein Programmierfehler oder eine Sicherheitslücke kann direkt zu einem Produktfehler werden. Der im BSI-Bericht geschilderte Hack eines Fahrzeugs über die Bluetooth-Schnittstelle wäre ein Paradebeispiel für einen solchen potenziellen haftungsbegründenden Softwarefehler. Die Haftung trifft dabei nicht nur den OEM als Hersteller des Gesamtfahrzeugs, sondern explizit auch den Hersteller einer fehlerhaften Komponente (§ 4 ProdHaftG-E) – also den Zulieferer.
Permanente Verantwortung über den Zeitpunkt des Inverkehrbringens hinaus
Das kommende Gesetz bricht mit dem bisherigen Prinzip, dass bei der Frage, ob ein Produkt sicher ist, auf den Zeitpunkt des Inverkehrbringens abgestellt wird. Solange ein Hersteller etwa durch Software-Updates die „Kontrolle“ über das Produkt behält, dehnt sich seine produkthaftungsrechtliche Verantwortung über den Zeitpunkt des Inverkehrbringens aus (§§ 8, 9 ProdHaftG-E).
Dabei zeigt sich auch das Zusammenspiel mit anderen Gesetzen: Während das Fahrzeug als Ganzes durch die UN R 155 von den Vorschriften des Cyber Resilience Act (CRA) ausgenommen ist, entfaltet dieser seine volle Wirkung auf die Lieferkette: Zahlreiche digitale Komponenten unterliegen direkt den strengen Anforderungen des CRA. Dazu zählen unter anderem Steuergeräte (ECUs), nachrüstbare Telematiksysteme, Firmware von Drittanbietern sowie Cloud- und Backend-Dienste. Diese regulatorischen Pflichten wirken auch in die die zivilrechtliche Haftung hinein: Ein Bauteil, das die CRA-Anforderungen an ein effektives Schwachstellenmanagement – in der Regel für mindestens fünf Jahre – nicht erfüllt, wird im Schadensfall kaum als fehlerfrei gelten können.
Konsequenz: Hersteller haften nicht nur verschuldensunabhängig für fehlerhafte Updates, sondern insbesondere auch für unterlassene Sicherheitsupdates. Die Feststellung des BSI, dass Cybersicherheit eine „kontinuierliche Aufgabe“ ist, wird daher justiziabel. Das Ignorieren einer bekannten Schwachstelle ist keine unternehmerische Abwägung mehr, sondern eine bewusste Inkaufnahme der verschuldensunabhängigen Haftung nach dem Produkthaftungsgesetz.
Das Ende der „Black Box“: Neue Beweisregeln verschärfen das Prozessrisiko
Die größte operative Änderung bringen die neuen Beweisregeln, die speziell auf komplexe digitale Produkte zugeschnitten sind (§§ 19, 20 ProdHaftG-E).
Konsequenz: Gerichte können Hersteller zur Offenlegung interner Dokumente (z.B. Sicherheitsaudits) verpflichten. Voraussetzung ist, dass der Kläger einen Schadenersatzanspruch hinreichend plausibel macht, also eine gewisse Wahrscheinlichkeit für ihn spricht. Allerdings bedeutet dies keinen schutzlosen „Striptease“ des Herstellers: Der Gesetzesentwurf sieht in § 19 Abs. 4 ProdHaftG-E explizit vor, dass die prozessualen Schutzmechanismen der §§ 16 ff. des Geschäftsgeheimnisgesetzes (GeschGehG) greifen. Das Gericht kann bestimmte Schutzmaßnahmen anordnen. Beklagte Unternehmen sollten dennoch selbst Anträge stellen. Ein reines Verschanzen hinter der “Black Box” der eigenen Systeme ist damit nicht mehr möglich. Hersteller können aber weiterhin wertvolles Wissen schützen.
Zudem wird bei „technischer Komplexität“ – insbesondere bei KI-Systemen – die Beweisführung für Kläger massiv erleichtert; der Nachweis der Wahrscheinlichkeit eines kausalen Produktfehlers kann unter Umständen genügen, um diesen gesetzlich zu vermuten.
Neue Aufsichtsstrukturen im Blick behalten
Neben der zivilrechtlichen Haftung etabliert der Gesetzgeber auch eine neue, schlagkräftige Aufsichtsstruktur. Der ebenfalls am 11. September veröffentlichte Entwurf des Gesetzes zur Durchführung der KI-Verordnung sieht die Bundesnetzagentur als zentrale Marktüberwachungsbehörde für viele KI-Anwendungen vor. Das bedeutet: Neben dem Risiko von Schadensersatzklagen droht bei Verstößen gegen die KI-Verordnung auch ein direktes Eingreifen der Aufsichtsbehörden mit weitreichenden Befugnissen.
Strategischer Ausblick: Handlungsempfehlungen für die neue Haftungsära
Die Zeit rennt. Das neue Produkthaftungsgesetz soll am 9. Dezember 2026 in Kraft treten. Was Hersteller beachten sollten, um den neuen Cyber-Haftungsrisiken zu begegnen:
- Cybersecurity & AI Governance als Rechtsprinzip verankern: „Security by Design“ ist keine technische Floskel mehr, sondern die erste und wichtigste Verteidigungslinie gegen Haftungsansprüche.
- Ein robustes Security-Lifecycle-Management etablieren: Richten Sie verbindliche Prozesse für die kontinuierliche Schwachstellenüberwachung und die schnelle Bereitstellung von Sicherheitsupdates ein.
- Dokumentation für die Verteidigung optimieren: Die Offenlegung interner Sicherheits- und KI-Entwicklungsdokumente vor Gericht droht. Eine lückenlose Dokumentation ist essenziell.
- Prozessuale Verteidigungslinien vorbereiten: Angesichts der neuen Offenlegungspflichten müssen Unternehmen proaktiv handeln. Das bedeutet, Geschäftsgeheimnisse intern klar zu definieren und im Prozessfall frühzeitig einen Antrag auf Einstufung als geheimhaltungsbedürftig zu stellen. Auf dieser Grundlage können dann die Schutzmaßnahmen des GeschGehG (z.B. Zugangsbeschränkungen) beantragt werden, um einen kontrollierten und geschützten Informationsfluss im Rahmen der ZPO zu gewährleisten.
- Lieferkettenverträge überprüfen: Klären Sie Haftungs- und Regressansprüche mit Zulieferern von Software und KI-Komponenten explizit im Lichte der neuen gesamtschuldnerischen Haftung.
Die IAA 2025 hat die technologische Zukunft des Automobils gezeigt. Das neue Produkthaftungsrecht sorgt dafür, dass die rechtliche Verantwortung mit dieser Zukunft Schritt hält. Proaktives Handeln ist keine Option, sondern eine Notwendigkeit.
Wir verweisen noch auf drei weitere Beiträge zur Produkthaftung:
