Haf­tung in der digi­ta­li­sier­ten Wirt­schaft

  1. Haf­tungs­re­geln sinn­voll gestal­ten

In Anbe­tracht der tech­ni­schen Ent­wick­lung und der zuneh­men­den Digi­ta­li­sie­rung von Pro­duk­ten und Dienst­leis­tun­gen (z. B. inte­grier­te Soft­ware, Cloud-Diens­te, Robo­tik, Inter­net der Din­ge sowie auto­ma­ti­sier­te und ver­netz­te Sys­te­me) steht auf natio­na­ler und euro­päi­scher Ebe­ne die Anpas­sung von Haf­tungs­re­geln zur Dis­kus­si­on. Auf euro­päi­scher Ebe­ne wer­den sowohl im Rah­men der Kon­sul­ta­ti­on zur Eva­lu­ie­rung der EU-Pro­dukt­haf­tungs­richt­li­nie als auch im Rah­men der Kon­sul­ta­ti­on zur Mit­tei­lung der EU-Kom­mis­si­on zum „Auf­bau einer euro­päi­schen Daten­wirt­schaft” Haf­tungs­fra­gen im Zusam­men­hang mit der Digi­ta­li­sie­rung erör­tert. Auch in Deutsch­land wer­den die­se Fra­gen­stel­lun­gen the­ma­ti­siert. So haben das Bun­des­mi­nis­te­ri­um für Wirt­schaft und Ener­gie, das Bun­de­mi­nis­te­ri­um für Arbeit und Sozia­les und das Bun­de­mi­nis­te­ri­um der Jus­tiz und für Ver­brau­cher­schutz in ihrem im Juni 2017 ver­öf­fent­lich­tem Papier zur Digi­tal­po­li­tik ange­kün­digt zu über­prü­fen, “ob unser Ver­trags -und Haf­tungs­recht noch den Her­aus­for­de­run­gen der Digi­ta­li­sie­rung gerecht wird”.

Han­no­ver IT ist der Auf­fas­sung, dass die der­zei­ti­gen Haf­tungs­re­geln grund­sätz­lich auch auf digi­ta­li­sier­te Pro­duk­te ange­wen­det wer­den kön­nen und geeig­net sind, auch in Zukunft einen fai­ren Inter­es­sen­aus­gleich zwi­schen Her­stel­lern und Anwen­dern zu schaf­fen.

Solan­ge die Ver­ant­wort­lich­keit für Schä­den klar einem kon­kre­ten Akteur in der Wert­schöp­fungs­ket­te zuge­ord­net wer­den kön­nen, besteht kein Hand­lungs­be­darf. Durch die zuneh­men­de Auto­ma­ti­sie­rung und Ver­net­zung von phy­si­schen Gerä­ten wird jedoch der bestehen­de Rechts­rah­men her­aus­ge­for­dert, bei­spiels­wei­se im Inter­net der Din­ge (Inter­net of things – IoT) oder bei voll­kom­men auto­no­men Fahr­zeu­gen oder Anla­gen. Ange­sichts der zuneh­mend digi­ta­len Beschaf­fen­heit von Pro­duk­ten gilt es, eine offe­ne Dis­kus­si­on über die Funk­ti­ons­fä­hig­keit des bestehen­den Haf­tungs­re­gimes zu füh­ren. Es ist eine ange­mes­se­ne Risi­ko­ver­tei­lung zu fin­den, die inno­va­ti­ons­freund­lich und fair gegen­über allen Markt­teil­neh­mern ist. Ob für auto­no­me Sys­te­me – ent­spre­chend der Kfz-Haf­tung im Stra­ßen­ver­kehrs­ge­setz – bei­spiels­wei­se eine Hal­ter- bzw. Betrei­ber­haf­tung (ggf. mit Ver­si­che­rungs­pflicht) ange­mes­sen oder zu weit­ge­hend ist, ist sorg­fäl­tig abzu­wä­gen. Zunächst ist es jeden­falls erfor­der­lich, die Anwen­dung der exis­tie­ren­den Regeln gründ­lich zu ana­ly­sie­ren und gege­be­nen­falls in Zukunft für voll auto­ma­ti­sier­te und sog. selbst ler­nen­de Sys­te­me Anpas­sun­gen vor­zu­neh­men. Dies gilt ins­be­son­de­re in Anbe­tracht des­sen, dass auf­grund der enor­men Kom­ple­xi­tät Unter­neh­men ab einer gewis­sen Inter­ak­ti­on und Inter­de­pen­denz von soft­ware­ge­steu­er­ten Gerä­ten nur bedingt Gewähr­leis­tung für das Funk­tio­nie­ren des Ge-samt-Sys­tems über­neh­men kön­nen. Inso­weit ist eine inten­si­ve Beob­ach­tung der Rechts­an­wen­dung not­wen­dig.

