Haftung für unsichere Software
Auswirkungen des Cyber Resilience Act auf das Produkthaftungsrecht
Im Jahr 2024 erließ die EU eine neue Produkthaftungsrichtlinie (ProdHaftRL),¹ die bis zum 9. Dezember 2026 in nationales Recht umzusetzen ist.² Anders als die Vorgängerrichtlinie aus dem Jahr 1985³ widmet sie sich in besonderer Weise der Haftung für Software⁴ und dabei auch der Cybersicherheit⁵.
Wie bisher ist für die Haftung erforderlich, dass ein von der Richtlinie geschütztes Interesse⁶ durch einen Fehler des Produkts verletzt wurde und kein Haftungsausschluss greift. Allerdings enthält die ProdHaftRL auch einige Updates, insbesondere löst sie sich von dem „Werktorprinzip“ der alten Richtlinie,⁷ wonach der Hersteller nicht für Veränderungen haften sollte, die erst nach dem Inverkehrbringen des Produkts eintreten, und berücksichtigt damit, dass die (Cyber-)Sicherheit von digitalen Produkten fortlaufender Anpassung bedarf.⁸
Erwägungsgrund 4 zufolge soll die Reform der EU-Produkthaftung auch Kohärenz zwischen Produkthaftungs- und Produktsicherheitsrecht herstellen. Die ProdHaftRL verweist an mehreren Stellen auf die Vorschriften über die Produktsicherheit.⁹ Hinsichtlich der Cybersicherheit stellt sich dabei insbesondere die Frage nach dem Einfluss des Cyber Resilience Act (CRA)¹⁰ auf die EU-Produkthaftung. Der CRA wurde ebenfalls 2024 erlassen und etabliert erstmals einen horizontalen Rechtsrahmen für die Cybersicherheit von grundsätzlich¹¹ allen „Produkten mit digitalen Elementen“. Die Beispiele für solche Produkte sind vielfältig; hierzu zählen etwa Videobearbeitungstools, Wearables, Smart-TVs, Router, vernetzte Überwachungsanlagen und Smart-Meter-Gateways. Auch freie und quelloffene Software ist erfasst, sofern sie im Rahmen einer Geschäftstätigkeit bereitgestellt wird.¹² Die Produkte werden in Abhängigkeit von ihrem Risiko in verschiedene Kategorien unterteilt, für die unterschiedliche Anforderungen gelten.¹³ Alle geregelten Produkte müssen sogenannte grundlegende Cybersicherheitsanforderungen erfüllen.¹⁴ Beispielsweise müssen sie ohne bekannte ausnutzbare Schwachstellen bereitgestellt werden¹⁵ und dabei sicherstellen, dass Schwachstellen durch Sicherheitsaktualisierungen behoben werden können.¹⁶ Auch der CRA trägt außerdem der Dynamik der Cybersicherheit Rechnung, insbesondere indem er Pflichten zur Behandlung von Schwachstellen durch Aktualisierungen über das Inverkehrbringen hinaus normiert.¹⁷ Wie lange diese Verpflichtung anhält, richtet sich nach dem sogenannten Unterstützungszeitraum.¹⁸ Dieser muss vom Hersteller anhand der voraussichtlichen Nutzungsdauer des Produkts festgelegt werden.¹⁹ Bereit gestellte Updates müssen während des Unterstützungszeitraums, mindestens aber für zehn Jahre, verfügbar bleiben.²⁰
