Cyberresilienz: Neue Form der Produkthaftung?

Nach 37 Jahren liegt endlich ein Kommissionsentwurf für eine neue Produkthaftungsrichtlinie der Europäischen Union (EU) vor. Wer nun aber glaubt, Brüssel würde nach so langer Zeit einen gut abgehangenen Gesetzentwurf vorlegen, sieht sich getäuscht.

Worum geht es? Die Industrie soll künftig für Schadensfälle haften, wenn man ihren Produkten mangelnde „Cyberresilienz“ nachweisen kann. Die herstellende Wirtschaft soll ihre angebliche Verwundbarkeit durch Internetattacken in den Griff bekommen. Das Problem: Es gibt keine genaue Definition, mit der die Industrie arbeiten könnte.

Das gilt übrigens auch für einen weiteren EU-Gesetzentwurf – den „Cyber Resilience Act“. Analog zur Welt der vielen Produkte mit einer CE-Kennzeichnung sollen dort nationale Marktüberwachungsbehörden eine fehlende Cybersicherheit in Verkehr gebrachter Produkte amtlich überwachen.

In der Industrie weiß man, dass derart unklar formulierte Gesetze für die betroffenen Unternehmen vor allem eins werden: ziemlich teuer. Wenn unterschiedliche Bedeutungen von „Sicherheit“ demnächst gleichgesetzt würden, drohen aufwendige, aber leider kostenlose Programm-Aktualisierungen dort, wo ansonsten kostenpflichtige Abo-Modelle angedacht waren.

Es ist auch gesetzgeberisch mehr als voreilig, absichtlichen IT-Vandalismus Dritter mit der Produkthaftung auszahlen zu wollen. Denn deren DNA liegt in versehentlichen, nicht in vorsätzlich herbeigeführten Schadensfällen.

Thomas Klindt ist Autor bei der Fachzeitschrift „Betriebsberater“ und Partner der Kanzlei Noerr. Dieser Artikel stammt aus der Kooperation zwischen dem Handelsblatt und der Fachzeitschrift.

Mehr: Cybersicherheitsvorschriften stellen Hersteller vor neue Herausforderungen.