Haftungsfragen der Digitalisierung der Wirtschaft by Bundesverband der Deutschen Industrie e.V.

Haftungsfragen der Digitalisierung der Wirtschaft Diskussionspapier Im Auftrag des

Dr. Susanne Wende, LL.M., Noerr LLP Dr. Steffen Burrer, Noerr LLP Oktober 2017

/ Haftungsfragen der Digitalisierung der Wirtschaft Diskussionspapier im Auftrag des Bundesverbandes der Deutschen Industrie

von Dr. Susanne Wende, LL.M. Rechtsanwältin T +49 86 28628 105 susanne.wende@noerr.com Dr. Steffen Burrer Rechtsanwalt Fachanwalt für Internationales Wirtschaftsrecht T +49 89 28628 220 steffen.burrer@noerr.com Noerr LLP Brienner Straße 28 80333 München

/ Inhalt A. Einführung und Executive Summary

B. Begriffsbestimmungen

I. II.

7 8

Automatisierte Systeme und autonome Systeme Hersteller, Betreiber, Benutzer, IoT-User

C. Vertragliche Haftung

Gewährleistung und Haftung bei der Lieferung / Zurverfügungstellung von Software, Maschinen und Smart Products (insbesondere im Zusammenhang mit IT-Sicherheitsmängeln) 1. Grundsätze 2. Mängel bei Softwareprodukten der digitalen Wirtschaft 3. Im Besonderen: Umfang des Schadensersatzes 4. Ausblick: Richtlinie über Digitale Inhalte II. Automatisierte Willenserklärungen – Zurechnung und Haftung 1. Elektronisch übermittelte Willenserklärung 2. Bestätigung durch den Nutzer 3. Automatisierte Willenserklärungen 4. Autonome Willenserklärungen III. Zusammenfassung und Ausblick

9 9 11 13 14 14 15 15 15 16 17

D. Deliktische Haftung

Grundsätze der deliktischen Haftung 18 1. Verschuldenshaftung vs. Gefährdungshaftung im Status quo – Überblick über die gesetzlichen Gefährdungshaftungstatbestände und deren Hintergründe 18 2. Produzentenhaftung im Status quo 19 3. Produkthaftung im Status quo 24 4. Umfang der Haftung 27 5. Betreiber-/Benutzer-Haftung 27 II. Grundsätzliche Probleme der deliktischen Haftung für Herstellung und Betrieb von „intelligenten“ Produkten und Maschinen und Stand der Diskussion zu Industrie 4.0 29 1. Abgrenzung der Verantwortlichkeiten 29 2. Neue Produktrisiken durch neue Funktionen, insbes. Apps und Software, im Konzept der bewährten Fehlerkategorien 36 3. Produktsicherheit und IT-Sicherheit – Produktfehler durch Cyber-Angriffe im Produktionsprozess und durch unzureichende IT-Sicherheit am Produkt selbst 38 4. Das Nichtfunktionieren als Produktfehler 43 5. Auswirkungen der Digitalisierten Wirtschaft auf die Verkehrssicherungspflichten des Herstellers (z.B. Product-Lifecycle-Management-Lösungen, Big Data-Anwendungen)44 III. Zusammenfassung und Ausblick 45

/ A. Einführung und Executive Summary Seit Veröffentlichung des vom BDI und Noerr gemeinsam erstellten Rechtsgutachtens „Digitalisierte Wirtschaft/Industrie 4.0“ im November 2015 haben sich juristische Diskussion und auch gesetzgeberische Initiativen weiterentwickelt. Im Fokus stehen dabei neben den Fragen des Datenschutzes und des Eigentums/Nutzungsrechts an Daten vor allem auch Haftungsfragen. Vor diesem Hintergrund sollen im Folgenden die Ausführungen im Gutachten „Digitalisierte Wirtschaft/Industrie 4.0“ zu den haftungsrechtlichen Herausforderungen vertieft und aktualisiert werden. Die haftungsrechtlichen Fragen rund um die Digitalisierung der verschiedenen Lebensbereiche sind von dem Grundproblem geprägt, dass in unserem Rechtssystem die Haftung im Regelfall an menschliches Verhalten anknüpft. Je weniger ein bestimmter Erfolg auf menschliches Verhalten zurückzuführen ist, desto schwieriger wird eine haftungsrechtliche Lösung nach der bisher geltenden Dogmatik. Einen Schwerpunkt der Diskussion bildet die vertragliche Haftung für Softwaremängel (vgl. hierzu Abschnitt C.). Schwierigkeiten bereitet dabei vor allem die Definition des richtigen Maßstabs für den Mangelbegriff. Es ist in Rechtsprechung und Literatur anerkannt, dass es keine fehlerfreie Software gibt. Vor allem im Zusammenhang mit IT-Sicherheitsmängeln fehlen bisher klare Anknüpfungspunkte für das geschuldete Sicherheitsniveau, da es weder allgemein anerkannte technische Normen noch gesetzliche Regelungen oder Rechtsprechung gibt. Als Orientierung können allerdings der internationale Standard IEC 61508 oder auch der BSI-Grundschutzkatalog herangezogen werden. Im Zusammenhang mit den gesetzlichen Haftungstatbeständen lassen sich zwei Schwerpunkte in der juristischen Diskussion feststellen: Die Haftung für durch ein digitalisiertes System verursachte Schäden und die Haftung im Falle des Eingriffs eines Dritten in das System und erst daraus resultierende Schäden. Bei der Haftung für durch ein autonomes/selbstlernendes System verursachte Schäden werden die existierenden gesetzlichen Haftungstatbestände ganz überwiegend als ausreichend und angemessen angesehen, um für die im Moment absehbare technische Entwicklung im Wege der Rechtsfortbildung zu sachgerechten Ergebnissen zu gelangen (vgl. hierzu Abschnitt D.II.1.). Teilweise wird die Schaffung einer Gefährdungshaftung – ähnlich z. B. der Tierhalterhaftung gem. § 833 BGB oder der Kfz-Halterhaftung – für den Hersteller oder Betreiber eines autonomen Systems gefordert (vgl. hierzu Abschnitt D.II.1.b)). Eine entsprechende gesetzgeberische Initiative ist derzeit aber weder auf nationaler noch auf europäischer Ebene erkennbar. Vielmehr ist zu erwarten, dass sich die schon jetzt kontroverse Diskussion über gesteigerte Verkehrssicherungspflichten für Hersteller und Betreiber fortentwickeln wird. Hintergrund der Diskussion ist vor allem die mit der zunehmenden Digitalisierung einhergehende Verschiebung von Risikosphären. An der Herstellung eines komplexen Systems sind weit mehr 5

Wirtschaftsakteure beteiligt als bei der Herstellung klassischer Industriegüter. Hierdurch wird die eindeutige Zuordnung von Verantwortungsbereichen schwieriger. Auch der im Produkthaftungsrecht geltende Maßstab des aktuellen Stands von Wissenschaft und Technik ist im Zusammenhang mit digitalisierten Systemen nicht immer ohne Weiteres zu bestimmen (vgl. hierzu Abschnitt D.II.5.). Es gibt kaum technische Normen oder andere Regelwerke, die sonst regelmäßig als Indikator für den aktuellen (Mindest-)Stand von Wissenschaft und Technik herangezogen werden. Insgesamt wird daher eine zunehmende Bedeutung der Produktbeobachtungspflicht prognostiziert (vgl. hierzu Abschnitt D.II.1.b)). Darüber hinaus wird die eindeutige Zuordnung eines bestimmten Schadens zu einer konkreten Handlung einer Person deutlich schwieriger. Selbst wenn eine solche Zuordnung technisch-theoretisch möglich ist, entstehen jedenfalls Beweisprobleme, zum Beispiel dadurch, dass eine faktisch nicht zu bewältigende Menge von Daten ausgelesen und ausgewertet werden müsste, um den genauen Geschehensablauf zu rekonstruieren. Zum Teil werden im Diskurs eine Beweiserleichterung oder gar eine Beweislastumkehr zu Lasten des Herstellers vorgeschlagen, um diese Herausforderungen zu bewältigen. Hierbei ist allerdings zu berücksichtigen, dass bei zunehmender Komplexität der Hersteller ggf. keinerlei überlegene Zugriffsmöglichkeit auf die relevanten Daten hat. Die Europäische Kommission führte Anfang des Jahres 2017 eine Untersuchung durch, ob die Vorschriften der europäischen Produkthaftungs-Richtlinie 85/374/EEG zur Bewältigung der Haftungsfragen der digitalisierten Wirtschaft angemessen und ausreichend sind. Als mögliche Weiterentwicklung sieht sie neben der Erarbeitung eigener Auslegungshinweise zur Anwendung des europäischen Produkthaftungsrechts im Zusammenhang mit der digitalisierten Wirtschaft auch neue gesetzgeberische Ansätze. Genannt werden hier zum einen Ansätze, die darauf abstellen, in wessen Sphäre ein Risiko geschaffen wird oder in wessen Sphäre es beherrschbar ist. Zugleich wird eine Kombination mit einem speziellen, freiwilligen Versicherungsschema für möglich gehalten. Auch die Europäische Kommission betont aber ausdrücklich, dass für jegliche gesetzgeberische Lösung genau berücksichtigt werden muss, welche Handlungen und Verantwortlichkeiten dem Nutzer der jeweiligen Technologie zukommen. Als Aufgabe eines zukünftigen Ansatzes zur Haftungsverteilung wird vor diesem Hintergrund insbesondere auch die Definition der Rolle des Nutzers gesehen. Stark umstritten ist, ob den Hersteller eine Produkthaftung für IT-Sicherheitslücken treffen kann (vgl. hierzu Abschnitt D.III.). Nach den Grundsätzen des Produkthaftungsrechts ist der Hersteller zunächst einmal nur für die Sicherheit seines eigenen Produktes verantwortlich, nicht für Gefahren, die durch das mutwillige Eingreifen eines Dritten verursacht werden. Allerdings kann die fehlende oder unzureichende Absicherung eines Produktes unter bestimmten Umständen durchaus auch einen Produktfehler darstellen. Ob die hierzu existierende Rechtsprechung zu analogen Produkten auf die Herstellerhaftung für IT-Sicherheitslücken übertragbar ist, ist im Einzelfall sehr sorgfältig zu prüfen. Hierbei ist zu berücksichtigen, dass das erforderliche Maß an IT-Sicherheit nur durch ein Zusammenwirken der Beteiligten, also Hersteller, Vertreiber und Anwender, erreicht werden kann. Orientierung für die Pflichten der verschiedenen Akteure kann ggf. das IT-Sicherheitsrecht geben. 6

/ B. Begriffsbestimmungen Unter dem Schlagwort „Industrie 4.0“ oder auch „Digitalisierte Wirtschaft“ werden verschiedenste technische Entwicklungen und ihr Einzug in alle Bereiche der modernen Produktion, der Arbeitsumwelt, des Gesundheitswesens und auch des Alltags beschrieben. Zur Identifizierung der damit verknüpften Herausforderungen für das Haftungsrecht ist eine differenzierte Betrachtung erforderlich. Haftungsrechtliche Konsequenzen lassen sich für die „Digitalisierte Wirtschaft“ nicht mehr allgemein beschreiben. Vielmehr ist regelmäßig entscheidend, welchen Grad der Selbständigkeit die konkrete Anwendung erreicht. Alle haftungsrechtlichen Fragen sind nämlich von dem Grundproblem geprägt, dass in unserem Rechtssystem die Haftung stets an menschliches Verhalten anknüpft. Je weniger ein bestimmter Erfolg auf menschliches Verhalten zurückzuführen ist, desto schwieriger wird eine haftungsrechtliche Lösung nach der bisher geltenden Dogmatik. Daher sollen im Folgenden zunächst wesentliche Begrifflichkeiten geklärt werden, die für die haftungsrechtliche Bewertung der „digitalisierten Wirtschaft“ relevant sind:

Automatisierte Systeme und autonome Systeme

Unter autonomen Produkten oder Systemen werden nach überwiegender Auffassung solche verstanden, die aufgrund einer Programmierung selbständig und ohne menschliche Steuerung handeln können, auch wenn ein menschlicher Eingriff in den Ablauf möglich ist.1 Automatisierte Systeme sind hingegen nach dem allgemeinen Sprachverständnis solche, die zwar mit computergestützter Steuerung funktionieren, aber keine eigenen Entscheidungen treffen können. Da die technische und auch rechtliche Entwicklung im Bereich des autonomen Fahrens am weitesten fortgeschritten ist, soll zur Klarstellung der Begrifflichkeiten auch ein kurzer Seitenblick in diesen Bereich geworfen werden. Hier wird zwischen „hochautomatisierten Fahrzeugen“ und „vollautomatisierten Fahrzeugen“ unterschieden. Hochautomatisierte Fahrzeuge können die Quer- und Längsführung des Fahrzeugs für einen gewissen Zeitraum oder in spezifischen Situationen übernehmen. Der Fahrer muss diese Automatik nicht dauerhaft überwachen, aber ggf. nach Aufforderung durch das System die Steuerung übernehmen. Vollautomatisierte Fahrzeuge sind hingegen selbst in der Lage, in allen Situationen einen risikominimalen Zustand herzustellen. Das komplett fahrerlose Fahren wird schließlich als „autonomes Fahren“ beschrieben.2 Die aktuelle Ergänzung des Straßenverkehrsgesetzes unterscheidet im neuen

Vgl. nur Schrader, NJW 2015, 3537, der ein autonomes Fahrzeug auch dann annimmt, wenn eine Eingriffsmöglichkeit der Insassen des Fahrzeugs besteht, aber zur Fortbewegung des Fahrzeugs zu einem bestimmten Ziel nicht notwendig ist; Rempe, InTeR 2016, 17. Runder Tisch „Automatisiertes Fahren“, Bericht zum Forschungsbedarf, Juli 2015, Anhang 5 Benennung und Klassifizierung automatisierter Fahrfunktionen, Zusammenfassung abrufbar unter 7

§ 1a allerdings, auch im Hinblick auf ihre Querverweise zu den haftungsrechtlichen Vorschriften, nicht zwischen diesen beiden – aus haftungsrechtlich-dogmatischer Sicht durchaus relevanten – Abstufungen der Autonomisierung.3 Für dieses Diskussionspapier werden die Begriffe „automatisierte Systeme“ und „autonome Systeme“ in oben dargestelltem Sinne verwendet. Darüber hinaus wird der nächste technische Schritt, nämlich die Fähigkeit des Systems selbst aus Datenanalyse zu lernen, mit dem Begriff „selbstlernende Systeme“ beschrieben.4

II.

Hersteller, Betreiber, Benutzer, IoT-User

Eine der größten Herausforderungen für die Haftungsfragen im Zusammenhang mit der digitalisierten Wirtschaft ist die stetig wachsende Anzahl der beteiligten Wirtschaftsakteure sowie die stets steigende Abhängigkeit der einzelnen Systemkomponenten voneinander.5 Von grundlegender Bedeutung ist daher die eindeutige Benennung der verschiedenen Parteien und die konsistente Bestimmung ihrer Aufgaben und Rollen. Einer besonders sensiblen Betrachtung bedarf dabei der Begriff des „Benutzers“ oder „Nutzers“. Während im klassischen Produkthaftungsrecht der Benutzer stets der End-Nutzer des Produktes ist, wird im Zusammenhang mit dem Internet der Dinge (Internet of Things – „IoT“) der sog. „IoT-User“ oft für denjenigen verwendet, der einen IoT-Service einkauft, um diesen in seine eigenen Produkte zu implementieren.6 In diesem Fall ist der IoT-User also ein Hersteller im Sinne des Produkthaftungsrechts. In anderen Anwendungen ist der IoT-User mit einem Betreiber im Sinne der bisherigen haftungsrechtlichen Maßstäbe vergleichbar. Um in diesem Diskussionspapier die verschiedenen Meinungen und Überlegungen zu den Haftungsfragen der digitalisierten Wirtschaft möglichst übersichtlich aufbereiten zu können, verzichten wir auf eine Definition der einzelnen Begriffe. Vielmehr wird im jeweiligen Zusammenhang möglichst genau die Rolle der einzelnen Wirtschaftsakteure beschrieben.

3 4

www.bmvi.de/DE/Themen/Mobilitaet/Strasse/Automatisiertes-vernetztes-Fahren/automatisiertesvernetztes-fahren.html. Vgl. hierzu König, NZV 2017, 123 (124). Z. T. wird in diesem Zusammenhang auch von selbständig veränderlichen Systemen gesprochen, z.B. in Wendt/Oberländer, InTeR 2016, 58 (59), die aber auch von selbständig veränderlichen, ggf. sogar resilienten, Systemen im Zusammenhang mit dem aktuellen Stand des autonomen Fahrens sprechen, wodurch die Begrifflichkeiten u.E. wiederum unscharf werden. Vgl. nur Europäische Kommission, Staff Working Document on the free flow of data and emerging issues of the European data economy Accompanying the document Communication Building a European data economy, COM(2017) 9 final, S. 41. So z. B. im Rahmen des BEREC Reports „Enabling the Internet of Things“, 12. Februar 2016, S. 8. 8

/ C. Vertragliche Haftung I.