Die Einhaltung des CRA wird grundsätzlich durch die nationalen Marktüberwachungsbehörden kontrolliert;²¹ bei einem Verstoß drohen Geldbußen.²² In den Erwägungsgründen des CRA wird außerdem darauf hingewiesen, dass ein Sicherheitsmangel die Haftung nach der ProdHaftRL zur Folge haben könnte.²³ Hier schließt sich der Kreis: Der CRA kann die Regelungen der ProdHaftRL konkretisieren und die Haftung so für Wirtschaftsakteure und Gerichte handhabbarer und damit effektiver machen. Zugleich kann die ProdHaftRL zur Effektivität des CRA beitragen, wenn Wirtschaftsakteure damit rechnen müssen, im Fall eines Verstoßes nicht nur von Behörden, sondern auch von geschädigten Individuen in Anspruch genommen zu werden.²⁴
I. EU-Produkthaftung für Verstöße gegen den CRA
Art. 7 Abs. 1 Alt. 2 ProdHaftRL stellt klar,²⁵ dass ein Produkt, das nicht die Sicherheit bietet, die nach Unionsrecht vorgeschrieben ist, als fehlerhaft anzusehen ist. Ein Verstoß gegen den CRA führt somit zu einem Produktfehler. Dies gilt nur dann nicht, wenn die verletzte Vorschrift nicht vor Schäden i.S.v. Art. 6 ProdHaftRL schützen soll, was zum Beispiel bei der Verpflichtung, die CE-Kennzeichnung auf dem Produkt anzubringen (Art. 30 CRA), der Fall sein dürfte.²⁶ Da das Produkt selbst von der ProdHafRL nicht geschützt wird (Art. 6 Abs. 1 lit. b i ProdHaftRL), müssen Cybersicherheitsanforderungen betroffen sein, die nicht nur das Produkt vor Einwirkungen von außen schützen, sondern zugleich den Rechtsverkehr vor Risken durch das Produkt, was allerdings bei den weit formulierten Anforderungen des CRA regelmäßig zu bejahen ist.²⁷ Art. 10 Abs. 2 lit. b ProdHaftRL sieht für den Fall der Verletzung von verbindlichen Produktanforderungen außerdem eine Vermutung des Fehlers vor, die angesichts der Regel in Art. 7 Abs. 1 Alt. 2 ProdHaftRL allerdings keinen praktischen Anwendungsbereich haben dürfte.
Der Fehler kann auch darin bestehen, dass eine nachträglich entstandene Schwachstelle nicht durch ein Update behandelt wurde. Wenn der Hersteller die Kontrolle über das Produkt behält, was insbesondere der Fall ist, solange er Updates bereitstellen kann, werden, anders als unter der alten Richtlinie, auch Änderungen des Sicherheitsstandards nach Inverkehrbringen²⁸ berücksichtigt (Art. 7 Abs. 2 lit. e, Art. 4 Nr. 5 lit. b ProdHaftRL). Zwar enthält die ProdHaftRL weiterhin eine Later Defect Defence, wonach der Hersteller nicht haftet, wenn der Fehler beim Inverkehrbringen noch nicht bestand (Art. 11 Abs. 1 lit. c ProdHaftRL), die Berufung hierauf ist bei fortdauernder Kontrolle aber neuerdings ausgeschlossen, wenn der Fehler auf dem Fehlen von erforderlichen Sicherheitsupdates beruht (Art. 11 Abs. 2 lit. c ProdHaftRL). „Erforderlich“ in diesem Sinne sind jedenfalls Updates, die der Hersteller nach dem CRA bereitstellen musste (vgl. Art. 13 Abs. 8, Anh. I Teil II CRA).²⁹ Diese Berücksichtigung der Kontrolle über das Inverkehrbringen hinaus könnte auf den ersten Blick für den Hersteller einen Anreiz schaffen, die Update-Möglichkeit frühzeitig aufzugeben, indem er die Updates vor Ende des festgelegten Unterstützungszeitraums i.S.d. CRA einstellt oder von vornherein einen Unterstützungszeitraum festlegt, der kürzer ist als die voraussichtliche Nutzungsdauer (vgl. Art. 13 Abs. 8 CRA). Indes könnte dann zwar nicht mehr an das Fehlen des Updates angeknüpft werden, jedoch würde die den CRA verletzende Aufgabe der Update-Möglichkeit den Fehler und die Haftung begründen.
