EU-Klartext: Software-Hersteller haften künftig direkt

Die EU verlagert die Haftung für fehlerhafte Software radikal auf die Hersteller – ein Paradigmenwechsel für die gesamte Digitalbranche.

Brüssel. Der Countdown läuft: Ab Ende 2026 müssen Software-Hersteller in der EU für Sicherheitslücken und Datenschäden direkt geradestehen. Eine neue Produkthaftungsrichtlinie und der Cyber Resilience Act beenden die bisherige Rechtsunsicherheit. Künftig gilt Software offiziell als „Produkt“. Für Entwickler von KI-Systemen bis zu Cloud-Diensten bedeutet das verschuldensunabhängige Haftung.

Das ist die Revolution im Detail: Geschädigte müssen nicht mehr nachweisen, dass der Hersteller fahrlässig handelte. Es reicht der Nachweis, dass die Software fehlerhaft war und ein Schaden entstand. Als fehlerhaft gilt ein Programm schon dann, wenn es nicht das vernünftigerweise erwartete Sicherheitsniveau bietet. Die deutsche Bundesregierung hat die Umsetzung dieser EU-Vorgaben bereits auf den Weg gebracht.

„Diese Einstufung hat erhebliche Folgen“, sagt eine Brüsseler Expertin. „Die Haftung endet nicht mehr mit dem Verkauf, sondern erstreckt sich über den gesamten Lebenszyklus der Software.“ Hersteller sind damit für Sicherheits-Updates und Schwachstellen-Management verantwortlich, solange sie die Kontrolle über das Produkt behalten.

Viele Hersteller unterschätzen die Haftungsfolgen der neuen EU-Regeln – Sicherheitslücken können künftig direkt zu hohen Schadensersatzforderungen und Regressansprüchen führen. Besonders kleine und mittlere Unternehmen stehen vor erhöhten Compliance-Kosten, wenn sie ihre Produkte nicht resilient auslegen. Ein kostenloses E‑Book zeigt praxisorientiert, welche technischen und organisatorischen Maßnahmen sofort wirken, wie Sie Schwachstellen priorisieren und eine Governance aufbauen, die Gerichtsprozesse und Bußgelder verhindert. Enthalten sind Checklisten und umsetzbare Schritte für IT-Teams ohne großen Aufwand. Jetzt kostenlosen Cybersecurity-Leitfaden herunterladen

Cyber Resilience Act setzt den Sicherheitsmaßstab

Parallel schafft der Cyber Resilience Act (CRA) verbindliche Cybersicherheits-Standards. Die Nichteinhaltung dieser Vorgaben kann vor Gericht als Beweis für einen Produktfehler dienen. Stellt sich heraus, dass eine mangelhafte Sicherheitsarchitektur zu einem Datenleck führte, haftet der Hersteller.

Der CRA trat bereits Ende 2024 in Kraft, mit Übergangsfristen bis Ende 2027. Die Kombination aus neuem Haftungsrecht und konkretem Sicherheitsstandard stellt die Branche vor massive Herausforderungen. Vor allem für KMU könnten die Compliance-Kosten steigen. Die EU hat darauf reagiert und reine Open-Source-Projekte weitgehend ausgenommen.

Was bedeutet das für Anwender und Verbraucher?

Für Unternehmen, die Software nutzen, verschiebt sich das Risiko. Bisher trugen sie als „Verantwortliche“ nach der DSGVO die Hauptlast. Künftig können sie bei Schäden durch fehlerhafte Software direkt beim Hersteller Regress nehmen. Das wird Vertragsverhandlungen mit Anbietern wie SAP oder Microsoft fundamental verändern.

Verbraucher profitieren ebenfalls: Ansprüche bei Datenverlust durch fehlerhafte Apps oder Programme lassen sich einfacher durchsetzen. Die EU stärkt so gezielt die Rechte der Endnutzer in ihrem digitalen Binnenmarkt.

Teil einer große Strategie – und ein Warnschuss

Die Haftungsverschiebung ist kein Einzelphänomen. Sie ist ein strategischer Baustein im EU-Regelwerk aus KI-Gesetz (AI Act), Data Act und NIS2-Richtlinie. Gemeinsam ziehen sie das regulatorische Netz enger.

Die Botschaft an die Tech-Branche ist klar: Wer in Europa Geschäfte machen will, muss Security by Design ernst nehmen. Proaktives Risikomanagement und robuste Governance-Strukturen werden zum Überlebensfaktor. Der Trend ist unumkehrbar: Die Verantwortung für digitale Sicherheit rückt an den Ursprung – zurück zu denen, die den Code schreiben.

PS: Wer die neuen Gesetze wie AI Act, CRA und die verschärfte Produkthaftung ernst nimmt, reduziert sein Haftungsrisiko messbar. Das Gratis‑E‑Book erklärt, welche Awareness‑Maßnahmen, technischen Kontrollen und Dokumentationen Entscheider jetzt priorisieren sollten – ideal für Geschäftsführer, Datenschutz- und IT-Verantwortliche. Mit klaren Handlungsempfehlungen für kleine Budgets und Praxisbeispielen. Gratis-E-Book: Cybersecurity Awareness Trends herunterladen