Gewährleistung und Haftung bei der Lieferung / Zurverfügungstellung von Software, Maschinen und Smart Products (insbesondere im Zusammenhang mit IT-Sicherheitsmängeln)

1. Grundsätze Die Rechtsprechung beurteilt Standard-Software als eine Sache im Sinne des § 90 BGB. Mangels besonderer Regelungen sind auf den Erwerb bzw. die Herstellung von Software und anderen digitalen Inhalten das Kaufrecht, §§ 433 ff. BGB, bzw. bei individuell erstellter Software das Werkvertragsrecht, §§ 631 ff. BGB, anwendbar. Gleiches gilt auch für Maschinen und andere Produkte mit ihrer jeweils darin enthaltenen Software. Daraus folgt, dass sich nicht nur die jeweiligen Verpflichtungen zur ursprünglichen Leistung, sondern auch die weitergehenden Pflichten und Rechte der Vertragsparteien bei Mängeln aus diesen Vorschriften ergeben. Die folgenden Darlegungen zeigen insofern die vorhandenen Lösungsmöglichkeiten auf und stellen damit zugleich die Basis für Diskussionen zu weitergehender rechtlicher Vereinheitlichung dar.

a) Kaufrecht Der Käufer hat zunächst einen Anspruch auf Verschaffung des Kaufgegenstandes, der frei von Sach- und Rechtsmängeln ist. Weicht dabei die Ist-Beschaffenheit von der SollBeschaffenheit ab, liegt ein Mangel vor. In einem solchen Fall stehen dem Käufer die in § 437 BGB bezeichneten Mängelrechte zu. Ist die Software nur ein Teil des Produkts, etwa im Falle von in Hardware bzw. Maschinen integrierter Firmware, ist für Rücktritt und Schadensersatz statt der ganzen Leistung entscheidend, ob sich der Mangel in Bezug auf das Gesamtprodukt als wesentlich auswirkt. Da indes die meisten Geräte mit integrierter Software von dieser gesteuert werden oder aber jedenfalls in erheblichem Umfang auf ihre Funktionsfähigkeit angewiesen sind, stellt ein wesentlicher Mangel der Software regelmäßig auch einen wesentlichen Mangel des Gesamtprodukts dar. Dies gilt insbesondere für Smart Products, wie z. B. moderne Mobiltelefone oder „Wearables“, sowie für untereinander verbundene Produktionsmaschinen in der intelligenten Fabrik. Diese Entwicklung lässt sich auch in der Rechtsprechung nachvollziehen, die zunächst die Wandlung eines Kaufvertrages für ein Kfz wegen eines fehlerhaften Navigationssystems ablehnte,7 später aber in einem vergleichbaren Fall bei Fehlschlagen der Nachbesserung des Navigationssystems den Rücktritt zuließ.8

7 8

OLG Karlsruhe NZV 2002, 132. OLG Köln NJW 2007, 1694. 9

b) Werkvertragsrecht Für spezifisch für den Kunden hergestellte Software, bei der man an die Anwendung des Werkvertragsrechts denken könnte, verweist § 651 BGB ebenfalls auf das Kaufrecht, sofern es sich um „eine bewegliche Sache“ handelt. Dies wird für alleinstehende Software dann angenommen, wenn es sich lediglich um eine Lieferung von vorhandenen Softwarekomponenten nach Kundenspezifikation handelt (z. B. SAP-Software). Wird eine Software hingegen nicht „von der Stange“ verkauft, so gilt diese nicht als bewegliche Sache.9 Für diese gilt dann das Gewährleistungsregime der §§ 633 ff. BGB. Dieses weicht jedoch nur marginal von der kaufrechtlichen Gewährleistung ab und stellt daher keine besonderen Schwierigkeiten auf. Die Besonderheit, dass im Werkvertragsrecht nach erfolgloser Fristsetzung Ersatz von Aufwendungen für die sog. Selbstvornahme, also die „Reparatur“ durch den Kunden, verlangt werden kann, lässt sich bei Anwendung des Kaufrechts, allerdings verschuldensabhängig, über den Schadensersatz statt der Leistung erreichen.

c) Mietrecht Nicht unbeachtet bleiben soll auch die heutzutage gewöhnliche Überlassung von Software auf Zeit. Mietrecht findet Anwendung bei zeitlich begrenzter Einräumung eines Nutzungsrechts an der Software, zugunsten des Kunden, gegen Zahlung eines wiederkehrenden10 Entgelts.11 Die Konzepte anderer Rechtsordnungen, die die Softwareüberlassung eher als einen Lizenzvertrag „sui generis“ verstehen, haben sich im deutschen Recht bisher nicht durchgesetzt. Bei Verträgen über „Software as a Service“ (SaaS = Cloud Computing auf Applikationsebene), bei dem die Software vom Anbieter betrieben und gepflegt wird, handelt es sich zwar meist um einen sog. typengemischten Vertrag mit Elementen verschiedener Vertragstypen wie Mietrecht, Dienstvertragsrecht und Werkvertragsrecht, da der Schwerpunkt aber in der Regel auf der Einräumung eines zeitlich beschränkten Rechts zur Nutzung der betreffenden Applikation gegen periodisch abgerechnete Vergütung liegt, ist der Vertrag in erster Linie mietrechtlich geprägt.12 Dementsprechend findet bei Nichtverfügbarkeit oder sonstigen Mängeln der Software das Gewährleistungsrecht für die Miete Anwendung. 13 Damit trifft den Pro-

BeckOK-BGB/Voit, § 651 Rn. 4; BGH NJW 2010, 2200 Rn. 14; NJW-RR 2014, 1204 Rn. 13; Leistner, JA 2007, 81 (86 f.); Müller-Hengstenberg, NJW 2010, 1181 (1183); Hoeren/Spittka, MMR 2009, 583 (584); Junker, NJW 2005, 2829 (2832); Palandt/Sprau, 76. Auflage 2017, § 651 Rn. 5 und Einf. v. § 631 Rn. 22; Rudolph, Die Abgrenzung zwischen Kauf- und Werkvertragsrecht gem. § 651 BGB, 2008, 255; Diedrich, CR 2002, 473 (477 f.); Voit, BauR 2002, 145 (146); Müller-Hengstenberg/Kromar, CR 2002, 549 (555 f.) Dies gilt auch für den Fall, dass die Softwarenutzung auf einen bestimmten Zeitraum beschränkt ist und die Zahlung des Entgelts (ganz oder teilweise) für diesen Zeitraum in Voraus entrichtet wird, siehe z.B. LG Köln, 2.6.2010 - 28 O 77/06; von dem Bussche/Schelinski, Münchner Anwaltshandbuch IT-Recht, 3. Auflage 2013, Teil B. Rn. 109. BGH, 15.11.2006 – XII ZR 120/04, Roth-Neuschild in Auer-Reinsdorff/Conrad, aaO., § 13 Rn. 6 ff. Schneider, Handbuch des EDV-Rechts, 4. Auflage 2009, Kap. J Rn. 371. Strittmatter in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016, § 22 Rn. 28. So zum Application Service Providing, quasi dem „Vorgänger“ des Cloud Computing, BGH, 15.11.2006 - XII ZR 120/04. 10

vider gem. § 535 Abs. 1 BGB die Pflicht, während der Vertragsdauer die Software in vertragsgemäßem Zustand zu erhalten. Während der Mietzeit können damit Ansprüche auf Fehlerbeseitigung und auch auf Anpassungen an äußere Umstände, wie z. B. Gesetzesänderungen oder Schnittstellenänderungen, bestehen. Dies kann für den Softwareanbieter zu enormen Aufwänden und Kosten führen. Solche Aktualisierungspflichten stellen dabei eine Besonderheit der deutschen Rechtsordnung dar. Vor diesem Hintergrund steht die aktuelle Diskussion, ob die uneingeschränkte Anwendung des Mietrechts sachgerecht ist oder ob nicht zumindest die Gebrauchserhaltungspflicht beschränkt werden sollte.

2. Mängel bei Softwareprodukten der digitalen Wirtschaft a) Mangelbegriff Wie eingangs erwähnt wird die Mangelfreiheit der Software geschuldet. Im Rahmen der Bereitstellung von Software stellt sich das Problem, dass eine vollständig fehlerfreie Programmierung faktisch auch durch bestes Qualitätsmanagement nicht erreicht werden kann.14 Dennoch gilt auch für Software der „normale“, weite Mangelbegriff. Damit liegt beim Kauf ein Mangel vor, wenn die tatsächliche Ist- von der geschuldeten Sollbeschaffenheit abweicht. Diese geschuldete Beschaffenheit kann sich dabei gemäß den verschiedenen Varianten des § 434 Abs. 1 BGB nicht nur aus einer ausdrücklichen Vereinbarung, sondern auch aus der Eignung zur im Vertrag vorausgesetzten bzw. „gewöhnlichen Verwendung“ ergeben, „die bei Sachen der gleichen Art üblich ist“. Der Mangelbegriff des Werkrechts stimmt mit dem Mangel des Kaurechts größtenteils überein. Auch hier ist daher eine Lösung vorrangig über die vertraglichen Spezifikationen zu suchen. Zwar weicht die Formulierung zum Mangel im Mietrecht vom Mangelbegriff des Kaufrechts ab, jedoch wird auch dort die überlassene Mietsache als mangelhaft angesehen, wenn die Ist- von der Sollbeschaffenheit abweicht. Hier wird die Soll-Beschaffenheit als „vertragsgemäßer Zustand“ bezeichnet, der sich – analog dem Kaufrecht – primär aus einer Beschaffenheitsvereinbarung der Parteien (bzw. einer zugesicherten Eigenschaft, § 536 Abs. 2 BGB) oder aus einer objektiven Vergleichbarkeit ergeben kann. Ist die Mietsache nicht in einem solchen vertragsgemäßen Zustand, liegt ein Mangel vor. Die gesetzlichen Regelungen stellen sich daher dem Grunde nach als hinreichend flexibel dar. Solange aber eine Vergleichbarkeit im Sinne des Auffangtatbestandes der Marktüblichkeit in der sich stetig entwickelnden Welt der Digitalisierung nicht ohne weiteres gegeben ist, kann eine sachgerechte Lösung nur durch möglichst genaue vertragliche Regelungen erfolgen.

So auch die Rechtsprechung, vgl. schon BGH, 4.11.1987- VIII ZR 314/86. 11

b) Vertragliche Bestimmung der Sollbeschaffenheit Da sich die Soll-Beschaffenheit primär aus Beschaffenheitsvereinbarungen herleitet, ist darauf zu achten, woraus sich solche Vereinbarungen ergeben.15 Werden beispielsweise in einer Leistungsbeschreibung konkrete Aussagen, beispielsweise zur Sicherheit von Software und Maschinen getroffen, so stellt dies regelmäßig eine Beschaffenheitsvereinbarung dar.16 Eine Beschaffenheitsvereinbarung kann zudem insbesondere durch die Einbeziehung von Vertragsdokumenten des Kunden in Betracht kommen.17 So enthalten deren Einkaufsbedingungen zum Teil konkrete Vorgaben zur Sicherheit, etwa dass Software ausdrücklich frei von Schadcode überlassen wird und/oder vor Überlassung an den Kunden auf Schadcode überprüft wurde. Weitergehende Beschaffenheitsvereinbarungen sind zudem verstärkt dort üblich, wo die Software nicht als separates „stand-alone“ On-Premise-Produkt vertrieben wird, sondern in ein breites Leistungsangebot integriert ist, in welchem der IT-Sicherheit eine besondere Bedeutung zukommt. Zu denken ist hier etwa an SaaS-Angebote sowie an Software, die in vernetzte Maschinen im Rahmen einer M2M-basierten Produktionsumgebung („Smart Factory“) integriert ist. Auch die vertragliche Zusicherung, dass die jeweilige Software in Übereinstimmung mit bestimmten Qualitätsstandards oder Certification Schemes entwickelt und getestet wurde, kann als Beschaffenheitsvereinbarung auszulegen sein. Es besteht aber grundsätzlich keine gesetzliche Pflicht, eine Beschaffenheitsvereinbarung über die Sicherheit der Software zu treffen. Derzeit ist auch kein gesetzlich verankertes Certificiation Scheme erkennbar, das als objektiv gültiger Sicherheitsmaßstab die übliche Beschaffenheit bestimmen könnte. Es gibt aber aktuelle Bestrebungen der Europäischen Kommission, die auf Festlegung jedenfalls freiwilliger Standards gerichtet sind.18 Die Möglichkeit, durch eine Beschaffenheitsvereinbarung implizit einen Gewährleistungsausschluss zu erreichen, ist dagegen begrenzt. Dabei gilt, dass eine Beschaffenheitsvereinbarung nicht dergestalt ausfallen darf, dass sie die Hauptleistungspflicht erheblich einschränkt. Für Bereiche, für die keine Beschaffenheitsvereinbarungen getroffen wurde, hängt die Sollbeschaffenheit von der vertraglich vorausgesetzten Verwendung ab.

c) Gewöhnliche Verwendung Liegt weder eine Beschaffenheitsvereinbarung noch eine vertraglich vorausgesetzte Verwendung vor, so bestimmt sich die Sollbeschaffenheit nach der gewöhnlichen Verwendung (bzw. der Eigenschaft, die bei Werken der gleichen Art üblich ist).

15 16 17 18

Palandt/Weidenkaff, 76. Auflage, § 434 BGB Rn. 13. Palandt/Weidenkaff, 76. Auflage, § 434 BGB Rn. 17. Vgl. BGH NJW 2013, 1074; Palandt/Weidenkaff, 76. Auflage, § 434 BGB Rn. 17. Europäische Kommission, Communication „Strengthening Europe's Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry“, COM(2016) 410 final, S. 8. 12

Gerade bei individuell für einen Auftraggeber erstellter oder angepasster Software (Stichwort: Customizing), hängt das Design des Programms, der Schnittstellen oder auch der Benutzeroberflächen stark von den individuellen (fachlichen) Anforderungen des jeweiligen Auftraggebers ab, sodass sich insofern eine Bestimmung der „gewöhnlichen“ Eignung durch einen Vergleich zu anderen Softwareprodukten als äußerst schwierig erweist. Mit Blick auf Softwaremängel leichter festzustellen ist ein Sachmangel hingegen dort, wo es um bestimmte, allgemein an ein Softwareprodukt zu stellende Anforderungen geht, wie etwa eine hinreichende Stabilität (d. h. keine Abstürze). Gleiches gilt, wenn sich ein solcher Mangel einer Software eben auf die damit betriebenen Geräte fortsetzt. Bei Sicherheitslücken und darauf folgenden Angriffen von außen ist ein Anbieter nicht für den Angriff als solchen verantwortlich. Ein Mangel könnte aber darin zu sehen sein, dass ein Fehler im Programmcode den Angriff für Dritte überhaupt erst ermöglicht hat. Daher muss festgestellt werden, wie weitgehend die Pflicht des Anbieters ist, solche Angriffe zu verhindern. Eine Orientierung, welcher Standard verlangt werden kann, bieten die – als anerkannte Regeln der Technik für vergleichbare Software angesehenen – „Maßnahmen zum Schutz vor unberechtigten Zugriffen durch Dritte auf die Software und die von ihr verarbeiteten Daten“. Diesbezüglich kann man sich etwa an dem Standard IEC 61508 (Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme) oder den BSI-Grundschutzkatalogen (siehe dort z. B. G 4.22 und M 4.34) orientieren.19 Die Frage, ob durch Programmierfehler hervorgerufene Sicherheitslücken tatsächlich einen Mangel darstellen, ist bisher von der deutschen Rechtsprechung nicht entschieden worden. Urteile dazu beziehen sich meist nur auf fehlende bzw. eingeschränkte Funktionalität. Eine solche Einschränkung ist durch das reine Vorhandensein einer Lücke noch nicht gegeben. Über Sicherheitslücken in „normaler“ Software hinaus könnte sowohl für Cloud Computing/SaaS als auch für Software, die im Zusammenhang mit der digitalisierten Wirtschaft eingesetzt wird, anzunehmen sein, dass aufgrund der enormen Bedeutung für den jeweiligen Nutzer ein verhältnismäßig hoher Standard bezüglich Sicherheit und Stabilität geschuldet wird. Erkenntnisse in der Rechtsprechung dafür gibt es bisher nicht. Jedoch sprechen gute Gründe dafür, höhere Anforderungen an die Sicherheit heutzutage vorauszusetzen.

3. Im Besonderen: Umfang des Schadensersatzes Ist Schadensersatz zu leisten, so hat der Anbieter nicht nur für die Nichterfüllung des Vertrages Ersatz zu leisten, sondern vielmehr auch darüber hinausgehende, mittelbare Schäden (auch Vermögensfolgeschäden genannt) zu tragen, wie etwa entgangenen Gewinn, Nutzungsausfall, Verlust oder Vernichtung von Daten.20

19 20

Deusch/Eggendorfer in Traeger, DSRI Tagungsband Herbstakademie 2015, S. 841. Vgl. BGH NJW 2003, 826 (828); Grüneberg in: Palandt, BGB, Vorb v § 249 Rn. 15; Schneider, Handbuch des EDV-Rechts, 4. Auflage 2009, Kap. J Rn. 313. 13

Diese Risiken lassen sich im deutschen Recht, im Unterschied zu vielen anderen Rechtsordnungen, aufgrund der AGB-Kontrolle nach §§ 305 ff. BGB zumeist nicht durch Standardklauseln abbedingen.21 Damit können sich im Rahmen der digitalisierten Wirtschaft für Softwarehersteller als „letztes Glied der Regresskette“ weitreichende Haftungsrisiken ergeben. Die möglichen Folgen von Fehlern einer Software mögen daher wohlbedacht sein und sollten ggf. individualvertraglich durch Haftungsbeschränkungsvereinbarungen verhandelt werden. Auch im Rahmen der vertraglichen Haftung ist allerdings zu berücksichtigen, dass die Verantwortung für die IT-Sicherheit sachgerecht zwischen Hersteller, Betreiber und Nutzer von Anwendungen der digitalisierten Wirtschaft aufzuteilen ist (siehe hierzu ausführlich unten D.II.3.).