Auch eine Berufung auf die Development Risk Defence, wonach der Hersteller nicht haftet, wenn der Fehler nach dem objektiven Stand der Wissenschaft und Technik nicht erkannt werden konnte (Art. 11 Abs. 1 lit. e ProdHaftRL), scheidet bei einem Verstoß gegen den CRA meist aus. Gesetzesverstöße sind grundsätzlich erkennbar;³⁰ eine Ausnahme wird im Folgenden noch erörtert.³¹ Unter der neuen Richtlinie kommt es für die Erkennbarkeit des Fehlers nicht mehr nur auf den Zeitpunkt des Inverkehrbringens an, sondern ist bei fortdauernder Herstellerkontrolle der Zeitpunkt des Kontrollverlusts maßgeblich.
II. EU-Produkthaftung trotz Einhaltung des CRA?
Der Verstoß gegen Produktsicherheitsrecht ist nur eine Möglichkeit eines Fehlers. Selbst wenn dessen Vorschriften eingehalten wurden, kann die Sicherheit des Produkts i.S.v. Art. 7 Abs. 1 Alt. 1 ProdHaftRL hinter den berechtigten Erwartungen zurückbleiben und ein Fehler vorliegen.³² Die Einhaltung ist ein „Umstand“, der bei der Beurteilung dieser Erwartungen nach Art. 7 Abs. 2 lit. f ProdHaftRL „zu berücksichtigen“ ist, jedoch nicht automatisch zur Fehlerfreiheit führt. Das Produktsicherheitsrecht kann nur dann einen abschließenden Maßstab für die Fehlerhaftigkeit darstellen, wenn der Gesetzgeber die Produktrisiken vollständig geregelt hat und der Hersteller auch nicht selbst einen höheren Standard gesetzt hat, zum Beispiel durch die Produktpräsentation (vgl. Art. 7 Abs. 2 lit. a ProdHaftRL). Der CRA enthält keine solche vollständige Regelung der Cybersicherheit. Dies folgt bereits aus Art. 57 CRA, wo der Fall der konformen Produkte, die ein erhebliches Cybersicherheitsrisiko bergen, geregelt ist. Der Gesetzgeber scheint davon auszugehen, dass auch Produkte, die mit dem CRA vereinbar sind, ein nicht hinnehmbares Risiko bergen können. Da der CRA allerdings eine Vielzahl von Anforderungen regelt und diese sehr offen formuliert sind – dazu sogleich –, liegt bei einem nicht hinnehmbaren Risiko meist auch eine Verletzung einer dieser Anforderungen vor.³³ Wird der CRA eingehalten, dürfte daher nur selten ein Fehler vorliegen. So ist beispielsweise zweifelhaft, ob eine unbehandelte Schwachstelle, die nach Ablauf des korrekt festgelegten Unterstützungszeitraums entsteht, die EU-Produkthaftung des Herstellers begründen kann. Ein Gegenbeispiel könnte eine anfängliche Schwachstelle sein, die nicht „bekannt“ i.S.v. Anh. I Teil I Nr. 2 lit. a CRA ist. Stellt diese ein nicht hinnehmbares Risiko dar, liegt zwar kein Verstoß gegen den CRA vor, wohl aber ein Fehler i.S.v. Art. 7 Abs. 1 Alt. 1 ProdHaftRL. War die Schwachstelle erkennbar, kann sich der Hersteller auch nicht auf die Development Risk Defence berufen. Entsprechendes gilt, wenn eine Schwachstelle im Einklang mit Anh. I Teil II CRA unverzüglich behoben wird, jedoch bereits zuvor einen Schaden verursacht hat; für diesen Schaden kann ebenfalls gehaftet werden.