Nach Ana­ly­se der Rechts­la­ge müs­sen etwai­ge Rege­lungs­lü­cken auf­ge­zeigt wer­den. Erst danach ist zu erör­tern, ob und wenn ja an wel­cher Stel­le die Digi­ta­li­sie­rung zu einer Neu-Bewer­tung bzw. Fort­ent­wick­lung der Haf­tungs­re­ge­lun­gen füh­ren könn­te. Vor­aus­set­zung einer ziel­füh­ren­den Dis­kus­si­on für ein zukünf­ti­ges Haf­tungs­re­gime ist eine ein­deu­ti­ge und adäqua­te Abgren­zung inhalt­li­cher Kon­zep­te. Bspw. kön­nen IoT-Gerä­te im End­kun­den­markt nicht mit Robo­tik in Indus­trie­an­la­gen (B2C vs. B2B) ver­gli­chen wer­den; zudem muss zwi­schen ver­netz­ten und voll­au­to­ma­ti­sier­ten Anla­gen oder Fahr­zeu­gen unter­schie­den wer­den.

  1. Haf­tung gegen­über Ver­brau­chern

Vor dem Hin­ter­grund des hohen Ver­brau­cher­schutz­ni­veaus ist im B2C-Bereich der­zeit kei­ne Rege­lungs­lü­cke erkenn­bar. Im Haf­tungs­fall ste­hen dem Ver­brau­cher neben der ver­trag­li­chen Haf­tung unter­schied­li­che Rechts­grund­la­gen zur Ver­fü­gung. Deren Haf­tungs­sys­tem ist fein aus­ta­riert und sichert dem Ver­brau­cher ein Ersatz der ihm ent­stan­de­nen Schä­den zu. Die bestehen­de Balan­ce der Haf­tungs­tat­be­stän­de in der Pro­dukt- und Pro­du­zen­ten­haf­tung darf nicht durch­ein­an­der gebracht wer­den. Dabei ist es gera­de rich­tig, dass die Pro­dukt­haf­tung als Gefähr­dungs­haf­tung nur für schwer­wie­gen­de Ver­stö­ße ein­greift und des­we­gen auch nach oben begrenzt ist. Denn der Pro­du­zent haf­tet hier, ohne dass er schuld­haft gehan­delt haben muss. Ande­res gilt im Bereich der Pro­du­zen­ten­haf­tung: Hier haf­tet der Pro­du­zent für Ver­schul­den. Wird ihm die­ses nach­ge­wie­sen, so haf­tet er gegen­über dem Ver­brau­cher ohne Begren­zung auf einen Höchst­be­trag. Die Beweis­last dafür liegt beim Ver­brau­cher. Ob dem Ver­brau­cher der Nach-weis des Ver­schul­dens mög­lich ist, mag bei ver­netz­ten Pro­duk­ten durch­aus Fra­gen auf­wer­fen. Dies sind aber Fra­gen der Beweis­last und kei­ne Haf­tungs­fra­gen. Zudem sind Beweis­pro­ble­me kei­ne neu­en Fra­gen, son­dern kön­nen sich auch in der ana­lo­gen Welt stel­len, wenn meh­re­re Pro­duk­te mecha­nisch mit­ein­an­der ver­bun­den sind oder sonst in Wech­sel­wir­kung zuein­an­der ste­hen.

Bezüg­lich der Beweis­füh­rung wird zukünf­tig ent­schei­dend sein, wer Zugang zu den Daten der ver­netz­ten Pro­duk­te hat, und wer die­se Daten aus-wer­ten kann, um die Umstän­de etwai­ger Zurech­nungs­fra­gen bei Unfäl­len bzw. Haf­tungs­fäl­len zu klä­ren. Die Fra­ge der Ver­ant­wort­lich­keit lie­ße sich anhand der erho­be­nen Daten eigent­lich leich­ter beant­wor­ten als bis­her. Da-her ist zu eva­lu­ie­ren, wie die Mög­lich­keit zur Auf­zeich­nung und Ver­wer­tung von Daten bei Beweis­pro­ble­men berück­sich­tigt wer­den kann. Der Gesetz­ge­ber hat im Stra­ßen­ver­kehrs­ge­setz mit § 63a Abs. 3 StVG eine Rege­lung für Unfäl­le mit Betei­li­gung von Kraft­fahr­zeu­gen mit hoch- oder voll-auto­ma­ti­sier­ter Fahr­funk­ti­on gefun­den, die es erlaubt, die gespei­cher­ten Daten an Drit­te zu über­mit­teln.