4. Ausblick: Richtlinie über Digitale Inhalte Für Verträge mit Verbrauchern über Digitale Inhalte wird auf EU-Ebene seit geraumer Zeit eine Richtlinie erarbeitet.22 Wenngleich diese mit der Fokussierung auf Verbraucher nur einen Teilaspekt der Problemstellungen erfasst, sollte die Entwicklung hier besonders aufmerksam verfolgt werden, da Reflexwirkungen von verbraucherschützenden Vorschriften, wenn auch in reduziertem Maße, stets auch auf die Entwicklungen und Diskussionen im B2B-Bereich zu erwarten sind.

II.

Automatisierte Willenserklärungen – Zurechnung und Haftung

Willenserklärungen, die nicht mehr unmittelbar durch einen Menschen abgegeben werden, sind mittlerweile keine Seltenheit mehr. Online-Shops funktionieren ohne eine weitere Beteiligung von Menschen und dass Warenwirtschaftssysteme, aber auch Kühlschränke unabhängig vom Nutzer Waren bestellen, ist heutzutage Realität. Solche Entwicklungen lassen dabei den Weg zum Vertragsschluss, der Willenserklärungen voraussetzt, nicht unberührt. Willenserklärungen dienen dazu, durch die Entäußerung eines Willens eine Rechtsfolge herbeizuführen.23 Der wichtigste Anwendungsbereich ist dabei der geschäftliche Verkehr, da jeder Vertrag, so auch ein Kaufvertrag, zwei übereinstimmende Willenserklärungen voraussetzt. Nur durch Angebot und Annahme kommt ein Vertrag zustande. Die Anwendung des vertraglichen Haftungsregimes setzt daher voraus, dass überhaupt ein Vertrag zustande gekommen ist. Bei Willenserklärungen werden die elektronisch übermittelte Willenserklärung, die automatisierte Willenserklärung und die Computererklärung bzw. die autonome Erklärung unterschieden.24

21 22 23 24

BGH NJW 2001, 292; Schneider, Handbuch des EDV-Rechts, 4. Auflage 2009, Kap. J Rn. 313. Vgl. Staudenmayer, ZEuP 2016, 801 (806). Vgl. BeckOK-BGB/Wendtland, 42. Edition, 01.02.2017, § 133 Rn. 4. Spindler/Schuster/Spindler, Recht der elektronischen Medien, 3. Auflage 2015, Vorbemerkung zu §§ 116 ff. Rn. 1; so bereits Clemens, NJW 1985, 1998 (1999). 14

1. Elektronisch übermittelte Willenserklärung Elektronisch übermittelte Willenserklärungen stellen gewöhnliche Willenserklärungen dar, die dem Empfänger über eine elektronische Kommunikationsform zugehen. Hierbei ergeben sich keine Unterschiede zu gewöhnlichen Willenserklärungen, die postalisch oder mündlich übermittelt werden.

2. Bestätigung durch den Nutzer Diesen sehr nahe stehen Erklärungen, deren Inhalt zwar vom Computer erstellt wird, die aber am Ende dennoch für die Abgabe einer Bestätigung durch den Nutzer bedürfen.25 Eine solche Kombination ist wohl auch bei vom Nutzer gesteuerten Nachbestellmechanismen, wie dem sog. Dash-Button von Amazon, anzunehmen.26

3. Automatisierte Willenserklärungen Von einer automatisierten Willenserklärung wird gesprochen, wenn die Willenserklärung auf Basis der vorher von Menschen eingegebenen Daten automatisch erzeugt wird. Dabei wird die Erklärung auf der Grundlage fest eingestellter Parameter, ohne weiteres Zutun eines Menschen, abgegeben. Dies kommt beispielsweise beim Vertragsschluss in einem Onlineshop in Betracht, darunter fällt aber auch ein Versicherungsschein, der auf Basis der durch den Kunden eingegebenen Daten von der Software erzeugt wird. Dabei ist mit Blick auf die Elemente der Willenserklärung zu fragen, inwieweit diese noch einem Menschen zuzuordnen ist. Die genannten Willenserklärungen lassen sich noch ohne große Probleme in das bekannte System der Willenserklärung einbringen.27 Zu beachten ist hier, dass zwar die einzelne Erklärung nicht durch einen Menschen abgegeben wird, aber die Erklärungen jeweils auf Basis von festgelegten Kriterien erfolgen. Entscheidend abgestellt werden kann dabei nur auf die Inbetriebnahme des Systems.28 Indem beispielsweise der Betreiber eines Onlineshops einstellt, dass bei Vorliegen der voreingestellten Parameter ein Vertragsschluss zu Stande kommen soll, ist zwar unklar, mit wem und wann ein Vertrag geschlossen werden soll, dennoch werden – solange er das System nicht abschaltet – die Willenserklärungen zugerechnet, die durch die Software erstellt werden.29 Bei Fehlfunktionen des Systems kann es aber in Betracht kommen, dass sich der, dem die Erklärung als eigene zugerechnet wird, durch Anfechtung lösen kann.

25 26

28 29

Dienst/Falke in: Bräutigam/Rückert, E-Commerce, 1. Auflage 2017, 14. Teil, Rn. 7 Leeb, MMR 2017, 89. Dabei wird mittels einfachen Knopfdrucks ein voreingestelltes Produkt erworben. Dabei ist der Preis (für den einzelnen Nutzer) zuvor festgesetzt. Ändert er sich, so muss eine erneute Bestätigung erfolgen. Hier sei darauf hingewiesen, dass ein solcher Vertragsschluss mit Blick auf die Informationspflichten im Fernabsatz erheblichen Problemen ausgesetzt ist, da diese Informationspflichten weitgehend nicht erfüllt werden. Dienst/Falke in: Bräutigam/Rückert, E-Commerce, 1. Auflage 2017, 14. Teil, Rn. 18; vgl. BGH NJW 2005, 976 Dienst/Falke in: Bräutigam/Rückert, E-Commerce, 1. Auflage 2017, 14. Teil, Rn. 20. Vgl. BGH NJW 2014, 1242. 15

4. Autonome Willenserklärungen Die Grenze zwischen der automatisierten Willenserklärung und der autonomen Erklärung wird als fließend angesehen, da es sich de facto nur um eine weitere Differenzierung anhand des Grades der erreichten Automation handelt.30 Der wohl entscheidende Unterschied der autonomen Systeme ist, dass solche nicht mehr nur im Rahmen festgelegter Parameter agieren, sondern diese durch „intelligente“ Fortentwicklung selber definieren.31 Derartige Systeme werden regelmäßig Agenten genannt.32 Entscheidet eine Software nicht nur selbstständig darüber, wo ein Produkt gekauft werden soll, sondern gar welches Produkt gekauft wird33, so hat der Mensch über die eingegebenen Parameter kaum noch einen Einfluss auf den Inhalt der Willenserklärung. Eine Anknüpfung an die reine Inbetriebnahme liegt hier fern. Schließlich kann gerade nicht mehr angenommen werden, dass man zu diesem Zeitpunkt hätte absehen können, welche Erklärungen abgegeben werden würden. Dies könnte aber, da nach den allgemeinen Regeln eine Willenserklärung stets von einer Rechtsperson abgegeben bzw. dieser zugerechnet können werden muss, die Rechtsordnung vor erhebliche Probleme stellen. Teils wird als Lösung vorgeschlagen, autonome Systeme als eigenes Rechtssubjekt anzuerkennen, was aber mit der derzeitigen Rechtslage nicht in Einklang zu bringen ist.34 Die Behandlung wie ein Bote, § 120 BGB, scheidet ebenfalls aus, da dieser nur eine fertige Erklärung eines anderen übermittelt und diese nicht selber formuliert. Auch die Regelungen über die Stellvertretung erweisen sich als untauglich, da hier ein Vertreter, der selber ein Rechtssubjekt sein muss, die Erklärung formuliert und dieser gerade fehlt. Nur in der dogmatischen Begründung, nicht aber in tatsächlichen Folgen unterscheiden sich die letzten beiden Lösungen. Teils wird nämlich grundsätzlich negiert, dass sich über die Problematik der automatisierten Systeme hinaus Änderungen ergeben. Dabei wird davon ausgegangen, dass in der Inbetriebnahme auch eines Agenten, der noch vollkommen unbestimmte Erklärungen abgeben wird, eine ausreichende Handlung vorliegt, um eine folgende Erklärung dem Nutzenden zuzurechnen.35 Dies dürfte jedoch zu weitgehend sein. Daher ist es naheliegender, eine autonome Erklärung über die Regeln einer Blanketterklärung dem Erklärenden zuzurechnen und ihm so trotz des weiten Spielraums, der durch den Einsatz des autonomen Systems gelassen wird, die Erklärungen voll als seine eigenen zuzurechnen. Eine Blanketterklärung zeichnet sich im normalen Rechtsverkehr dadurch aus, dass der Ausstellende einem Dritten die Vervollständigung der Erklärung überlässt, aber dennoch nur selber durch

31 32

34 35

Spindler/Schuster/Spindler, Recht der elektronischen Medien, 3. Auflage 2015, Vorbemerkung zu §§ 116 ff, Rn. 1 Vgl. Kirn/Müller-Hengstenberg, MMR 2014, 225 (228). Kirn/Müller-Hengstenberg, MMR 2014, 225; Spindler/Schuster/Spindler, Recht der elektronischen Medien, 3. Auflage 2015, Vorbemerkung zu §§ 116 ff, Rn. 9. Dienst/Falke in: Bräutigam/Rückert, E-Commerce, 1. Auflage 2017, 14. Teil, Rn. 27 verwenden das Beispiel eines von einer Software selbstständig gekauften Geschenks, dass sich an den Vorlieben des Beschenkten orientiert. Siehe dazu Kirn/Müller-Hengstenberg, MMR 2014, 307 (308). Spindler/Schuster/Spindler, Recht der elektronischen Medien, 3. Auflage 2015, Vorbemerkung zu §§ 116 ff, Rn. 9; Cornelius, MMR 2002, 353 (355). 16

diese Erklärung verpflichtet und berechtigt wird.36 Dabei trifft ihn auch das Missbrauchsrisiko der abredewidrigen Ausfüllung.37 Die Folge dessen ist also, dass sich auch derjenige, der autonome Agenten einsetzt, deren Erklärungen als seine eigene zurechnen lassen muss. Wird auf diese Weise also ein Vertrag geschlossen, so muss der, dem die vom Computer abgegebene Erklärung zugerechnet wird, auch für die Erfüllung des Vertrags einstehen. Damit treffen ihn sowohl die Haupt- als auch die Nebenleistungspflichten und mögliche Mängelansprüche. Im Ergebnis ergeben sich also derzeit keine Unterschiede zu einem gewöhnlich abgeschlossenen Vertag. Die Wirkungen des Vertrages können aber – in den vom Gesetz gedeckten Fällen – auch durch den Nutzer von automatischen und automatisierten Systemen durch die Anfechtung der Willenserklärung rückwirkend beseitigt werden. Auch hier stellen sich allerdings Probleme in der Anwendung der geltenden Vorschriften.38

III.

Zusammenfassung und Ausblick

Es ist derzeit nicht absehbar, dass ein neues Rechtssubjekt in Form der „e-Person“ legislativ eingeführt wird. Zwar gibt es durchaus laute Forderungen nach einer solchen gesetzgeberischen Initiative, allerdings scheint es notwendig, die Vor- und Nachteile und auch die Konsequenzen für die gesamte Rechtsordnung noch genau zu durchdenken. Die Innovationskraft der Prozesse im Zusammenhang von Industrie 4.0 lässt Fragen im Zusammenhang von „automatisierte Willenserklärungen“, Leistungsinhalten und Risikoverteilungen entstehen. Dies erfordert aber nicht in erster Linie gesetzgeberisches Eingreifen sondern vielmehr belastbare vertragliche Regelungen zwischen den Wirtschaftsakteuren.39

36 37 38 39

MüKoBGB/Armbrüster, 7. Auflage 2015, § 119 Rn. 55. Dienst/Falke in: Bräutigam/Rückert, E-Commerce, 1. Auflage 2017, 14. Teil, Rn. 35. Vgl. zusammenfassend Palandt/Ellenberger, 76. Auflage, § 143 BGB Rn. 1., 23. So auch die Arbeitsgruppe 4 „Rechtliche Rahmenbedingungen“ der Plattform Industrie 4.0 in ihrem Ergebnispapier „Industrie 4.0 – wie das Recht Schritt hält“ (1.10.2016), abrufbar unter www.bmwi.de/Redaktion/DE/Publikationen/Industrie/industrie-4-0-wie-das-recht-schritt-haelt.pdf. 17

/ D. Deliktische Haftung I.

Grundsätze der deliktischen Haftung

Zum Verständnis der Hintergründe der Problemstellungen, die sich im Haftungsrecht bei zunehmender Automatisierung/Autonomie von Systemen ergeben und um die diskutierten bzw. denkbaren Ansätze zur Fortentwicklung des Haftungsrechts einordnen zu können, sollen zunächst die Grundsätze der deliktischen Haftung überblicksweise dargelegt und in Bezug zur „Industrie 4.0“ gestellt werden.

1. Verschuldenshaftung vs. Gefährdungshaftung im Status quo – Überblick über die gesetzlichen Gefährdungshaftungstatbestände und deren Hintergründe Während das deutsche Haftungsrecht vom Grundsatz der Verschuldenshaftung, d. h. von der Haftung für vorsätzliches oder fahrlässiges menschliches Verhalten, ausgeht, bildeten sich schon früh besondere Konstellationen heraus, in denen es unbillig erschien, die von einer bestimmten Gefahrenquelle auch ohne menschliche Einflussnahme ausgehenden Risiken auf den potentiell Geschädigten zu überbürden. Dementsprechend wurden Überwachungs- und Gefährdungshaftungstatbestände geschaffen, deren Entstehung gleichsam mit der Entwicklung von einer landwirtschaftlich ausgerichteten zu einer immer weitergehend industrialisierten Gesellschaft einherging. Reine Überwachungspflichten treffen zunächst nach § 834 Abs. 1 BGB denjenigen, der die Aufsicht über ein Tier vertraglich übernimmt. Auch bei der Einschaltung von Verrichtungsgehilfen ist nach § 831 Abs. 1 bei Auswahl und Leitung die im Verkehr erforderliche Sorgfalt zu beachten. Entsprechendes gilt für die Haftung des Grundstücksbesitzers nach § 836 ff. BGB. Auch bergrechtliche Vorschriften, die die Haftung des Bergbaubetreibers regelten, fanden sich schon früh.40 Dieses Konzept ist unter der deliktischen Generalklausel des § 823 Abs. 1 BGB auf Verkehrssicherungspflichten allgemein ausgedehnt worden – wer eine Gefahrenquelle dem Verkehr für andere eröffnet, trägt die Pflicht, die von dieser ausgehende Gefahr auch durch Vorsorge und Überwachung für den Verkehr zu minimieren. Neben diese noch immer verschuldensbasierte Haftung für selbst nur bedingt steuerbare Verhaltensweisen von anderen Menschen, Tieren und Sachen trat dann die Haftung des Tierhalters für die reine Gefährlichkeit nach § 833 BGB, der aber eine wesentliche Differenzierung danach vornimmt, ob die „Gefahrenquelle“ Tier ohne besonderen Grund eröffnet wird, oder ob es sich um ein Nutztier handelt. Der Gesetzgeber sah es 1908 als gerechtfertigt an, die Haftung für im volkswirtschaftlichen Interesse erforderliche Nutztiere dem Halter wiederum nur

Nunmehr bundeseinheitlich § 114 BBergG. 18

bei Verletzung seiner Aufsichtspflichten aufzubürden, um den Landwirten keine unverhältnismäßigen Haftungsrisiken aufzuerlegen. Im Zuge der Industrialisierung wurden aber auch andere Risikoabwägungen angestellt, weshalb der mit der Maschinisierung verbundene höhere Nutzen des Verwenders auch mit der vollständigen Zuweisung der Haftungsrisiken an diesen korrespondieren sollte. Dazu wurde 1871 das Reichs-Haftpflichtgesetz erlassen, welches dem Bahnbetriebsunternehmer eine umfassende Gefährdungshaftung auferlegt (aktuell § 1 HaftPflG). Nach der Entwicklung der Elektrizitäts- und Gaswirtschaft wurde dies 1943 auch auf den Inhaber einer Energieanlage ausgedehnt (aktuell § 2 HaftPflG). Sonstige Betriebsunternehmer wurden für die Gefahren von Bergwerken und Fabriken insoweit in die Haftung genommen, als sie für das Verschulden der Leitungs- und Aufsichtspersonen unabhängig von einem eigenen Auswahl- oder Überwachungsverschulden zu haften haben (aktuell § 3 HaftPflG). Erst später wurden hier Haftungsgrenzen bestimmt, zuletzt 2002 der maximale Kapitalbetrag (aktuell §§ 9, 10 HaftPflG). Sind die aktuell gültigen Haftungsgrenzen nach dem HaftPflG noch eher moderat (§ 9 HaftPflG), wurde die Gefährdungshaftung mit der Einführung des Automobils durch das Kraftfahrzeuggesetz (aktuell §§ 7, 12 StVG), des Flugzeugs (aktuell §§ 33, 37 LuftVG) und schließlich der Atomenergie (§§ 25, 31 AtomG) mit der damit verbundenen Steigerung des Gefahrenpotenzials immer weiter ausgedehnt und auch die Haftungsgrenzen höher angesetzt.41 Um diese Haftungstatbestände faktisch nicht leerlaufen zu lassen, wurde zugleich mit entsprechenden Versicherungsverpflichtungen dafür gesorgt, dass dem Geschädigten eine hinreichende Haftungsmasse zur Verfügung steht.