Die Regulatory Compliance Defence, die es dem Hersteller erlaubt, sich zu entlasten, wenn der Fehler darauf zurückzuführen ist, dass das Produkt rechtlichen Anforderungen entspricht (Art. 11 Abs. 1 lit. d ProdHaftRL), dürfte – wie schon unter der alten Richtlinie – selten relevant werden.³⁴ Der CRA schreibt meist keine konkreten Maßnahmen vor, sondern kann auf verschiedene Weise eingehalten werden, sodass der Fehler nicht gerade auf seine Befolgung zurückgeht. Der CRA verhindert in der Regel selbst, dass die „Zwangslage“, die durch den Haftungsausschluss verhindert werden soll,³⁵ entsteht, zum Beispiel erlaubt er es dem Hersteller, die an sich erforderlichen Informationen über Schwachstellen aufzuschieben, wenn die Risiken der Veröffentlichung die Vorteile in Bezug auf die Sicherheit überwiegen (Anh. I Teil II Nr. 4 CRA).
III. Auswirkung der (fehlenden) Übereinstimmung mit harmonisierten Normen
Die beschriebene Verzahnung von CRA und ProdHaftRL trägt allein nur bedingt zur Konkretisierung der Haftungsvorschriften bei. Wie bereits erwähnt, sind auch einige Anforderungen des CRA sehr abstrakt formuliert und müssen weiter präzisiert werden. Art. 6 lit. a, Anh. I Teil I Nr. 2 lit. j CRA verlangen beispielsweise, dass Produkte mit digitalen Elementen „so konzipiert, entwickelt und hergestellt werden, dass sie – auch bei externen Schnittstellen – möglichst geringe Angriffsflächen bieten“. Dieser hohe Abstraktionsgrad ist allerdings keine Nachlässigkeit des Gesetzgebers, sondern hängt mit der allgemeinen Regelungstechnik des EU-Produktsicherheitsrechts zusammen, die im Jahr 2008 mit dem „New Legislative Framework“ neu konzipiert wurde.³⁶ Typischerweise werden in den EU-Rechtsakten selbst nur die „wesentlichen Anforderungen“ festgelegt, wohingegen die technischen Spezifikationen, welche diese abstrakten Anforderungen konkretisieren, in „harmonisierten Normen“³⁷ enthalten sind, die von privaten Normungsorganisationen erarbeitet werden.³⁸ Art. 27 Abs. 1 CRA sieht – ähnlich wie andere EU-Rechtsakte – vor, dass bei Produkten und Verfahren, die mit im Amtsblatt angegebenen harmonisierten Normen übereinstimmen, eine Konformität mit den grundlegenden Sicherheitsanforderungen vermutet wird, soweit diese von den Normen abgedeckt sind.³⁹ Die Vermutung erleichtert dem Hersteller die Einhaltung der Anforderungen, schließt Maßnahmen der Marktüberwachungsbehörden allerdings nicht aus; sie ist also widerlegbar.⁴⁰ Inwieweit sie im Zivilprozess eine Beweislastumkehr bewirken kann, ist nicht ganz klar; bei der EU-Produkthaftung sind aber jedenfalls die speziellen Regeln in Art. 10 ProdHaftRL vorrangig.
Die harmonisierten Normen zur Konkretisierung des CRA werden derzeit von den Organisationen CEN, CENELEC und ETSI erarbeitet.⁴¹ Die Einhaltung von harmonisierten Normen ist freiwillig,⁴² sodass die fehlende Übereinstimmung nicht automatisch zur Fehlerhaftigkeit i.S.v. Art. 7 Abs. 1 ProdHaftRL führt. Allerdings dürfte die fehlende Übereinstimmung einen Anschein⁴³ für einen Verstoß gegen die Produktanforderungen begründen.⁴⁴ Denn es lässt sich ein Erfahrungsgrundsatz formulieren, wonach bei der Nichtbefolgung einer solchen Norm ein Verstoß gegen den EURechtsakt vorliegt: Nach der Konzeption des EU-Produktsicherheitsrechts ist die Einhaltung der zwingenden Vorgaben durch Einhaltung der harmonisierten Normen die Regel, die anderweitige Einhaltung dagegen die Ausnahme, die für den Hersteller mit einem erhöhten Begründungsaufwand bei der Konformitätsbewertung verbunden ist.⁴⁵ Da die harmonisierten Normen durch fachkundige Normungsorganisationen unter Beteiligung von Interessenträgern⁴⁶ und der Kommission⁴⁷ erarbeitet wurden, ist außerdem die Wahrscheinlichkeit sehr groß, dass sie die Produktanforderungen zutreffend spezifizieren. Entsprechend kann umgekehrt die Einhaltung von harmonisierten Normen den Anschein der Einhaltung der Produktanforderungen begründen,⁴⁸ was allerdings, wie erläutert, den Fehler nicht ausschließt.