Vor­sicht ist aber dabei gebo­ten, Haf­tungs­an­sprü­che gegen­über Unter­neh­men auf­grund der blo­ßen Ver­füg­bar­keit von Roh­da­ten zu begrün­den – auch wenn sie aus die­sen Daten das Scha­dens­er­eig­nis hät­ten vor­aus­se­hen kön­nen. Es wird zukünf­tig häu­fi­ger der Fall sein, dass ver­netz­te Pro­duk­te ihre Betriebs- und Zustands­da­ten regel­mä­ßig auch an den Her­stel­ler des Pro­dukts sen­den. Die Her­stel­ler dür­fen dabei nicht in die Pflicht genom­men wer­den, Daten­sät­ze vor­aus­schau­end hin­sicht­lich mög­li­cher Feh­ler bzw. Scha­dens­ur­sa­chen zu Pro­duk­ten aus­zu­wer­ten. Aus Sor­ge vor mög­li­chen Haf­tungs­an­sprü­chen wür­den Pro­dukt­her­stel­ler die­se Daten über­haupt nicht aus­wer­ten, sich die­se nicht ver­schaf­fen oder ihre Pro­duk­te nicht mit daten-gene­rie­ren­den Sen­so­ren aus­stat­ten.

Auch im Bereich der Haf­tung für Sicher­heits­lü­cken bei Soft­ware bie­tet das bestehen­de Gewähr­leis­tungs-, Delikts- und Pro­dukt­haf­tungs­recht grund­sätz­lich eine inter­es­sen­ge­rech­te Basis zum Umgang mit IT-Sicher­heits­vor­fäl­len. Ins­be­son­de­re die von der Recht­spre­chung ent­wi­ckel­te Pro­dukt­be­ob­ach­tungs­pflicht des Her­stel­lers (die im Fal­le der Iden­ti­fi­ka­ti­on von Schwach­stel­len zur Gefahr­ab­wen­dungs­pflicht wird) und die ent­spre­chen­den Beweis­last­um­kehr­re­ge­lun­gen zuguns­ten des Geschä­dig­ten füh­ren zu sach- und inter­es­sen­ge­rech­ten Lösun­gen.

Zwar stellt die Mani­pu­la­tio­nen von IoT-Pro­duk­ten durch Cyber­an­grif­fe das heu­ti­ge Haf­tungs­re­gime vor neue Her­aus­for­de­run­gen. Gera­de für sicher­heits­kri­ti­sche Anwen­dun­gen ist es ent­schei­dend, das gesam­te Sys­tem im Blick zu haben: Wer haf­tet, wenn in Zukunft bspw. eine auto­ma­ti­sier­te Ampel oder eine elek­tro­ni­sche Insu­lin­pum­pe von außen gehackt wird und schwe­re Unfäl­le bzw. Gesund­heits­schä­den ver­ur­sacht? Anstel­le von Geset­zes­än­de­run­gen soll­te an die­ser Stel­le aber in ers­ter Linie über Lösun­gen im Bereich der Stan­dar­di­sie­rung nach­ge­dacht wer­den. Gemein­sam defi­nier­te und auf Risi­ko­ana­ly­sen basie­ren­de Cyber­si­cher­heits-Richt­li­ni­en kön­nen hier einen Bei­trag leis­ten. Frei­wil­li­ge Selbst­er­klä­run­gen der Her­stel­ler auf Basis von inter­na­tio­nal har­mo­ni­sier­ten Sicher­heits­stan­dards sind aus­rei­chend. Gesetz­li­che Vor­ga­ben an die Sicher­heit von IT-Pro­duk­ten und deren Kenn­zeich­nung soll­ten sich – schon auf­grund der Geschwin­dig­keit der tech­ni­schen Ent­wick­lung – auf grund­le­gen­de, tech­no­lo­gie­of­fe­ne und je nach Anwen­dungs­ge­biet abge­stuf­te Anfor­de­run­gen beschrän­ken und die kon­kre­ten Umset­zungs­maß­nah­men der Indus­trie über­las­sen. Hin­zu kommt, dass das deut­sche IT-Sicher­heits­ge­setz eben­so wie auch die euro­päi­sche NIS-Richt­li­nie für die „Betrei­ber kri­ti­scher Infra­struk­tu­ren“ beson­de­re Vor-gaben macht. Dane­ben wer­den ver­schie­de­ne bran­chen­spe­zi­fi­sche Stan­dards erar­bei­tet, die zukünf­tig ver­pflich­tend für die Betrei­ber von kri­ti­schen Infra-struk­tu­ren sein wer­den. Die­se Stan­dards wer­den sich in ihren jewei­li­gen Bran­chen auch auf die ande­ren Markt­teil­neh­mer (ande­re Betrei­ber, Her­stel­ler, Wie­der­ver­käu­fer und Sys­tem­in­te­gra­to­ren) aus­wir­ken und die Anfor­de­run­gen auch an die­se deut­lich erhö­hen.