2. Produzentenhaftung im Status quo Die Diskussion über mögliche neue Haftungsrisiken im Rahmen der digitalisierten Wirtschaft ist auf der Grundlage der Grundsätze der deliktsrechtlichen Produzentenhaftung zu verstehen. Die Produzentenhaftung stellt eine Weiterentwicklung der Rechtsprechung auf Basis der oben bereits erwähnten Verkehrssicherungspflichten desjenigen dar, der durch das Verbreiten eines Produktes eine Gefahrenquelle für die Allgemeinheit eröffnet.

a) Gegenstand der deliktsrechtlichen Verkehrssicherungspflichten: Das Produkt Der Begriff des Produktes als relevante haftungsbegründende Gefahrenquelle ist für die deliktsrechtliche Produzentenhaftung nicht gesetzlich definiert und wird von der Rechtsprechung relativ weit ausgelegt.42 Auch reine Software wird überwiegend als Produkt in diesem Sinne angesehen. Dabei wird hauptsächlich auf das Gefahrenpotential von Software abge-

Weitere Gefährdungshaftungstatbestände finden sich in § 84 AMG (pharmazeutische Unternehmer) und § 32 GenTG (Betreiber einer gentechnischen Anlage). MüKo/Wagner, 7. Aufl. 2017, § 823 BGB Rn. 784. 19

stellt, welches mit demjenigen anderer Produkte vergleichbar sei.43 „Produkt“ ist daher nicht nur bspw. eine autonom agierende Maschine, sondern bereits deren Steuerungssoftware für sich genommen. Auch „Apps“ mit denen Steuerungsfunktionen übernommen werden, können damit im Fehlerfall eine Haftung des Produzenten begründen.44

b) Adressaten der Verkehrssicherungspflichten Adressat der Verkehrssicherungspflichten ist in erster Linie der Hersteller eines Produktes. Hersteller ist dabei nach der Rechtsprechung derjenige, der ein Produkt selbst herstellt oder herstellen lässt, d. h. der die Möglichkeit konkreter Einflussnahme auf Design und Fertigung des Produktes hat bzw. diese kontrolliert. Daneben treffen aber auch den Händler – reduzierte – Verkehrssicherungspflichten. Im Rahmen der Industrie 4.0 wird die Frage, wer verantwortlicher Hersteller ist, komplexer. Denn es ist hier zu berücksichtigen, dass es bei softwaregesteuerten Geräten in der Regel mehrere Verantwortliche in der Produktionskette gibt: Oft ist der Hersteller des Gerätes ein anderer als der Hersteller der Software. In diesem Fall ist jeder der Beteiligten in gewissem Maße auch für sogenannte Kombinationsrisiken verantwortlich, die an der Schnittstelle seines eigenen zu einem fremden Produkt auftreten können.

c) Inhalt der Verkehrssicherungspflichten Die deliktsrechtliche Produzentenhaftung knüpft grundsätzlich an eine schuldhafte Verletzung von Verkehrssicherungspflichten an, die durch die Eröffnung einer Gefahrenquelle nicht nur für den Benutzer des Produkts, sondern insbesondere auch für Dritte durch dessen Inverkehrbringen begründet sind. Man unterscheidet zwischen der Konstruktionspflicht, der Fabrikationspflicht, der Instruktionspflicht und der Produktbeobachtungspflicht. Die ersten drei Pflichten sind strikt produktbezogen. Sie sind vom Hersteller in der Phase von der Entwicklung des Produkts bis zum Inverkehrbringen zu beachten und sollen eine größtmögliche Verwendungssicherheit des Produkts gewährleisten. Die Produktbeobachtungspflicht trifft den Hersteller dagegen nach dem Inverkehrbringen seines Produkts. Die Rechtsprechung verlangt hierbei vom Hersteller eine kontinuierliche Beobachtung seiner im Verkehr befindlichen Produkte auf eventuelle neue Sicherheitsrisiken und auf Sicherheitsrisiken, die von Anfang an bestanden, aber zum Zeitpunkt des Inverkehrbringens nicht erkennbar waren.45 Diese Pflicht begründet vor allem Anforderungen an die innerbetriebliche Organisation, da sie die Aufnahme und systematische Auswertung von Kundenbeschwerden, die Informationsbeschaffung über die Bewährung des Produkts bei seiner Benutzung und dabei aufgetretene Sicherheitsrisiken und die Verfolgung des wissenschaftlichen Fortschritts umfasst.

44 45

Vgl. nur Foerste, in: Foerste/Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 171 ff.; Lehmann, NJW 1992, 1721 (1723 f.). Für das ProdHaftG umstritten, dazu siehe unten. Für Gesundheits-Apps: Backmann, MPR 2011, 73. BGH NJW 1990, 906 (907 f.); Foerste, in: Foerste/Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 372 ff. 20

Stellt sich im Rahmen der Produktbeobachtung die Unsicherheit eines Produkts heraus, wandelt sich die Produktbeobachtungspflicht in eine Gefahrabwendungspflicht. Im Zusammenhang mit den Haftungsrisiken bei softwaregestützten Systemen im Rahmen der digitalisierten Wirtschaft rücken insbesondere die Konstruktionspflicht und die Produktbeobachtungspflicht in den Fokus. Aufgrund der grundsätzlich anerkannten, erhöhten Fehleranfälligkeit von Software sowie der Schnelllebigkeit der technischen Weiterentwicklung im IT-Bereich und des „Wettrennens“ von Software-Anbietern und Hackern ist die Produktbeobachtungs- und Gefahrabwendungspflicht in einem „digitalen Umfeld“ von besonderer Bedeutung. Von der juristischen Literatur wird daher – soweit sie sich überhaupt mit dieser Frage eingehender beschäftigt – eine intensivierte Produktbeobachtungspflicht für Software hergeleitet.46 Auch eine Gefahrabwendungspflicht in Form der Warnung oder regelmäßiger Sicherheitsupdates wird von der Literatur z. T. ohne Weiteres angenommen.47 Dies scheint allerdings eine sehr starke Ausweitung der Herstellerpflichten, die grundsätzlich auf die Sicherheit des eigenen Produkts beschränkt sind. Die Rechtsprechung hatte noch keine Gelegenheit, hierzu Stellung zu nehmen. Der genaue Umfang der Produktbeobachtungspflicht des Software-Herstellers wird maßgeblich davon abhängen, wie sich die objektiv ermittelte Sicherheitserwartung des durchschnittlichen Benutzers und die Abgrenzung der Verantwortungsbereiche von Hersteller, Vertreiber und Anwender entwickeln.

d) Verkehrssicherungspflichtverletzung – Produktfehler Haftungsbegründender Umstand ist die Verletzung der Verkehrssicherungspflicht dadurch, dass das Produkt eine Gefahr für den Nutzer oder Dritte darstellt, also einen Produktfehler aufweist, vor der die Verkehrssicherungspflichten gerade schützen sollen. Das Produkt weist dann nicht die Sicherheit auf, die berechtigterweise von ihm zu erwarten ist. Die Frage, ob das vom Verkehr erwartete Sicherheitsniveau eingehalten ist, lässt sich – auf Basis des anzulegenden Pflichtenmaßstabs – noch relativ leicht beantworten, wenn die Gefährdung unmittelbar vom Produkt selbst ausgeht.

e) Sonderfall Kombinationsrisiken Wie oben dargestellt, haftet der Hersteller grundsätzlich für Schäden, die durch sein fehlerhaftes Produkt verursacht werden. Die Rechtsprechung hat diese Produzentenhaftung – unter engen Voraussetzungen – ausgedehnt auf Schäden, die gerade durch das Zusammenwirken zweier Produkte verursacht werden (sog. Kombinationsrisiken). Im Hinblick auf solche

Vgl. z.B. Spindler, NJW 2004, 3145 (3147); Foerste, in: Foerste/Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 174. Foerste, in: Foerste/Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 175; kritisch Gless/Janal, JR 2016, 561, 570. 21

Kombinationsrisiken kann dem Hersteller eine Produktbeobachtungs- und ggf. Gefahrabwendungspflicht obliegen.48 Aus den Urteilsgründen dieser Rechtsprechung entnimmt ein großer Teil der sich damit auseinandersetzenden Literatur, dass eine Haftung für Kombinationsrisiken insbesondere dann in Betracht kommt, wenn ein Produkt notwendigerweise mit einem anderen kombiniert werden muss, um funktionsfähig zu sein.49 Es ist gut begründbar, die einzelnen Komponenten einer softwaregesteuerten Anwendung als solche ergänzungsbedürftigen Produkte einzustufen: Jedenfalls eine Steuerungssoftware allein ist komplett funktionslos. Nur wenn der Endkunde die Produkte miteinander kombiniert, können sie benutzt werden. Gerade aus dieser Kombination können sich u. U. neue Gefahren bei der Produktbenutzung (insbesondere bei der Steuerung der Endgeräte über eine Software bei Abwesenheit) ergeben, die dem Benutzer nicht ohne Weiteres bewusst sind. Die genaue Bewertung etwaiger Verkehrssicherungspflichten für Kombinationsrisiken ist dogmatisch nicht immer einfach begründbar und muss die jeweiligen Umstände des Einzelfalles im Detail berücksichtigen.

Pflichtenmaßstab für das Verschulden

Maßstab der dem Hersteller auferlegten Verkehrssicherungs- und damit Sorgfaltspflichten ist der aktuelle Stand von Wissenschaft und Technik. Dieser Stand geht in vielen Fällen über den allgemeinen Stand der Technik oder Branchenüblichkeit hinaus, ist im Einzelfall aber oft schwierig zu bestimmen – u. a. weil es keine scharfe Definition des Begriffes gibt. Insbesondere im sich stetig fortentwickelnden Kontext der Industrie 4.0 können sich hierbei schwierige Abgrenzungsfragen stellen. Der BGH geht von folgender Konkretisierung aus: „Dabei darf der insoweit maßgebliche Stand der Wissenschaft und Technik nicht mit Branchenüblichkeit gleichgesetzt werden; die in der jeweiligen Branche tatsächlich praktizierten Sicherheitsvorkehrungen können durchaus hinter der technischen Entwicklung und damit hinter den rechtlich gebotenen Maßnahmen zurückbleiben. Die Möglichkeit der Gefahrvermeidung ist gegeben, wenn nach gesichertem Fachwissen der einschlägigen Fachkreise praktisch einsatzfähige Lösungen zur Verfügung stehen. Hiervon kann grundsätzlich erst dann ausgegangen werden, wenn eine sicherheitstechnisch überlegene Alternativkonstruktion zum Serieneinsatz reif ist. Der Hersteller ist dagegen nicht dazu verpflichtet, solche Sicherheitskonzepte umzusetzen, die bisher nur ‚auf dem Reißbrett erarbeitet‘ oder noch in der Erprobung befindlich sind.“50

BGH NJW 1987, 235 – Lenkerverkleidung, hieraus werden z.T. pauschal sehr weitegehende Herstellerpflichten in der digitalisierten Wirtschaft hergeleitet, vgl. ausführlich unten D.II.3. Foerste, in: Foerste/Graf v. Westphalen, Produkthaftungshandbuch, 3. Aufl. 2012, § 25, Rn. 184; Helmig, PHi 2004, 92 (100); MüKo/Wagner, 6. Aufl. 2014, § 823 Rn. 663; a. A. Bamberger/Roth/ Spindler, § 823 Rn. 513. BGH NJW 2009, 2952 (2954) – Airbag. 22

Es besteht Einigkeit darüber, dass die Anforderungen aus öffentlich-rechtlichen Sicherheitsvorschriften und technischen Normen in dieser Hinsicht lediglich einen Mindeststandard darstellen.51 Daher befreit die Einhaltung dieser Regelwerke nicht von der zivilrechtlichen Produzentenhaftung. Dies gilt umso mehr in einem softwaregestützten Umfeld, in dem Standards kaum mit der realen technischen Weiterentwicklung Schritt halten können. Umgekehrt besteht aber bei Nichterfüllung dieser Regelwerke stets die technisch nur schwer widerlegbare Vermutung, dass ein sicherheitsrelevanter Produktfehler gegeben ist.52 Es liegt mithin in der Verantwortung des Herstellers, durch die Auswertung von Fachliteratur und anderen relevanten Quellen, die Teilnahme an Fachkonferenzen und schließlich durch die Beobachtung des Verhaltens der eigenen und auch der Konkurrenzprodukte im Markt, den aktuellen Stand von Wissenschaft und Technik zu kennen und umzusetzen. Der Umfang der dabei zu ergreifenden Maßnahmen richtet sich zum einen nach der Größe und den Kapazitäten des jeweiligen Unternehmens. Maßgebliches Kriterium ist zum anderen die Art und der Grad der durch das jeweilige Produkt verursachten Gefahr.53 Der BGH führt hierzu aus: „Die Frage, ob eine Sicherungsmaßnahme nach objektiven Maßstäben zumutbar ist, lässt sich nur unter Berücksichtigung sämtlicher Umstände des Einzelfalls beurteilen. Je größer die Gefahren sind, desto höher sind die Anforderungen, die in dieser Hinsicht gestellt werden müssen. Bei erheblichen Gefahren für Leben und Gesundheit von Menschen sind dem Hersteller weitergehende Maßnahmen zumutbar als in Fällen, in denen nur Eigentums- oder Besitzstörungen oder aber nur kleinere körperliche Beeinträchtigungen zu befürchten sind. Maßgeblich für die Zumutbarkeit sind darüber hinaus die wirtschaftlichen Auswirkungen der Sicherungsmaßnahme, im Rahmen derer insbesondere die Verbrauchergewohnheiten, die Produktionskosten, die Absatzchancen für ein entsprechend verändertes Produkt sowie die Kosten-Nutzen-Relation.“54 In der juristischen Literatur wird vor diesem Hintergrund z. T. darauf hingewiesen, dass z. B. Software im medizinischen Bereich oder zur Flugsicherung, die eine besondere Gefahrenquelle für Leib, Leben und Gesundheit darstellt, einem strengeren Maßstab unterliegt als Software in Bereichen, in denen solche Gefahren nicht existieren.55

54 55

Vgl. nur MüKo/Wagner, § 823 BGB Rn. 815; BGH NJW 1985, 47 (49); OLG Schleswig NJW-RR 2008, 691 – Geschirrspülmaschine; OLG Karlsruhe VersR 2003, 1584 (1585) – Buschholzhackmaschine. Palandt/Sprau, BGB, § 3 ProdHaftG Rn. 4; vgl. auch BGH NJW 1988, 2667 zur Haftung des Trägers eines Kinderspielplatzes. BGH VersR 1985, 64 (65); Foerste, in: Foerste/Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 51. BGH NJW 2009, 2952 (2954) – Airbag. Z. B. Graf v. Westphalen, in: Foerste/Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 173, § 48 Rn. 45. 23

g) Beweislast Grundsätzlich gilt, dass der Anspruchsteller sowohl den Produktfehler, den objektiven Verstoß gegen die Verkehrssicherungspflicht als auch das Verschulden (die subjektive Vorwerfbarkeit des Verstoßes gegen die Verkehrssicherungspflicht) zu beweisen hat. Aufgrund der tatsächlichen Schwierigkeiten eines Geschädigten, die rein innerbetrieblichen Vorgänge darzulegen, aus denen zu folgern ist, dass der Produzent dem anzulegenden Pflichtenmaßstab nicht gerecht geworden ist, weil er die im Verkehr erforderliche Sorgfalt außer Acht gelassen hat, hat der Bundesgerichtshof im Hühnerpest-Urteil eine Beweislastumkehr bei Konstruktions- und Fabrikationsfehlern hinsichtlich des objektiven und subjektiven Sorgfaltspflichtverstoßes begründet. Diese greift ein, sofern der Geschädigte den Fehler, die Rechtsgutsverletzung und die zwischen beiden bestehende Kausalität nachweisen kann.56 Im Falle von Instruktionsfehlern und der Verletzung der Produktbeobachtungspflicht muss demgegenüber der Geschädigte auch den objektiven Pflichtenverstoß beweisen, eine Beweislastumkehr findet hier nur hinsichtlich des Verschuldens statt.57 Die Rechtfertigung mit der vom Laien nicht mehr zu durchschauenden und zu kontrollierenden Struktur der modernen Warenproduktion gilt für eine automatisierte Industrie 4.0 erst recht, so dass die Beweislastumkehr für alle Fälle anzunehmen ist, in denen es um Schäden geht, die durch softwaregesteuerte und interagierende Maschinen hervorgerufen werden – gleich ob dies im Rahmen des Einsatzes solcher Maschinen in der „intelligenten Fabrik“ geschieht oder ob das „smart product“ selbst beim Endnutzer einen Schaden verursacht. Daneben wird hier in größerem Umfange als bisher auch die Figur des Anscheinsbeweises für die Fehlerhaftigkeit zum Tragen kommen können, wenn feststeht, dass der Schaden auf ein „Verhalten“ des autonomen Produktes zurückzuführen ist,58 wenn man nicht gar eine weitergehende Beweislastumkehr befürwortet.59