Ein Anschein ist indes erschüttert und damit wirkungslos, wenn atypische Umstände vorliegen, welche die ernsthafte Möglichkeit eines abweichenden Ergebnisses nahelegen.⁴⁹ Atypische Umstände, die den Anschein eines Verstoßes gegen den CRA erschüttern, könnten die Wahl eines Konformitätsbewertungsverfahrens, das die Anwendung der Normen nicht voraussetzt,⁵⁰ oder formelle Einwände gegen die Norm⁵¹ sein. Bei Software existiert häufig eine Vielzahl von Optionen für die Gestaltung der Produkte,⁵² sodass eine Erschütterung nicht selten möglich sein dürfte. Der Anschein der Einhaltung des CRA könnte zum Beispiel erschüttert sein, wenn die Normen veraltet sind, weil sie neu entdeckte Cybersicherheitsrisiken nicht berücksichtigen.
Für die Regulatory Compliance Defence spielen die harmonisierten Normen keine Rolle, da es sich dabei nicht um „rechtliche“ Anforderungen handelt.⁵³ Überwiegend wird auch davon ausgegangen, dass die Befolgung von Normen nicht die Development Risk Defence begründen kann, da nicht immer der Stand der Wissenschaft und Technik wiedergegeben werde.⁵⁴ Allerdings soll die Konformitätsvermutung den Hersteller gerade davon entlasten, eigenständig gesetzeskonforme Lösungen im Einklang mit dem Stand von Technik und Wissenschaft entwickeln zu müssen – wie es ohne die Normen erforderlich wäre.⁵⁵
Soweit und solange das Produkt den harmonisierten Normen entspricht – aber auch nur soweit und solange⁵⁶ –, sollte er deshalb davon ausgehen dürfen, dass die konkretisierten Anforderungen eingehalten werden und sich auf den Haftungsausschluss berufen können. Grenze ist die positive Kenntnis der Unrichtigkeit der harmonisierten Norm. Die Inanspruchnahme durch die Behörden bleibt außerdem möglich.