IT-Sicher­heits­stan­dards wer­den eine immer grö­ße­re Bedeu­tung spie­len und den Haf­tungs­maß­stab ver­schär­fen. Die­se Ver­schär­fung wird sowohl für das Gewähr­leis­tungs­recht (über die Defi­ni­ti­on der Markt­üb­lich­keit) als auch für die Pro­du­zen­ten- und Pro­dukt­haf­tung (durch höhe­re Anfor­de­run­gen an die Ver­kehrs­si­che­rungs­pflich­ten, ins­be­son­de­re die Pro­dukt­be­ob­ach­tungs­pflicht) rele­vant.

  1. Haf­tung im unter­neh­me­ri­schen Geschäfts­ver­kehr

Von den Fra­ge­stel­lun­gen, die sich im B2C-Bereich stel­len, sind die Fra­gen zu unter­schei­den, die aus­schließ­lich den B2B-Bereich betref­fen. Hier liegt der Schwer­punkt aller­dings auf der ver­trag­li­chen Haf­tung, da in aller Regel Ver­trags­be­zie­hun­gen zwi­schen den Betei­lig­ten exis­tie­ren; delik­ti­sche Ansprü­che dürf­ten eine unter­ge­ord­ne­te Rol­le spie­len.

Zur Dis­kus­si­on ste­hen in ers­ter Linie Fra­gen der Zuord­nung und Zurech­nung inner­halb der Wert­schöp­fungs­ket­te und bei meh­re­ren an einem Scha­dens­er­eig­nis Betei­lig­ten. Es geht dar­um, ob und wie die Haf­tung in der Lie­fer­ket­te wei­ter­ge­ge­ben wird oder wie bei ver­netz­ten Sys­te­men ein Haf­tungs­aus­gleich zwi­schen den betei­lig­ten Akteu­ren erfol­gen soll. Da hier aus­schließ­lich der unter­neh­me­ri­sche Rechts­ver­kehr betrof­fen ist, gilt der Grund­satz der Ver­trags­frei­heit. Aus Sicht von Han­no­ver IT kön­nen die Kon­stel­la­tio­nen ver­trag­lich zufrie­den­stel­lend gelöst wer­den. Die Unter­neh­men sind sich zudem der Pro­ble­me, die durch Soft­ware­feh­ler oder unzu­rei­chen­de Sicher­heits-Updates ent­ste­hen kön­nen, bewusst. So wer­den ins­be­son­de­re von Soft­ware-Unter­neh­men mit ihren Ver­trags­part­nern Ser­vice Level Agree­ments ver­ein­bart.

Im B2B-Bereich ist aller­dings zu erwä­gen, ob das deut­sche AGB-Recht im rein unter­neh­me­ri­schen Rechts­ver­kehr einer Anpas­sung im Hin­blick auf Haf­tungs­be­schrän­kun­gen bedarf. Ins­be­son­de­re im Zusam­men­hang mit Indus­trie 4.0 und neu­en, auch in ihrer Höhe nicht abseh­ba­ren Haf­tungs­ri­si­ken ist zu dis­ku­tie­ren, ob es im unter­neh­me­ri­schen Ver­kehr mög­lich sein soll, eine Haf­tungs­be­gren­zung rechts­si­cher ver­trag­lich ver­ein­ba­ren zu kön­nen

X