3. Produkthaftung im Status quo Im Hinblick auf die Massenproduktion von Produkten und den damit verbundenen Nutzen für den Hersteller erschien es selbst unter Zugrundelegung einer Beweislastumkehr nicht mehr billig, es dem Hersteller trotz der von Produkten potentiell ausgehenden Gefahren zu ermöglichen, sich auf fehlendes Verschulden berufen zu können und das Risiko einem ggf. schwer Verletzten Nutzer zuzuweisen. Vielmehr wurde erkannt, dass nur mit einer verschuldensunabhängigen Haftung des Herstellers das unserem Zeitalter fortschreitender Technisierung eigene Problem einer gerechten Zuweisung der mit der modernen technischen Produktion verbundenen Risiken in sachgerechter Weise gelöst werden kann.60

56 57 58 59

BGHZ 51, 91 (107) = NJW 1969, 269 (275) – Hühnerpest. BGHZ 80, 186, 197 ff.; NJW 1991, 1948 Gomille, JZ 2016, 76 (78); kritisch Kütük-Markendorf/Essers, MMR 2016, 22 (25). Für letztere Grützmacher, CR 2016, 695 (698); Spindler, CR 2015, 766 (774); KütükMarkendorf/Essers, MMR 2016, 22 (25). Erwägungsgrund 2 der Produkthaftungsrichtlinie 85/374/EWG. 24

In Anlehnung an die bekannten Gefährdungshaftungstatbestände wurde daher – von europäischer Ebene ausgehend – ein verschuldensunabhängiges Haftungsregime durch die Produkthaftungsrichtlinie 85/374/EWG geschaffen, welches durch das ProdHaftG in deutsches Recht umgesetzt wurde.

a) Voraussetzungen der Haftung als reine Gefährdungshaftung Alleinige Haftungsvoraussetzungen sind (1) das Inverkehrbringen eines (2) fehlerhaften Produktes und (3) ein dadurch verursachter Schaden an einem anderen Rechtsgut. Daher spielen im ProdHaftG nur die Verkehrssicherungspflichten vor dem Inverkehrbringen des Produktes eine Rolle (Konstruktionspflicht, Fabrikationspflicht, Instruktionspflicht), nicht hingegen die Produktbeobachtungspflicht, deren Verletzung weiterhin nur bei Verschulden zu einer Haftung führt. Das ProdHaftG kennt nur wenige, gesetzlich festgelegte Ausnahmen von der Herstellerhaftung (§ 1 Abs. 2 ProdHaftG), etwa die Möglichkeit des Nachweises, dass das Produkt im Zeitpunkt des Inverkehrbringens keinen Fehler hatte. Daher ist eine sorgfältige Dokumentation des Konstruktions- und Fabrikationsprozesses notwendig. Gerade im Zusammenhang mit Softwareproblemen – insbesondere bei selbstlernenden Maschinen – kann diese Ausnahme für sog. Entwicklungsfehler, das sind Fehler, die zum Zeitpunkt der Produktion nach dem Stand von Wissenschaft und Technik weder erkennbar noch vermeidbar waren, bedeutsam sein.

b) Produktbegriff Anders als das Deliktsrecht enthält das ProdHaftG eine Definition des Begriffes „Produkt“ in seinem § 2: „Produkt im Sinne dieses Gesetzes ist jede bewegliche Sache, auch wenn sie einen Teil einer anderen beweglichen Sache oder einer unbeweglichen Sache bildet, sowie Elektrizität.“ Da die Definition ausdrücklich auf „bewegliche Sache“ abstellt, wird jedenfalls Software, die auf Datenträgern gespeichert in Verkehr gebracht wird, als „Sache“ i. S. d. § 2 ProdHaftG qualifiziert – jedenfalls wenn es sich um Software mit Steuerungsfunktion handelt.61 Im Rahmen der Industrie 4.0 und der damit einhergehenden Vernetzung, insbesondere über „Cloud-Lösungen“, kommt aber eine immer größere Bedeutung auch Software zu, die nicht auf einem physisch vorhandenen Produkt abgespeichert ist und dieses unmittelbar steuert, die aber durch Fernübertragung von bestimmten Daten dennoch auf das Verhalten eines – ggf. von einem anderen Hersteller stammenden – Produkts Einfluss nimmt.

Kullmann, ProdHaftG, 6. Aufl. 2010, § 2 Rn. 18; in der Literatur wird die Anwendung des ProdHaftG auf Software, die lediglich Informationen/Auskünfte generiert, überwiegend abgelehnt. Dieser Aspekt wird vorliegend aber nicht vertieft, da er nach unserem Verständnis für die hiesigen Konstellation nicht relevant ist. 25

Teile der juristischen Literatur vertreten die Ansicht, dass auch Software, die nicht auf einem Datenträger gespeichert ist, als Produkt i. S. d. § 2 ProdHaftG anzusehen sei. Als Begründung wird z. T. eine Analogie zur ausdrücklich in § 2 ProdHaftG genannten Elektrizität herangezogen62, z. T. darauf abgestellt, dass die Software nach der Fernübertragung wieder auf irgendeinem Datenträger gespeichert werde.63 Nach anderer Ansicht komme aufgrund des klaren Wortlauts des § 2 ProdHaftG eine Subsumtion von fernübertragener Software unter den Begriff „Produkt“ nicht in Betracht.64 Dabei ist auch zu berücksichtigen, dass es Software bereits gab, als die zu Grunde liegende europäische Produkthaftungsrichtlinie 85/374/EWG verabschiedet wurde. Hätte der Gesetzgeber den Anwendungsbereich auf Software erstrecken wollen, hätte er dies – ebenso wie bei Elektrizität – ausdrücklich tun können. Schlussendlich wird der EuGH darüber entscheiden müssen, ob Software in den Anwendungsbereich der europäischen Produkthaftungsrichtlinie 85/374/EWG – und damit auch der nationalen Umsetzungsgesetze – fällt, da er allein die Kompetenz hat, das europäische Gemeinschaftsrecht auszulegen. Bisher gibt es zu dieser Frage allerdings keine Rechtsprechung. Ihre Relevanz wird im Zuge der fortschreitenden Digitalisierung und Vernetzung allerdings zunehmen. Die Europäische Kommission führte zu Beginn des Jahres 2017 eine öffentliche Konsultation zur Produkthaftungsrichtlinie 85/374/EWG durch, bei der unter anderem die Haftung für Software, Apps und IoT-Produkte fokussiert wurde.65

c) Adressaten der Produkthaftung Gem. § 1 ProdHaftG ist Adressat etwaiger Schadenersatzansprüche grundsätzlich der Hersteller eines Produktes, welcher in § 4 Abs. 1 ProdHaftG wie folgt definiert wird: „Hersteller im Sinne dieses Gesetzes ist, wer das Endprodukt, einen Grundstoff oder ein Teilprodukt hergestellt hat. Als Hersteller gilt auch jeder, der sich durch das Anbringen seines Namens, seiner Marke oder eines anderen unterscheidungskräftigen Kennzeichens als Hersteller ausgibt.“ Es gilt also im Interesse des Schutzes des Verbrauchers ein sehr formeller Herstellerbegriff. Es kommt – für die Haftung im Außenverhältnis – nicht darauf an, ob und in welchem Umfang dieser formelle Hersteller tatsächlich Einfluss auf das Design oder den Herstellungsprozess hatte.

d) Anknüpfungspunkt: Inverkehrbringen eines fehlerhaften Produkts Anders als die deliktsrechtliche Produzentenhaftung setzt ein Anspruch gem. § 1 ProdHaftG keine schuldhafte Verletzung einer Verkehrssicherungspflicht voraus. Es genügt

62 63 64

Bartsch, CR 1989, 694; Meier/Wehlau, CR 1990, 95 (99). Taeger, CR 1996, 257 (261). So auch Kullmann, ProdHaftG, § 2 Rn. 19; Staudinger/Oechsler, § 2 ProdHaftG Rn. 65ff.; nunmehr auch Graf v. Westphalen, in: Foerste/Graf v. Westphalen, Produkthaftungshandbuch, § 47 Rn. 44. Die Ergebnisse der Konsultation sind abrufbar unter ec.europa.eu/docsroom/documents/23470. 26

vielmehr das schlichte Inverkehrbringen eines fehlerhaften Produktes. Der Produktfehler ist in § 3 Abs. 1 ProdHaftG wie folgt definiert: „Ein Produkt hat einen Fehler, wenn es nicht die Sicherheit bietet, die unter Berücksichtigung aller Umstände, insbesondere a) seiner Darbietung, b) des Gebrauchs, mit dem billigerweise gerechnet werden kann, c) des Zeitpunkts, in dem es in den Verkehr gebracht wurde, berechtigterweise erwartet werden kann.“ Diese berechtigte Sicherheitserwartung wird von den Gerichten jeweils aufgrund einer detaillierten Betrachtung der Einzelfallumstände bestimmt. Dabei stützt sich die Rechtsprechung auf die im Rahmen der deliktsrechtlichen Produzentenhaftung entwickelten Fehlerkategorien (Konstruktionsfehler, Fabrikationsfehler, Instruktionsfehler).

4. Umfang der Haftung Vom Schadensersatzanspruch des § 823 Abs. 1 BGB und des § 1 ProdHaftG sind nur Schäden erfasst, die unter Verletzung eines der in der Vorschrift abschließend aufgeführten Rechtsgüter fallen, nämlich Eigentum, Leben, Körper, Gesundheit und Freiheit sowie sonstige Rechte – z. B. Besitz, allgemeines Persönlichkeitsrecht, eingerichteter und ausgeübter Gewerbebetrieb. Reine Vermögensschäden sind hingegen nicht ersatzfähig.66 Im Umfeld der digitalisierten Wirtschaft sind aber gerade auch Schäden denkbar, die zu reinen Nutzungs- oder Produktionsausfällen führen. Diese Schäden sind von der Produkt- und Produzentenhaftung nicht erfasst. Bei der Haftung nach dem ProdHaftG ist darüber hinaus zu berücksichtigen, dass nur Schäden an anderen als der fehlerhaften Sache selbst zu erstatten sind, wenn die beschädigte Sache gewöhnlich für den privaten Gebrauch bestimmt war und auch tatsächlich hauptsächlich verwendet wurde. Darüber hinaus besteht gem. § 11 ProdHaftG ein Selbstbehalt in Höhe von € 500. Bei Personenschäden gilt eine Haftungshöchstgrenze in Höhe von € 85 Mio. für alle durch ein Produkt oder gleiche Produkte mit demselben Fehler verursachten Schäden.

5. Betreiber-/Benutzer-Haftung Das deutsche Recht kennt verschiedene Formen der Gefährdungs- und verschuldensabhängigen Haftung des Betreibers/Benutzers bestimmter Systeme oder Produkte, die im Folgenden nur in ihrer Bedeutung für Industrie 4.0 dargestellt werden.67

Reine Vermögensschäden sind nur über § 823 Abs. 2 BGB ersatzfähig, der die schuldhafte Verletzung eines Schutzgesetzes voraussetzt. Ein entsprechendes, drittschützendes Schutzgesetz, das dem Hersteller von Software besondere Sorgfaltspflichten auferlegt, ist nach der aktuellen Gesetzeslage nicht ersichtlich. Zu einem knappen Überblick über Entstehungsgeschichte, Hintergrund und Umfang der Haftung vgl. oben D.I.1. 27

a) Haftung nach dem HaftPflG Gem. § 3 HaftPflG haftet der Betreiber einer Fabrik für Personenschäden, die durch ein Verschulden seines Bevollmächtigten oder Repräsentanten oder eine zur Leitung oder Beaufsichtigung des Betriebes oder der Arbeiter eingesetzte Person verursacht werden. Das HaftPflG statuiert demnach eine Haftung, die zwar für den Betreiber verschuldensunabhängig eingreift, aber dennoch an ein schuldhaftes Verhalten eines Menschen – nämlich der verantwortlichen Führungskraft – anknüpft. Hieraus ergibt sich daher keine verschuldensunabhängige Haftung für Betreiber von autonomisierten Produktionsanlagen.

b) Kfz-Halterhaftung Gem. § 7 Abs. 1 StVG haftet der Halter eines Kraftfahrzeugs oder Anhängers für Sach- und Personenschäden, die beim Betrieb des Kfz verursacht werden. Ausgeschlossen ist die Haftung gem. § 7 Abs. 2 StVG nur, wenn der Unfall durch höhere Gewalt verursacht wird. Es handelt sich hierbei um eine verschuldensunabhängige Haftung. Die menschliche Handlung, an die die Haftung anknüpft, ist allein das Ermöglichen der Nutzung des Fahrzeugs für einen Dritten. Dementsprechend ist der Halter gem. § 7 Abs. 3 StVG nur dann ganz von der Haftung befreit, wenn die Benutzung des Fahrzeugs nicht durch sein Verschulden ermöglicht wurde. Hintergrund der Vorschrift ist die grundsätzliche Betriebsgefahr von Kraftfahrzeugen, für die der Halter stets verantwortlich sein soll, da er zur Aufrechterhaltung der Sicherheit des Fahrzeugs verpflichtet ist.68 Nach der aktuellen Gesetzeslage trifft diese Haftung den Halter auch im Rahmen des autonomen Fahrens. Mit dem Gesetz zur Änderung des Straßenverkehrsgesetzes wurden die Haftungshöchstgrenzen des Halters nach oben korrigiert, da zugleich die Haftung des Fahrzeugführers bei der Nutzung hoch-automatisierter Systeme eingeschränkt bzw. von anderen Pflichtverletzungen abhängig gemacht wurde, anders als beim „klassischen“ Fahren.69 Daneben haftet gem. § 18 StVG stets auch der Fahrzeugführer, der sich aber durch den Nachweis mangelnden Verschuldens von der Haftung befreien kann.

c) Gebäudehaftung gem. § 836 Diskutiert wird auch eine Analogie zur Haftung für Gebäude gem. § 836 BGB für den Nutzer/Betreiber einer (teil-)autonomen Anwendung. § 836 BGB statuiert keine Gefährdungshaftung, sondern vielmehr eine gesetzlich angeordnete Beweislastumkehr im Hinblick auf das im Rahmen des § 823 Abs. 1 BGB grundsätzlich vom Geschädigten nachzuweisende Verschulden des Verkehrssicherungspflichtigen. Im Rahmen der deliktsrechtlichen Produzentenhaftung ist eine solche Beweislastumkehr schon lang ständige Rechtsprechung. Es wird von manchen Stimmen in der Literatur nun vorgeschlagen, den Gedanken des § 836 BGB auch darüber hin-

Burmann, in: Burmann/Heß/Hühnermann/Jahnke/Janker, Straßenverkehrsrecht, 24. Auflage 2016, § 7 Rn. 6 f. Vgl. hierzu ausführlich König, NZV 2017, 123 (125). 28

aus zur vorsichtigen Erweiterung der bereits bislang angenommenen Beweislastumkehrungen heranzuziehen.70

d) Deliktische Haftung des Benutzers Auch den Betreiber/Benutzer (teil-)autonomer Produkte treffen Verkehrssicherungspflichten, deren schuldhafte Verletzung gem. § 823 Abs. 1 BGB zur Haftung für dadurch verursachte Schäden führt. Sicherungspflichten sind deliktische Sorgfaltspflichten zur Kontrolle und Steuerung von Gefahren, die der eigenen Verantwortungssphäre entspringen. Nach einer stehenden Formulierung der Rechtsprechung muss derjenige, der in seinem Verantwortungsbereich eine Gefahrenlage schafft oder andauern lässt, alle ihm zumutbaren Maßnahmen und Vorkehrungen treffen, um eine Schädigung anderer zu verhindern.71 Die Rechtsprechung hat bereits für eine Fülle von Lebenssachverhalten konkretisierte Verkehrssicherungspflichten entwickelt.72 Einige dieser Ansätze sind durchaus auf den Bereich Industrie 4.0 übertragbar und es ist davon auszugehen, dass sie entsprechend weiterentwickelt werden.

e) Arbeitnehmerschutz Besondere arbeitsrechtliche Schutzpflichten treffen den Arbeitgeber als Betreiber von Produktionsmaschinen. Auf diesen mehr arbeitsrechtlich determinierten Aspekt wird in diesem Diskussionspapier nicht weiter eingegangen.