IV. Ergänzung der EU-Produkthaftung durch die nationale Produzentenhaftung
Ein Verstoß gegen den CRA kann auch die Deliktshaftung nach §§ 823 ff. BGB nach sich ziehen, die grundsätzlich⁵⁷ neben der EU-Produkthaftung anwendbar bleibt (Art. 2 Abs. 4 lit. b ProdHaftRL).⁵⁸ Dies wird beispielsweise relevant, wenn der Schaden, zum Beispiel eine Vermögens- oder Persönlichkeitsverletzung, nicht von Art. 6 ProdHaftRL erfasst ist – der CRA ist nicht auf den Schutz vor solchen Schäden beschränkt –, wenn die grundsätzlich zehnjährige Ausschlussfrist (Art. 17 ProdHaftRL) abgelaufen ist – der Unterstützungszeitraum i.S.d. CRA kann länger sein –, oder wenn einem nachträglich entstandenen Risiko nicht durch Updates, sondern nur durch andere Maßnahmen, zum Beispiel Warnungen, begegnet werden kann – der CRA sieht auch nachträgliche Informationspflichten vor.⁵⁹
Die Vorschriften des CRA sind, sofern sie geeignet sind, Schäden zu verhindern, als Schutzgesetze i.S.v. § 823 Abs. 2 BGB einzuordnen,⁶⁰ was insbesondere eine Haftung für Vermögensschäden erlaubt. Liegt ein Fehler i.S.d. EU-Produkthaftung⁶¹ vor, vermutet die Rechtsprechung auch im Rahmen von § 823 Abs. 1 BGB die Fahrlässigkeit,⁶² der allerdings nur bestimmte Schäden abdeckt. Zwar kann sich der Hersteller durch den Nachweis eines fehlenden (Organisations-) Verschulden entlasten; doch wird ihm dies bei einem Verstoß gegen gesetzliche Vorschriften nur sehr selten gelingen.⁶³ Auch bei der Deliktshaftung erscheint eine Entlastung möglich, wenn der Hersteller auf harmonisierte Normen vertrauen darf. Die Einhaltung des CRA schließt als solche auch die Haftung nach § 823 Abs. 1 BGB nicht aus.⁶⁴
V. Fazit: Zwei Seiten einer Medaille mit unterschiedlichen Gravuren
Produktsicherheits- und Produkthaftungsrecht werden mitunter als „zwei Seiten einer Medaille“ beschrieben.65 Was den CRA und die ProdHaftRL angeht, ist diese Beschreibung zutreffend. Gemeinsames Ziel ist der Schutz vor (Cyber-)Sicherheitsrisiken.66 Dabei verstärken sich die beiden Rechtsakte gegenseitig: Die Feststellung, dass ein Produkt den CRA verletzt oder einhält, erleichtert den Wirtschaftsakteuren und Gerichten die Feststellung der Haftung, was die Produkthaftung effektiver macht. Zugleich schafft die Aussicht auf eine Haftung bei Verstößen gegen den CRA Anreize zu dessen Einhaltung und trägt damit zu seiner Effektivität bei. Die beiden Medaillenseiten haben allerdings unterschiedliche Gravuren, denn die beiden Rechtsakte ergänzen sich auch gegenseitig: Bestimmte Cybersicherheitsrisiken begründen zwar keine Haftung, können aber Maßnahmen nach dem CRA nach sich ziehen, und umgekehrt.
Der Beitrag geht zurück auf einen 2024 veröffentlichten Aufsatz (RDi 2024, 492) sowie auf
Vorträge, die am 17.10.2025 im Rahmen der „Distinguished Lecture Series“ an der LMU München und am 23.10.2025 auf der BvD-Herbstkonferenz gehalten wurden.
Quellen
1 Richtlinie (EU) 2024/2853.
2 Art. 22 Abs. 1 ProdHaftRL. Ein Referentenentwurf des BMJV liegt bereits vor (11.9.2025), vgl. https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/DE/2025_Produkthaftung.html (zuletzt abgerufen am 5.11.2025).
3 Richtlinie 85/374/EWG.
4 Vgl. Art. 4 Nr. 2 ProdHaftRL. Ob auch die alte Richtlinie Software umfasst, ist umstritten, vgl. Mayrhofer, Außervertragliche Haftung für fremde Autonomie, 2023, S. 236 ff. m.w.N.
5 Vgl. Art. 7 Abs. 2 lit. f, Erwgr. 32 S. 5, Erwgr. 34, Erwgr. 51, Erwgr. 55 ProdHaftRL.
6 Vgl. Art. 6 ProdHaftRL.
7 Vgl. Hollmann, DB 1985, 2389 (2396).
8 Zur (unvollständigen) Aufgabe des Werktorprinzips siehe Mayrhofer, in: Messner-Kreuzbauer (Hrsg.), The Revised Product Liability Directive. Open Questions at the Time of Implementation (erscheint 2026).
9 Vgl. Art. 4 Nr. 18 lit. a, Art. 7 Abs. 1 Alt. 2, Abs. 2 lit. f, Art. 10 Abs. 2 lit. b, Art. 11 Abs. 1 lit. d ProdHaftRL.
10 Verordnung (EU) 2024/2847.
11 Zu den Ausnahmen siehe Zirnstein, CRi 2024, 65 (66).
12 Vgl. Erwgr. 18 S. 3, Art. 24 CRA. Im Übrigen gelten Sondervorschriften, vgl. Erwgr. 19 S. 1 CRA.
13 Vgl. Art. 7–8 CRA.
14 Vgl. Art. 6, Anh. I CRA.
15 Art. 6 lit. a, Anh. I Teil I Nr. 2 lit. a CRA.
16 Art. 6 lit. b, Anh. I Teil II Nr. 2 CRA.
17 Vgl. Art. 13 Abs. 8 CRA, Anh. I Teil II Nr. 2 CRA.
18 Vgl. Art. 13 Abs. 8, Art. 3 Nr. 20 CRA; Ruttloff/Wagner/Stilz, BB 2024, 1603 (1606).
19 Art. 13 Abs. 8 UAbs. 1 CRA. Nach UAbs. 3 beträgt der Zeitraum mindestens fünf Jahre; allerdings gilt dies nicht, wenn von einer voraussichtlichen Nutzungsdauer von weniger als fünf Jahren ausgegangen wird. Gem. UAbs. 4 kann die Kommission mittels delegierter Rechtsakte Mindestzeiträume für bestimmte Produktkategorien festlegen, wenn die Marktüberwachungsdaten auf unangemessene Unterstützungszeiträume hindeuten.
20 Art. 13 Abs. 9, Anh. I Teil II Nr. 8 CRA.
21 Vgl. Art. 52 ff. CRA.
22 Vgl. Art. 64 CRA.
23 Erwgr. 31 CRA.
24 Art. 65 CRA sieht auch die Möglichkeit von Verbandsklagen i.S.d. Richtlinie (EU) 2020/1828 vor.
25 Auch unter der alten Richtlinie führte ein Verstoß gegen Produktsicherheitsrecht grundsätzlich zur Fehlerhaftigkeit, vgl. Wagner, JETL 2024, 172 (195).
26 Schucht, InTeR 2023, 71 (77).
27 Vgl. Schucht, InTeR 2023, 71 (77).
28 Dem Inverkehrbringen gleichgestellt wird die „Inbetriebnahme“; zu den Definitionen siehe Art. 4 Nr. 7–9 ProdHaftRL.
29 Vgl. Brenner, RDi 2024, 345 (352).
30 Vgl. MüKoBGB/Wagner, 9. Aufl. 2024, ProdHaftG § 1 Rn. 57.
31 Siehe III.
32 Vgl. Wagner, VersR 2025, 129 (137); siehe auch BGH, Urt. v. 25.2.2014 – VI ZR 144/13, BGHZ 200, 242 = NJW 2014, 2106 Rn. 8.
33 Vgl. allgemein zum Produktsicherheitsrecht Wagner, VersR 2025, 129 (137).
34 Wagner, VersR 2025, 129 (137).
35 Vgl. zu diesem Ziel der Entlastungsmöglichkeit unter der alten Richtlinie BT-Drs. 11/2447, S. 15.
36 Vgl. dazu Verordnung (EG) Nr. 765/2008, Beschluss Nr. 768/2008/EG; siehe auch Verordnung (EU) 2019/1020.
37 Vgl. Art. 2 Nr. 1 lit. c Verordnung (EU) Nr. 1025/2012.
38 Vgl. Europäische Kommission, Leitfaden für die Umsetzung der Produktvorschriften der EU 2022 („Blue Guide“), 2022, S. 7 ff.
39 Entsprechendes gilt für sogenannte Gemeinsame Spezifikationen, vgl. Art. 27 Abs. 5 CRA; siehe auch Art. 27 Abs. 8 CRA zu Cybersicherheitszertifizierungen i.S.d. Verordnung (EU) 2019/881.