II.

Grundsätzliche Probleme der deliktischen Haftung für Herstellung und Betrieb von „intelligenten“ Produkten und Maschinen und Stand der Diskussion zu Industrie 4.0

Die im vorangehenden Abschnitt geschilderten Haftungsregime werden in der rechtswissenschaftlichen Literatur vermehrt im Hinblick darauf diskutiert, ob sie für die Entwicklungen der Industrie 4.0 noch ohne weiteres tauglich sind oder ob Anpassungen geboten sind. Dieser Abschnitt soll daher die Fragestellungen ansprechen und den aus rechtswissenschaftlichen Veröffentlichungen ersichtlichen Diskussionsstand aufzeigen und/oder denkbare Ansätze skizzieren.

1. Abgrenzung der Verantwortlichkeiten Durch die stärkere Vernetzung von Produktions- und Betriebsprozessen verschwimmen zum Teil die klaren Linien der Verantwortlichkeit,73 so dass sich die Frage stellt, ob die bisheri-

71 72

Grützmacher, CR 2016, 695 (698) unter Hinweis auf Spindler, in: Bamberger/Roth, Beck’scher Online-Kommentar zum BGB, 40. Edition (Stand 1.5.2016), der sich insbesondere mit der nach der Rechtsprechung fehlenden Analogiefähigkeit des § 836 BGB beschäftigt. MüKoBGB/Wagner, § 823 Rn. 320. So gibt es z.B. bereits einen in der juristischen Literatur als „Internet-Deliktsrecht“ bezeichneten Bereich. Ebenso Pieper, InTeR 2016, 188 (192). 29

gen Regelungen eine klare Verantwortungszuweisung ermöglichen.74 Auch kann nicht mehr von einem „Verschulden“ im klassischen Sinne gesprochen werden, wenn eine unerwartete Reaktion oder Problemlösung eines autonomen Systems zu einer Verletzung eines Rechtsguts führt, insbesondere wenn die Reaktion oder Lösung aufgrund von grundsätzlich mathematisch korrekten Gesetzmäßigkeiten ermittelt wurde.75 Zu betonen ist dabei, dass es bei Fragen des Haftungsrechts letztlich stets um die Frage der Risikozuweisung geht.76 Dies wird insbesondere bei selbstlernenden Systemen relevant.

a) Bestimmung des Herstellers und seiner Verantwortlichkeit beim Einsatz innovativer Produktionstechnologien Der klassische Begriff des „Herstellers“ hat eine tatsächliche Verarbeitung von Werkstoffen durch menschliche Beeinflussung vor Augen. Eine Ausweitung der Verantwortlichkeit im Interesse betroffener Verbraucher bestimmt das ProdHaftG. Diskutiert wird insoweit, ob beim Einsatz innovativer Produktionstechnologien ebenfalls eine umfassendere Risikozuweisung erforderlich wird, weil sich die Produktionsbeiträge beim Einsatz von softwaregesteuerten, weitgehend autonom arbeitenden Maschinen nicht mehr klar auf den Herstellerbetrieb eingrenzen lassen, der wiederum darauf verweisen kann, dass er auf die maschinellen Abläufe selbst keinen Einfluss hat und ihn daher kein Verschulden träfe.77 Soweit Verbraucher betroffen sind, die durch das Endprodukt geschädigt werden, ergibt sich hierbei eine Problematik nur hinsichtlich der Frage des Innenregresses des Unternehmers an seinen „Software-Zulieferer“. Dies wirft aber – von technischen Fragen der Ursachenfindung abgesehen – keine anderen juristischen Probleme auf als ein „klassischer“ Regress in der Lieferkette. Letztlich stellt sich damit die Frage, ob eine Gefährdungshaftung des Herstellers bzw. weitergehender auch des Betreibers von automatisierten und autonomen Systemen auch auf nicht vom ProdHaftG erfasste Sachverhalte ausgedehnt werden sollte.78 Der BGH zeigt in diese Richtung, wenn er in Auslegung des Herstellerbegriffes des ProdHaftG bei der Haftung für einen Überspannungsschaden betont, dass es darauf ankomme, in wessen Organisationsbereich ein Produkt entstanden ist, und insbesondere darauf, wer in die Produktgestaltung oder eine wesentliche, insbesondere sicherheitsrelevante Produkteigenschaft eingreift.79

74 75 76

77 78

Kritisch Torbohm auf der Euroforum-Jahrestagung Haftpflicht 2016, zitiert bei Otto, VW 2016, 58. Pieper, InTeR 2016, 188 (193); Müller-Hengstenberg/Kirn, MMR 2014, 307 (312). Burrer, in: Bräutigam/Klindt, Digitalisierte Wirtschaft/Industrie 4.0, Rechtsgutachten für den BDI, S. 87; ebenso Grützmacher, CR 2016, 695 (696) mit Verwies auf Bartsch, FS J. Schneider, S. 941. Vgl. dazu Mitterer/Wiedemann/Zwissler, BB 2017, 3 (10). Vgl. dazu auch Wende, in: Sassenberg/Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, 2017, S. 81. BGH NJW 2014, 2106 (2108) – Überspannungsschaden. 30

Dieser Gedanke lässt sich im Rahmen der Haftung nach § 823 Abs. 1 BGB umso mehr fruchtbar machen, als es dort nicht auf eine Herstellereigenschaft, sondern lediglich auf die Frage der Beherrschbarkeit einer Gefahrenquelle ankommt. Zu diskutieren sind daher zwei Aspekte – zum einen der Aspekt der Beherrschbarkeit eines automatisierten Prozesses im eigenen Organisationsbereich und zum anderen, wo eine solche Beherrschbarkeit fehlt, die Frage der Zuweisung von Risiken an denjenigen, der sich mit einem Produkt nach außen identifiziert oder dieses in seinem Organisationsbereich zu seinem Vorteil nutzt. Hier sind umso mehr objektive Maßstäbe anzusetzen, als eine Abgrenzung der Verantwortlichkeit für Fehler im Rahmen „vernünftigerweise vorhersehbaren Fehlverhaltens“ bei rein technischen Prozessen, die nicht mehr vernunftgemäß erfassbar sind, ausscheidet.80 Damit einhergeht eine Allokation der Verantwortlichkeit, die weniger bei einem Hersteller im klassischen Sinne, sondern mehr bei einem Organisator und Profiteur vernetzter Vorgänge liegen würde. In diesem Rahmen bietet das bestehende Recht dann mit der Flexibilität von Beweislastregeln allerdings einen hinreichenden Spielraum, weshalb in der aktuellen Diskussion auch deutlich gegen die Einführung einer weiterreichenden Gefährdungshaftung plädiert wird.81

b) Verantwortung bei autonomem Handeln des Produktes sowie bei Weiterentwicklung des Produktes nach Inverkehrbringen, insbesondere bei maschinellem Lernen Ein spezifisches Problem der Industrie 4.0 wird gerade auch darin erkannt, dass Smart Devices bzw. autonome Produkte mehr oder minder eigenständig Entscheidungen und ggf. eben auch Fehlentscheidungen treffen, womit sich in besonderem Maße die Frage stellt, wem hierfür bei entsprechenden Schäden ein – haftungsbegründender – Vorwurf gemacht werden kann.82 Diskutiert wird hier die Frage, inwieweit die Befürchtung, dass den Hersteller oder auch den Betreiber solcher Systeme im Zweifel kein Verschulden treffe, weil ihm entweder kein unsorgfältiges Verhalten vorgehalten werden kann oder weil er den Fehler auch nach den neuesten technischen und wissenschaftlichen Erkenntnissen nicht erkennen und vermeiden konnte,83 überhaupt zutreffend ist.84 Das Problem ist weniger in der Frage der klaren Verantwortungszuweisung zu sehen als in der Frage, ob selbst bei „algorithmischer Prädeterminierung“ im Nachhinein noch nachvollziehbar ist, welche Ursache die Fehlentscheidung hatte bzw. ob diese sich ggf. aus der schie-

81 82 83 84

Burrer, in: Bräutigam/Klindt, Digitalisierte Wirtschaft/Industrie 4.0, Rechtsgutachten für den BDI, S. 87; zustimmend Wendt/Oberländer, InTeR 2016, 58 (63). So etwa von Grützmacher, CR 2016, 695 und von Rempe, InTeR 2016, 17. Grützmacher, CR 2016 695 (696). Vgl. Bräutigam/Klindt, NJW 2015, 1137 (1139); Müller-Hengstenberg/Kirn, MMR 2015, 307 (313). Grützmacher, CR 2016 695 (696 f.); vgl. auch Spindler, CR 2015, 766, (768). 31

ren Masse an protokollierten Daten sinnvoll herausfiltern lässt.85 Die Risikozuweisung ist hier daher bereits auf der Beweisebene erforderlich.86 Die Frage, wer bei nicht mehr realisierbarer Auswertung von potentiell vorhandenen Daten selbstlernender Maschinen die Verantwortung trägt, muss daher nicht in die Statuierung einer Gefährdungshaftung für solche Systeme münden, sondern kann dabei sein Bewenden haben, dem Hersteller und auch dem Betreiber die Beweislast auch für ihre Entlastung durch mangelnde Kausalität zu überbürden, sofern dem Geschädigten nicht bereits der Beweis des erstens Anscheins zum Erfolg zu verhelfen vermag.87 Solange sich in der forensischen Praxis hier aber noch keine signifikanten Defizite hinsichtlich der (sachverständigen) Auswertung vorhandener (Prozess-)Daten ergeben, muss über eine Änderung vorhandener Regeln nicht nachgedacht werden. Damit einher geht auch eine Steigerung der Sorgfaltspflichten des Betreibers solcher autonomer Systeme, der aus der Schadensgeneigtheit des Systems seinen Nutzen zieht und bei dem das Risiko daher – neben dem Hersteller – grundsätzlich richtig allokiert ist.88 Dies entspricht dem Grundsatz, die Risiken demjenigen zuzuweisen, der sie am kostengünstigsten bewältigen kann („cheapest cost avoider“).89 Dem Betreiber ist daher eine besonders sorgfältige Beobachtung des Einsatzes der Systeme abzuverlangen.90 Dem Betreiber steht dann wiederum regelmäßig ein Regressanspruch gegen den Hersteller im Rahmen des Gesamtschuldnerinnenausgleichs zu.91 Die Fragen der Haftungsverteilung stellen sich daher weniger im Verhältnis zu den Endkunden und Verbrauchern, als vielmehr im B2B-Bereich in der „Lieferkette“ – hier sind dann aber vor allem vertragliche Vereinbarungen zwischen den Beteiligten gefragt, bevor man über gesetzlichen Regulierungsbedarf nachdenkt. Vor allem ist damit das Bedürfnis eines Rückgriffs auf eine noch weitergehende Gefährdungshaftung, für das in der aktuellen Diskussion durchaus auch plädiert wird,92 jedenfalls solange nicht zu erkennen, solange nicht wirklich autonome Systeme eine derartige Omnipräsenz einnehmen wie Automobile und Luftfahrzeuge. Erst dann könnte ein Handeln des Gesetzgebers in Fortschreibung der oben unter I. 1. dargestellten Entwicklungen geboten sein.93

86 87

88 89 90 91 92

Reichwald/Pfisterer, CR 2016, 208 (211); Grützmacher, CR 2016 695 (697); auf die Problematik fehlender Nachvollziehbarkeit von Fehlern bei autonomem Lernen weist auch Pieper, InTeR 2016, 188 (193) hin. Grützmacher, CR 2016 695 (697); in diesem Sinne auch Gomille, JZ 2016, 76 (78). Letzteren hält Gomille, JZ 2016, 76 (78) für ausreichend; siehe für den Straßenverkehr speziell auch Borges, CR 2016, 272 (275 f.). Vgl. auch Horner/Kaulartz, CR 2016, 7 (8). Pieper, InTeR 2016, 188 (193); Spindler, CR 2015, 766 (773) m. w. N. Spindler, CR 2015, 766 (768); Grützmacher, CR 2016 695 (697). Ebenso Grützmacher, CR 2016 695 (697). Vgl. Riehm, ITRB 2014, 113 (114 f.); Horner/Kaulartz, InTeR 2016, 22 (25); dies., CR 2016, 7 (13); Wendt/Oberländer, InTeR 2016, 58 (64); jedenfalls für Betreiber auch Spindler, CR 2015, 766 (768, 775 f.); beschränkt auf Kfz für die Haftung des Herstellers auch Borges, CR 2016, 272 (277 ff.); tendenziell, aber zurückhaltend auch Bräutigam/Klindt, NJW 2015, 1137 (1139). In diesem Sinne auch Grützmacher, CR 2016 695 (697). 32

In diesem Sinne hat der Gesetzgeber für den spezifischen Bereich des Straßenverkehrs mit dem Gesetz zur Änderung des StVG94 zum einen die Öffnung des Straßenverkehrs für automatisierte und vernetzte Fahrzeuge vorgesehen, zugleich aber auch die Pflichten des Fahrzeugführers konkretisiert und die Haftungshöchstgrenzen angehoben, während die Struktur der Halter- und Fahrerhaftung unberührt bleibt.95 Zu weitgehend erscheint demgegenüber der Vorschlag zur Einführung einer „gefährdungshaftungsrechtlichen Generalklausel“,96 etwa nach dem Vorbild der Gardien-Haftung im französischen Code Civile.97 Grundsätzlich ist das vorhandene Instrumentarium der Haftungstatbestände bei entsprechender Ausfüllung der Verkehrssicherungspflichten und entsprechenden Risikozuweisungen auf Beweislast- und Verschuldensebene geeignet, zu sach- und interessengerechten Lösungen zu führen.98

c) Überwachungsverantwortung in der automatisierten Fabrik und Produktbeobachtungsverantwortung Eine möglichst lückenlose Überwachung, auch durch Überwachungssysteme selbst, wird in der „intelligenten Fabrik“ unabdinglich sein, um Fabrikationsfehler einerseits zu verhindern und andererseits produktgenau eingrenzen zu können.99 Damit ist zugleich der entscheidende Anknüpfungspunkt für die Verantwortlichkeit im Fall von Fehlern, die bei ordnungsgemäßer Überwachung vermeidbar gewesen wären, gegeben. Dies ist offen für eine dynamische Entwicklung unter dem Aspekt der Verkehrssicherungspflicht, wobei allerdings Standardisierungen – die ein zentraler Aufgabenbereich der Umstellung auf die digitalisierte Wirtschaft sind100 – vermutlich noch mehr als heute erhebliche Indizwirkung auch für die Einhaltung der erforderlichen Sorgfaltspflichten zukommen wird,101 so dass die größte Einflussmöglichkeit weniger im Bereich der Gesetzgebung zu su-

95 96

99 100 101

BT-Drucks. 18/11300 und 18/11776 ; das Gesetz wurde vom Bundestag in 3. Lesung am 30.3.2017 angenommen, die Beschlussdrucksache des Bundesrates liegt mit Datum 12.5.2017 vor (BR-Drucks. 299/17). Eingehend zum Gesetzentwurf König, NZV 2017, 123. Vorgeschlagen etwa – wenngleich nicht als zwingend erforderlich angesehen – von Wendt/Oberländer, InTeR 2016, 58 (64). Art. 1242 Abs. 1 Code Civil n. F. (Art. 1384 Abs. 1 a. F.): „Man ist nicht allein für den durch seine eigene Handlung, sondern auch für den durch andere, für welche man einstehen muss, oder durch Sachen, die man in seiner Verwahrung hat, verursachten Schaden verantwortlich.“; siehe dazu auch Burrer in: Bräutigam/Klindt, Digitalisierte Wirtschaft/Industrie 4.0, Rechtsgutachten für den BDI, S. 91. Vgl. dazu Burrer, in: Bräutigam/Klindt, Digitalisierte Wirtschaft/Industrie 4.0, Rechtsgutachten für den BDI, S. 91; ebenso Rempe, InTeR 2016, 17 (19); Wendt/Oberländer, InTeR 2016, 58 (64); für autonome Fahrzeuge auch Gomille, JZ 2016, 76 (82). Vgl. auch Grützmacher, CR 2016, 695 (697); Spindler, CR 2015, 766 (768). Vgl. auch Mayinger, RAW 1/17, 37, 41; Gomille, JZ 2016, 76 (79). In diesem Sinne auch Spindler, CR 2015, 766 (771). 33

chen ist, als auf der Ebene der Standardisierungsorganisationen, in die die Industrie selbst seit jeher eingebunden ist. Zum anderen wird mit zunehmender Komplexität und Digitalisierung von Produkten eine Schwerpunktverschiebung von Sorgfaltspflichten und der damit einhergehenden Verantwortlichkeit in der physischen Konstruktion und Fabrikation hin zu umfassender Produktbeobachtung als nachgelagerter Verkehrssicherungspflicht einhergehen.102 In der gegenwärtigen Diskussion wird zu Recht darauf hingewiesen, dass sich Art und Umfang der zur Verfügung stehenden Erkenntnisquellen durch die technischen Entwicklungen der Industrie 4.0, insbesondere die umfangreiche und teilweise in Echtzeit erfolgende Erhebung von Daten, signifikant verändert haben, und dass dies bei der Feststellung des Sorgfaltsmaßstabs im Rahmen der Produktbeobachtung zu berücksichtigen ist.103 Damit wird vor allem die Frage, welche konkreten Sorgfaltsanforderungen im Umgang mit autonomen Maschinen einzuhalten sind, zunehmend an Bedeutung gewinnen.104 Dies gilt insbesondere im Hinblick auf die Möglichkeiten der aktiven Erfassung und Auswertung von Prozessdaten automatisiert ablaufender Vorgänge105 nicht nur durch ein „Produktgedächtnis“,106 sondern auch durch einen kontinuierlichen Verbesserungsprozess durch fortlaufende Fehlerübermittlung und Auswertung.107 Einen ersten verpflichtenden Schritt in diese Richtung hat der Gesetzgeber mit Einführung der Blackbox für Fahrzeuge mit hoch- oder vollautomatisierten Fahrfunktionen in § 63a Abs. 2 S. 3 StVG unternommen, wobei diese Regelung weitgehende Zugriffsrechte von Dritten auf die Daten im Sinne einer „discovery“ ermöglicht, die dem deutschen (Prozess-)Recht bislang grundsätzlich fremd sind.108 Die Regelung kann daher nicht als Paradigma für die weitere Entwicklung angesehen werden, sondern es bedarf gerade hier eines breiten gesellschafts- und wirtschaftspolitischen Diskurses.109 In diesem Pflichtenrahmen vermindert sich dann auch die Relevanz der Frage, ob eine gesetzliche Einführung entsprechender Gefährdungshaftungstatbestände über den Anwendungsbereich des ProdHaftG hinaus – insbesondere was den Betrieb von autonomen Systemen betrifft – erforderlich ist, da diese nur in den Fällen zu einem unterschiedlichen Ergebnis führten, in denen Gefahren auch bei sorgfältiger Produktbeobachtung nicht erkennbar und vermeidbar wären.

102

103 104 105 106

107

108

109

Vgl. auch Spindler in Hilgendorf: Robotik im Kontext von Recht und Moral, S. 63 (73); ders., CR 2015, 766 (768); Grützmacher, CR 2016, 695 (696); Pieper, InTeR 2016, 188 (194); v. Bodungen/Hoffmann, NZV 2016, 503 (505 f.); Gomille, JZ 2016, 76 (79, 81). Mitterer/Wiedemann/Zwissler, BB 2017, 3 (12). Pieper, InTeR 2016, 188 (194); Horner/Kaulartz, CR 2016, 7 (8). Vgl. auch Jänich/Schrader/Reck, NZV 2015, 313 (318); Horner/Kaulartz, CR 2016, 7 (10). Vgl. auch Kröner in Vieweg/Gerhäuser: Digitale Daten in Geräten und Systemen, S. 183 und Hanisch in Hilgendorf: Robotik im Kontext von Recht und Moral, S. 27 (38) sowie Solmecke/Jockisch, MMR 2016, 359 (363 f.). Ebenso Wendt/Oberländer, InTeR 2016, 58 (63); v. Bodungen/Hoffmann, NZV 2016, 503 (506); Gomille, JZ 2016, 76 (79); vgl. auch Hartmann, DAR 2015, 122 (124). Vgl. dazu Burrer, in: Bräutigam/Klindt, Digitalisierte Wirtschaft/Industrie 4.0, Rechtsgutachten für den BDI, S. 147. Klindt, Interview in der Börsen-Zeitung vom 20.5.2017. 34

Mit Blick auf die Gesetzeshistorie des HaftPflG wäre für solche Fälle in einzelnen, besonders gefahrenträchtigen Situationen beispielsweise an eine entsprechende, jedoch moderate, Erweiterung der §§ 2, 3 HaftPflG zu denken; auch könnte in geeigneten Fällen mit einer an § 836 BGB angelehnten Beweislastumkehr gearbeitet werden.110 Der Haftungsgrund des § 836 BGB liegt im besonderen Gefahrenpotential von Gebäuden, die unter Verletzung allgemeiner Regeln der Bau- und Ingenieurskunst errichtet oder unterhalten werden, sowie in der größeren Beweisnähe des Eigenbesitzers hinsichtlich der spezifischen Gefahren des Gebäudes.111 Ob eine solche – über die im Rahmen der Produzentenhaftung bereits anerkennte Beweislastumkehr (siehe oben D.I.2.g)) hinausgehende – Beweislastverteilung, die von manchen Stimmen der Literatur angedacht wird, tatsächlichen sinnvoll sein könnte, muss sich aber erst durch Erfahrungen in der forensischen Praxis erweisen.

d) Fazit Die deutsche Deliktsrechtsdogmatik wird daher in der Lage sein, auch im Falle von innovativen Produktionstechnologien und autonomem Lernen von Produkten die Haftung zutreffend zuzuweisen.112 Nur dort, wo der Geschädigte tatsächlich in eine Beweisnot gerät, die ihm billigerweise nicht zugemutet werden kann und die nicht allein durch die Grundsätze des sekundären Darlegungslast gelöst werden kann, könnte hier auch an eine Beweislastumkehr hinsichtlich der anfänglichen Fehlerhaftigkeit eines „smart products“, durch das ein Schaden versursacht wird – auch in Anlehnung an die Rechtsprechung zu groben Behandlungsfehlern im Arzthaftungsrecht – gedacht werden.113 Das kann aber nur dann sinnvoll und notwendig sein, wenn, wie bei der BGH-Rechtsprechung zur Beweislastumkehr hinsichtlich des objektiven Pflichtenverstoßes, anzuführen wäre, dass anderenfalls der Geschädigte auch den „objektiven Geschehensablauf in seinen Einzelheiten aufklären“ müsste, was für ihn besonders schwierig sei.114 Diese Schwierigkeiten können sich bei komplexen Systemen gerade auch in Bezug auf die Feststellung der anfänglichen Fehlerhaftigkeit des schadensverursachenden Produktes, für die bislang der Geschädigte die Beweislast trägt, ergeben.115 Hieran kann die Diskussion ansetzen.116

110

111 112

113 114

115 116

Für letztere sprechen sich etwa Grützmacher, CG 2016, 695 (698); Spindler, CR 2015, 766 (774) und Horner/Kaulartz, CR 2016, 7 (9) aus. Grützmacher, CG 2016, 695 (698); BeckOK-BGB/Spindler, § 836 Rn 2. Ebenso Börding/Jülicher/Röttgen/v. Schönfeld, CR 2017, 134 (140); Ortner/Daubenbüchel, NJW 2016, 2918 (2924); Wendt/Oberländer, InTeR 2016, 58 (64); Rempe, InTeR 2016, 17 (19); Spindler, CR 2015, 766 (774). Für eine Beweislastumkehr auch Kütük-Markendorf/Essers, MMR 2016, 22 (25). BGH NJW 1981, 1603 – Derosal; NJW 1999, 1028 – Torfsubstrat; vgl. dazu auch Gless/Janal, JR 2016, 561, 572. St. Rspr., vgl. BGH NJW 1991, 1948 (1951) – HIV-kontaminierte Blutkonserve. Ebenso Kütük-Markendorf/Essers, MMR 2016, 22 (25); zu Beweisschwierigkeiten und möglichem prozessualen Umgang damit siehe auch Burrer in: Bräutigam/Klindt, Digitalisierte Wirtschaft/Industrie 4.0, Rechtsgutachten für den BDI, S. 146 f. und zustimmend Wendt/Oberländer, InTeR 2016, 58 (64). So im Ergebnis auch die Arbeitsgruppe 4 „Rechtliche Rahmenbedingungen“ der 35

Die österreichische Zivilprozessdogmatik hat in ähnlicher Weise ganz allgemein die über eine sekundäre Darlegungslast hinausgehende Figur der „Nähe zum Beweis“ entwickelt, die in speziellen Ausnahmesituationen eine Umkehr der Beweislast ermöglicht. In Zweifelsfällen bzw. in Ausnahmefällen bürdet die österreichische Rechtsprechung demjenigen die Beweislast auf, dem die Beweise leichter zugänglich sind, da andernfalls die an sich beweisbelastete Partei einen wesentlich schwieriger zu erbringenden Negativbeweis antreten muss. Voraussetzung hierfür ist jedoch, dass derjenige, den die Beweislast nach der allgemeinen Regel trifft, seiner Beweispflicht in dem ihm zumutbaren Ausmaß nachkommt. Zur Umkehr der objektiven Beweislast, abweichend von der gesetzlichen Regelung, ist das Gericht nur bei Vorliegen besonderer Sachgründe legitimiert; nur dann darf es das Beweisrisiko „extra legem“ – also in gesetzesübersteigender Rechtsfortbildung – zum Vorteil der beweisbelasteten Partei verschieben, bedeutet doch die Beweislastumkehr eine Haftungsverlagerung.117 Eine Beweislastverschiebung ist nach ständiger österreichischer Rechtsprechung auf Ausnahmefälle beschränkt, in denen die „Nähe zum Beweis“ – im Einzelfall – den Ausschlag für die Zuteilung der Beweislast gibt; etwa dann, wenn Tatfragen zu klären sind, die „tief in die Sphäre einer Partei hineinführen“. Zu einer Verschiebung der Beweislast kommt es also (nur) dann, wenn für die eine Partei mangels genauer Kenntnis der Tatumstände ganz besondere, unverhältnismäßige Beweisschwierigkeiten bestehen, während der anderen Partei diese Kenntnisse zur Verfügung stehen und es ihr daher nicht nur leicht möglich, sondern nach Treu und Glauben auch ohne weiteres zumutbar ist, die erforderlichen Aufklärungen zu geben.118 Damit könnte eine Einzelfallgerechtigkeit erzielt werden, ohne dass zugleich in genereller Weise das ausgewogene System von Beweis, Anscheinsbeweis und sekundärer Darlegungslast des deutschen Rechts weitergehend verändert werden müsste. Die österreichische Figur der „Nähe zum Beweis“ könnte daher ein tauglicheres Mittel sein als eine von manchen Stimmen in der deutschen Literatur generell befürwortete Beweislastumkehr.

2. Neue Produktrisiken durch neue Funktionen, insbes. Apps und Software, im Konzept der bewährten Fehlerkategorien Computerprogramme als moderne und inzwischen ubiquitäre Wirtschaftsgüter können ein nicht unerhebliches Gefahrenpotential in sich bergen.119 Die allgemeinen Grundsätze der Produkthaftung sind uneingeschränkt auf den Computerbereich übertragbar.120

117

118

119

Plattform Industrie 4.0 in ihrem Ergebnispapier „Industrie 4.0 – wie das Recht Schritt hält“ (1.10.2016), abrufbar unter www.bmwi.de/Redaktion/DE/Publikationen/Industrie/industrie-4-0wie-das-recht-schritt-haelt.pdf; Schlinkert, ZRP 2017, 222, 223. S. dazu Rassi, ZZP 121 (2008), 165 ff. (173 f.); Rechberger, in: Fasching/Konecny, ZPO, 2. Aufl. 2004, Vor § 266 ZPO Rn. 1 ff. (27). Vgl. nur öOGH, Beschl. v. 12.05.2009, 10 Ob 21/08y = T 8 und T 9 zum OGH-Rechtssatz Nr. RS0040182. So bereits Lehmann, NJW 1992, 1721; siehe auch die Beispiele bei Littbarski in Kilian/Heussen, Computerrechts-Handbuch, Teil 18 Rn. 2. 36

Daher können auch die Fehlerkategorien übertragen werden,121 wobei dem Konstruktionsfehler bei hochkomplexen Fertigungsprozesses und Endprodukten der Industrie 4.0 besondere haftungsrechtliche Bedeutung zukommt.122 Konstruktionsfehler einer Software sind Fehler, die bei der Programmerstellung, Programmierung, Kompilierung usw. eines Computerprogrammes entstanden sind (sei es im Quellcode, sei es im Maschinencode).123 In diesem Zusammenhang sind sowohl die Komplexität der neuen Steuerungssysteme als auch die Tatsache zu berücksichtigen, dass Fehlerlosigkeit bei Software nicht erreicht werden kann.124 Bei Schwachstellen, die erst später bekannt werden, handelt es sich daher in der Regel um Entwicklungsfehler, denen dann im Rahmen der Produktbeobachtung zu begegnen ist. Die Kategorie der „Fabrikation“ ist auf Vorgänge des Einspeisens von Software in Systeme zu übertragen.125 Daneben erhalten Verkehrssicherungspflichten in der Produktionsphase eine neue Relevanz, wo in den Fertigungsprozess selbst selbständig veränderliche Systeme involviert sind.126 Im Hinblick auf Fabrikationsfehler werden Virusinfektionen, die trotz Sicherungsvorkehrungen und Kontrollen nicht verhindert werden konnten, als „Ausreißer“ im Sinne dieser Fehlerkategorie qualifiziert, für die den Hersteller dann – außerhalb des ProdHaftG – keine Haftung trifft.127 Instruktionsfehler werden bei eigenständig agierender Software an Bedeutung verlieren, soweit sie nicht jederzeit vom Nutzer deaktiviert, übersteuert oder aktiviert werden kann.128 In letzterem Fall kommt der Instruktion des Nutzers hingegen eine hervorgehobene Bedeutung zu.129 In dieser Hinsicht wird es aber weniger auf eine Bedienungsanleitung ankommen, als auf entsprechende Warnungen und Hinweise im Rahmen der Produktnutzung selbst, die wiederum nicht derart „inflationär“ aufscheinen dürfen, dass sie gedankenlos „weggeklickt“ werden.130 Ein Schwerpunkt der Informationspflichten wird dann gerade darin liegen, den

120

121 122 123

124 125 126 127

128

129 130

So bereits Littbarski in Kilian/Heussen, Computerrechts-Handbuch, Teil 18 Rn. 24, 116; siehe auch Mitterer/Wiedemann/Zwissler, BB 2017, 3 (11); Spindler, CR 2015, 766 (769). Ebenso Wendt/Oberländer, InTeR 2016, 58 (61). Mitterer/Wiedemann/Zwissler, BB 2017, 3 (11); Grützmacher, CR 2016 695 (696). Siehe schon Lehmann, NJW 1992, 1721 (1723); Gomille, JZ 2016, 76 (77); Borges, CR 2016, 272 (275), jew. m. w. N. Rockstroh/Kunkel, MMR 2017, 77 (80); Gomille, JZ 2016, 76 (77 f.). Wendt/Oberländer, InTeR 2016, 58 (61); Borges, CR 2016, 272 (275). Wendt/Oberländer, InTeR 2016, 58 (61 f.); Horner/Kaulartz, InTeR 2016, 22. Rockstroh/Kunkel, MMR 2017, 77 (80) mit Verweis auf Lehmann, NJW 1992, 1721 (1723) und Palandt/Sprau, 75. Aufl. 2016, § 823 Rn. 170. Vgl. Jänich/Schrader/Reck, NZV 2015, 313 (317) zur Aufklärung insbesondere hinsichtlich der Auswirkungen von Eingriffen auf die Verkehrssicherheit bei Fahrassistenzsystemen; eingehend zur Instruktionspflicht bei letzteren auch Hammel, Haftung und Versicherung bei Personenkraftwagen mit Fahrerassistenzsystemen, 2016, S. 399 ff. v. Bodungen/Hoffmann, NZV 2016, 503 (505). In diesem Sinne auch Wendt/Oberländer, InTeR 2016, 58 (62). 37

Nutzer über Änderungen aufzuklären, die ein Softwareupdate mit sich bringt.131 Mit zunehmender Autonomisierung ist es darüber hinaus gerade auch möglich, dem Nutzer situationsadäquate Hinweise zu geben.132 Gefahren für die von § 823 Abs. 1 BGB geschützten Rechtsgüter drohen gerade auch dort, wo „Wearables“ und entsprechende Apps die gesundheitliche Überwachung einer Person übernehmen sollen.133 Eine gesetzliche Klarstellung dahingehend, dass auch reine Software wie „Gesundheits-Apps“ ein Produkt i. S. d. ProdHaftG sind,134 erscheint angesichts der damit durchaus verbundenen Gefahren für die menschliche Gesundheit wünschenswert. In diesem Zusammenhang wird auch die nachstehend unter 3. erörterte Frage der IT-Sicherheit dann besonderes virulent, wenn die Beeinflussung einer IT-Funktion spürbare Auswirkungen auf den Gesundheitszustand des Patienten haben kann.135 Im Zusammenhang mit neuen Produktrisiken ist insbesondere ausgehend vom medizinischen Bereich zu diskutieren, inwieweit die bislang nur für ein medizinisches Implantationsprodukt erfolgte Ausdehnung des Fehlerbegriffes auf eine gesamte Produktionsserie, allein wegen eines fehlerhaften Exemplares,136 sich auf andere Fälle nicht im Einzelfall nachweisbarer Mangelbefürchtungen bei kritischen Computersystemen übertragen lassen kann. Die Diskussion zur Ausweitung des Fehlerbegriffes in diesem Sinne ist – wenn auch noch mit Skepsis – im Gange.137