40 Vgl. im Kontext des § 4 Abs. 2 ProdSG Wilrich, NJW 2023, 1400 (1403); siehe auch VG Sigmaringen, Urt. v. 27.11.2008 – 8 K 1828/06, BeckRS 2008,
41386.
41 Vgl. die Informationen unter https://ec.europa.eu/growth/tools-databases/enorm/mandate/606_en (zuletzt abgerufen am 5.11.2025).
42 Vgl. Blue Guide, S. 8, 52.
43 Zu den Voraussetzungen eines Anscheinsbeweises siehe BGH, Urt. v. 11.12.2018 – KZR 26/17, NJW 2019, 661 Rn. 50.
44 Vgl. auch Staudinger/Oechsler (2021) ProdHaftG § 3 Rn. 96.
45 Vgl. Erwgr. 87 CRA; Blue Guide, S. 8, 52.
46 Vgl. Art. 5 Verordnung (EU) Nr. 1025/2012.
47 Vgl. Art. 10 Verordnung (EU) Nr. 1025/2012.
48 Vgl. auch BT-Drs. 11/2447, S. 11.
49 Vgl. BGH, Urt. v. 26.1.2016 – XI ZR 91/14, BGHZ 208, 331 = NJW 2016, 2024 Rn. 24.
50 Vgl. Art. 32 Abs. 2 CRA.
51 Vgl. Art. 11 Verordnung (EU) Nr. 1025/2012.
52 Vgl. Taeger, CR 1996, 257 (268).
53 Siehe aber Piovano/Hess, Das neue europäische Produkthaftungsrecht, 2024, § 5 Rn. 67.
54 Siehe etwa MüKoBGB/Wagner, 9. Aufl. 2024, ProdHaftG § 1 Rn. 57; Vieweg, in: Schulte/Schröder (Hrsg.), Handbuch des Technikrechts, 2011, S. 337 (380).
55 Vgl. Blue Guide, S. 51.
56 Vgl. Blue Guide, S. 51 ff.
57 Zu Bedenken gegen die Vereinbarkeit der Rspr. zur Produzentenhaftung mit der ProdHaftRL siehe Gsell/Mayrhofer, in: Ebers/Gsell/Mayrhofer/Danda
(Hrsg.), Neue europäische Produkthaftung, 2025, S. 33 (40 ff.).
58 Vgl. Ruttloff/Wagner/Stilz, BB 2024, 1603 (1608 ff.).
59 Vgl. Art. 14 CRA zu Meldepflichten.
60 Vorsichtiger Ruttloff/Wagner/Stilz, BB 2024, 1603 (1609 f.).
61 Nach dem BGH beurteilen sich die für die Fehlerhaftigkeit i.S.d. ProdHaftG maßgeblichen Sicherheitserwartungen grundsätzlich nach denselben objektiven Maßstäben wie die Verkehrspflichten des Herstellers im Rahmen der deliktischen Haftung, Urt. v. 16.6.2009 – VI ZR 107/08, BGHZ 181, 253 = NJW 2009, 2952 Rn. 12.
62 Vgl. BGH, Urt. v. 26.11.1968 – VI ZR 212/66, BGHZ 51, 91 = NJW 1969, 269 (274 f.); BGH, Urt. v. 17.3.1981 – VI ZR 191/79, BGHZ 80, 186 = NJW 1981, 1603 (1605).
63 Zu den allgemein hohen Anforderungen Gsell/Mayrhofer, in: Ebers/Gsell/Mayrhofer/Danda (Hrsg.), Neue europäische Produkthaftung, 2025, S. 33 (44 ff.).
64 Ruttloff/Wagner/Stilz, BB 2024, 1603 (1609).
65 Möllers, VersR 2000, 1177 (1179).
66 Vgl. Art. 1 lit. a, lit. c CRA, Art. 1 ProdHaftRL.