3. Produktsicherheit und IT-Sicherheit – Produktfehler durch CyberAngriffe im Produktionsprozess und durch unzureichende IT-Sicherheit am Produkt selbst Einer der aktuell kontrovers diskutierten Aspekte der Haftungsfragen der digitalisierten Wirtschaft ist die Haftung für Angriffe auf und Manipulation von Netzwerken von außen. Mit einem ersten Fall beschäftigt sich derzeit das Landgericht Köln: Die Verbraucherzentrale Nordrhein-Westfalen hat eine Filiale des Elektronik-Händlers Media-Markt verklagt, weil dort Smartphones mit einem veralteten Betriebssystem angeboten worden seien, das erhebliche

131

132 133 134

135 136 137

Instruktiv das Beispiel des Tesla-Updates auf Version 7.0, das die Bedienoberfläche komplett umgestaltete und gänzlich neue Funktionen mit sich brachte. Eingehend dazu Solmecke/Jockisch, MMR 2016, 359 (363). Ebenso v. Bodungen/Hoffmann, NZV 2016, 503 (505). Allgemein dazu vgl. Ortner/Daubenbüchel, NJW 2016, 2918. Zweifelnd etwa Gaßner/Strömer, VersR 2015, 1219 (1228); Ortner/Daubenbüchel, NJW 2016, 2918 (2919). Ortner/Daubenbüchel, NJW 2016, 2918 (2923). BGH NJW 2015, 2507 (2509) – Defibrillator. Vgl. Handorn/Martin, MPR 2016, 76; Ortner/Daubenbüchel, NJW 2016, 2918 (2923); Reich, EuZW 2015, 318; Handorn, MPR 2015, 91; Schaub, MedR 2016, 133; Sedlmaier/Martin, RAW 2015, 106; Timke, NJW 2015, 3060; Wagner, JZ 2016, 292; Burckhardt, BB 2015, 661; Moelle/Dockhorn, NJW 2015, 1163; Mäsch, JuS 2015, 556; Göttschkes, MPJ 2015, 161 und aus der Rechtsprechung KG MPR 2016, 67 – Hüftprothese. 38

IT-Sicherheitslücken aufweist.138 Aus der Presse lässt sich entnehmen, dass die Verbraucherzentrale durchaus erwogen hat, den Hersteller der Smartphones oder des Betriebssystems zur Verantwortung zu ziehen, letztendlich aber der Händler in Anspruch genommen wird, weil er der unmittelbare Vertragspartner für den Verbraucher sei. Das BSI hat hingegen nach der verfügbaren Berichterstattung den Hersteller des Smartphones bereits im September 2016 auf die sicherheitsrelevanten Schwachstellen hingewiesen. Es bleibt abzuwarten, ob das Gericht diese – jedenfalls dem Hersteller offenbar bekannten – Sicherheitsmängel als Sachmangel i. S. d. § 434 BGB werten wird. Daraus lassen sich dann ggf. auch Schlussfolgerungen für die Subsumtion unter den Begriff des „Produktfehlers“ ziehen. Wie oben (D.I.2. und 3.) dargestellt, werfen die Definitionen des Gegenstands der Produkt- und Produzentenhaftung sowie deren Adressaten („Hersteller“) in ihrer Anwendung auf die digitalisierte Wirtschaft einige Auslegungsfragen auf, die insgesamt – jedenfalls zum gegenwärtigen Stand der technischen Möglichkeiten – aber beherrschbar sind. Im Rahmen der Diskussion um Haftungsfragen für Angriffe auf Netzwerke und Systeme von außen gilt es, noch einige spezielle Auslegungsschwierigkeiten zu bewältigen und vor allem eine allzu große Ausweitung der Herstellerhaftung unter z. T. sehr pauschaler Übertragung von absoluter Einzelfallrechtsprechung zu vermeiden.

a) IT-Sicherheitslücken als produkt- und produzentenhaftungsrechtlich relevanter Produktfehler Die Schutzgüter der IT-Sicherheit sind Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität datenverarbeitender Systeme sowie der dort vorgehaltenen Daten.139 Dabei gilt durchweg ein relativer Sicherheitsmaßstab.140 Allerdings ist nicht jede Sicherheitslücke in diesem Sinne zugleich ein produkthaftungsrechtlich relevanter Produktfehler. Vielmehr muss zunächst das Sicherheitsproblem der IT zum Sicherheitsproblem („Gefahr“) für eines der in § 823 Abs. 1 BGB genannten Rechtsgüter werden.141 Darüber hinaus kann der Hersteller nicht ohne Weiteres für den Angriff eines Dritten zur Verantwortung gezogen werden. Die aktive, sicherheitsrelevante Veränderung eines Produktes unterbricht vielmehr grundsätzlich die für den Schadensersatzanspruch notwendige Kausalität zwischen Produktfehler und Rechtsgutsverletzung. Gleichzeitig bildet auch der bewusste Missbrauch eines Produktes – also z.B. die Manipulation eines Roboterarms dahingehend, dass er Menschen verletzt – die Grenze der Produkthaftung des Herstellers.142

138

139 140 141 142

Vgl. aus der Berichterstattung z.B. Focus Online vom 24.07.2017, http://www.focus.de/digital/handy/klage-gegen-media-markt-erhebliche-sicherheitsluecken-insmartphone-fuer-99-euro_id_7388737.html Rockstroh/Kunkel, MMR 2017, 77 (78) unter Bezug auf das BSIG. Vgl. nur Gesetzesbegründung zum BSIG, BR-Drs. 134/90, S. 16. Rockstroh/Kunkel, MMR 2017, 77 (78). Rockstroh/Kunkel, MMR 2017, 77 (78f.); Bräutigam/Klindt, NJW 2015, 1137 (1142); ausführlicher hierzu Wende, in: Sassenberg/Faber, Rechtshandbuch Industrie 4.0 und Internet of Things, 2017, 39

Andererseits kennt die allgemeine Dogmatik der Verkehrssicherungspflichten in anderen Bereichen des Deliktsrechts durchaus die Pflicht zur Vornahme von Sicherungsmaßnahmen, die ein naheliegendes Fehlverhalten anderer Personen verhindern, das im Zusammenhang mit der vom Verkehrssicherungspflichtigen begründeten Gefahr das Schadensrisiko erhöht. Hiervon sind unter bestimmten Voraussetzungen auch Sicherheitsmaßnahmen gegen vorsätzliches Verhalten Unbefugter erfasst.143 Für einen nur hypothetisch möglichen, praktisch aber fernliegenden Kausalverlauf soll der Verkehrssicherungspflichtige aber nicht mehr haften.144 Inwieweit diese Grundsätze zum einen produkthaftungsrechtlich überzeugend und zum anderen auf die Herstellerhaftung für IT-Sicherheitslücken übertragbar sind, ist im Einzelfall sehr sorgfältig zu prüfen. Hierbei ist zu berücksichtigen, dass das erforderliche Maß an ITSicherheit nur durch ein Zusammenwirken der Beteiligten, also Hersteller, Vertreiber und Anwender, erreicht werden kann.145 Die Verantwortung für die IT-Sicherheit kann also nicht allein auf den Hersteller abgewälzt werden. Soweit es technische Regelwerke zur IT-Sicherheit der Software gibt oder der Hersteller einen Wissensvorsprung hat, sollten diese Erkenntnisse bei der Entwicklung jedenfalls berücksichtigt werden, um etwaige Haftungsrisiken so weit wie möglich zu reduzieren.

b) Maßstab: Aktueller Stand von Wissenschaft und Technik In der juristischen Literatur wird vor dem Hintergrund des strengen Maßstabs des aktuellen Stands von Wissenschaft und Technik z. T. darauf hingewiesen, dass z. B. Software im medizinischen Bereich oder zur Flugsicherung, die eine besondere Gefahrenquelle für Leib, Leben und Gesundheit darstellt, einem strengeren Maßstab unterliegt als Software in Bereichen, in denen solche Gefahren nicht existieren.146 Zu berücksichtigen ist allerdings, dass sich diese rechtliche Analyse auf Softwarefehler im Allgemeinen bezieht, nicht hingegen auf Sicherheitslücken, die einen Zugriff von Dritten möglich machen, der dann erst zu einer Gefährdung führen kann. Auf Sicherheitslücken ist dieser Ansatz überhaupt nur übertragbar, wenn ein Fall vorliegt, in dem die IT-Sicherheit als Teil der Produktsicherheit gesehen werden kann.

c) Besondere Bedeutung der Produktbeobachtungspflicht Aufgrund der grundsätzlich anerkannten, erhöhten Fehleranfälligkeit von Software sowie der Schnelllebigkeit der technischen Weiterentwicklung im IT-Bereich und des „Wettrennens“ von Software-Anbietern und Hackern ist die Produktbeobachtungs- und Gefahrabwendungs-

143

144 145 146

S. 76; vgl. hierzu auch Wagner, in: MüKo/BGB, § 823 Rn. 814; BGH, NJW 1992, 560; NJW 1972, 2217; NJW 1992, 2016 (2018); NJW 1999, 2815 f. BGH NJW 1990, 1236 (1237); NJW-RR 1990, 789 (790) zur Pflicht des Hauseigentümers, Abdeckungen von Keller-Lichtschächten gegen Wegnahme zu sichern, da ansonsten Sturzgefahr begründet wird; anders OLG Karlsruhe NJW-RRR 2005, 1264 f. bei einem Abdeckgitter, das 150kg schwer war und dessen unberechtigte Entfernung daher nicht mehr als naheliegend bewertet wurde; vgl. auch MüKo/Wagner § 823 BGB Rn. 432. Vgl. hierzu Bamberger/Roth/Spindler, BGB § 823 Rn. 328. So auch ausdrücklich in der Gesetzesbegründung zum BSIG, BT-Drs. 11/7029. Z. B. Graf v. Westphalen, in: Foerste/Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 173, § 48 Rn. 45. 40

pflicht in diesem Bereich von besonderer Bedeutung. Wie oben (D.I.2.) ausgeführt, ist der Hersteller auch nach Inverkehrbringen seines Produktes verpflichtet, dieses auf seine Bewährung im Feld und sich ggf. zeigende Sicherheitsrisiken zu beobachten. In Anknüpfung hieran wird von der juristischen Literatur – soweit sie sich überhaupt mit dieser Frage eingehender beschäftigt – eine intensivierte Produktbeobachtungspflicht für Software und interaktive Produkte der Industrie hergeleitet, z. T. mit recht pauschalen Verweisen auf absolute Einzelfallrechtsprechung.147 Auch eine Gefahrabwendungspflicht in Form der Warnung oder regelmäßiger Sicherheitsupdates wird von der Literatur z. T. ohne Weiteres angenommen oder jedenfalls indiziert.148 Dies scheint allerdings eine sehr starke Ausweitung der Herstellerpflichten, die grundsätzlich auf die Sicherheit des eigenen Produkts beschränkt sind. Die Rechtsprechung hatte noch keine Gelegenheit, hierzu Stellung zu nehmen. Der genaue Umfang der Produktbeobachtungspflicht des Software-Herstellers wird maßgeblich davon abhängen, wie sich die objektiv ermittelte Sicherheitserwartung des durchschnittlichen Benutzers und die Abgrenzung der Verantwortungsbereiche von Hersteller, Vertreiber und Anwender entwickeln.

d) Bedeutung des IT-Sicherheitsrechts Bei der Frage nach dem anzuwendenden Sicherheitsmaßstab werden absehbar auch die Vorgaben und Wertungen des IT-Sicherheitsrechts auf deutscher und europäischer Ebene zu berücksichtigen sein: Die Europäische Datenschutzgrundverordnung (EU) Nr. 2016/679 zeichnet die Berücksichtigung datenschutzrechtlicher Zertifizierungsmodelle vor, die bei der Umsetzung der europäischen NIS-Richtlinie 2016/1148/EU zu beachten sein werden. Eine Überwachung und Aufsicht soll nach der Richtlinie nur reaktiv erfolgen. Erst dann, wenn der zuständigen Behörde Nachweise vorgelegt werden, die auf einen Sicherheitsmangel hinweisen, kann diese tätig werden. Die praktische Umsetzung dieser Überwachung wird sich schwierig gestalten. Nachweise für die mangelnde IT-Sicherheit eines Anbieters sind in der Regel nur schwer zu beschaffen. Nicht minder schwer zu beurteilen ist die Frage, ob die Datensicherung eines Anbieters dem Stand der Technik entspricht. Ursprünglich war diskutiert worden, ob die NIS-Richtlinie nicht auch Regelungen zur Qualität von Software und Hardware beinhalten sollte. Letztlich wurde davon abgesehen. Ein hinreichender Schutz soll bereits über das Produkthaftungsrecht gegeben sein. Mit Blick auf die Entwicklung der digitalen Wirtschaft wird in der Literatur allerdings durchaus Kritik dahingehend geübt, dass die Vereinheitlichung und Konkretisierung der Haftung von Hardware- und Softwareanbietern und deren Sorgfalts-, Transparenz- und Fehlerbeseitigungspflichten wünschenswert gewesen wäre.149

147

148 149

Vgl. z. B. Spindler, NJW 2004, 3145 (3147); Foerste, in: Foerste/Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 174; Grützmacher, CR 2016, 695 (696). Foerste, in: Foerste/Graf v. Westphalen, Produkthaftungshandbuch, § 24 Rn. 175. Mitterer/Wiedemann/Zwissler, BB-Gesetzgebungs- und Rechtsprechungsreport zu Industrie 4.0 und Digitalisierung, BB 2017, 3 (5); Schallbruch, CR 2016, 663, 669. 41

e) Ersatzfähigkeit von Schäden Denkbare Schäden, die durch Sicherheitslücken in Steuerungssoftware verursacht werden könnten, sind insbesondere Löschung oder Manipulation von Daten. Es ist umstritten, ob das Einwirken auf Daten an sich eine Eigentumsverletzung – und damit einen gem. § 823 Abs. 1 BGB zu ersetzenden Schaden – darstellt. Eigentum kann nämlich gem. §§ 903 ff. BGB nur an Sachen erlangt werden. Daten – und auch Software selbst – sind allerdings keine Sachen i. S. d. § 90 BGB, sehr wohl aber die Verkörperung von Software auf einem Datenträger.150 Ob vor diesem Hintergrund ein Löschen oder eine Manipulation von Daten eine von § 823 Abs. 1 BGB erfasste Rechtsgutsverletzung darstellt, ist umstritten. Eine Ansicht sieht in einem solchen Eingriff stets auch eine Veränderung des Datenträgers und bejaht in der Konsequenz die relevante Rechtsgutsverletzung.151 Eine andere Ansicht lehnt hingegen bei Löschung oder Manipulation von Daten eine Eigentumsverletzung ab.152

Denkbare Ansätze zur weiteren Entwicklung

Aufgrund der derzeit unsicheren Rechtslage empfiehlt sich für den Softwareentwickler und auch für den Hersteller eines mit Vernetzungsmöglichkeiten versehenen Produktes („IoTUser“) eine möglichst genaue und zutreffende Produktbeschreibung, um hierüber die Sicherheit, die der Benutzer erwarten darf, so weit wie möglich zu steuern. Dazu gehört auch eine genaue Bestimmung des Einsatzbereichs der Produkte für IoT-/Industrie-4.0-Anwendungen. So kann ggf. eine Zweckbestimmung solcher Produkte für den Einsatz in Bereichen, in denen mit sensiblen oder geheimen Daten umgegangen wird, eine höhere Sicherheitserwartung hervorrufen als eine Verwendungsbestimmung für eher unkritische Bereiche. Denkbar ist durchaus, dass sich Gerichte bei der Bestimmung der konkret erforderlichen Sicherheit an Einstufungen zur Kritikalität von Anwendungen, z. B. aus der europäischen NIS-Richtlinie 2016/1148/EU oder gesetzgeberischen Aktivitäten im Hinblick auf die Schaffung gemeinsamer Sicherheitszertifikate, orientieren.153 Die NIS-Richtlinie und das deutsche IT-Sicherheitsgesetz können jedenfalls als Indiz dafür genommen werden, dass der Gesetzgeber die Regelung der Haftung des Herstellers für IT-Sicherheitslücken in (teil-)autonomen Systemen jedenfalls nicht als oberste Priorität ansieht. In beiden Rechtsakten werden eher digitale Dienste und Infrastrukturen als solche betrachtet und die jeweiligen Diensteanbieter in die Pflicht genommen. Es ist davon auszugehen, dass es für die Haftung jedenfalls große Bestrebungen geben wird, eine europäisch harmonisierte Lösung herbeizuführen: Die Europäische Kommission betont in ihrem Staff Working Document on the free flow of data and emerging issues of the Eu-

150 151 152 153

BGH, NJW 2007, 2394; NJW 2016, 1094; Peschel/Rockstroh, MMR 2014, 571, 572. MüKo/Wagner § 823 BGB Rn. 165. So wohl Bamberger/Roth/Fritzsche, § 90 BGB Rn. 26; LG Konstanz NJW 1996, 2662. Vgl. hierzu ausführlich und z. T. kritisch z. B. Schallbruch, CR 2016, 663; zu berücksichtigen ist, dass die NIS-Richtlinie ebenso wie das deutsche IT-Sicherheitsgesetz digitale Dienste und Infrastrukturen in den Blick nimmt und daher nicht unmittelbar ein Produkt regelt. 42

ropean data economy, dass einheitliche Haftungsregeln erforderlich sind, um eine „Datenverkehrsfreiheit“ in Europa sicherzustellen.154

4. Das Nichtfunktionieren als Produktfehler Das reine Nichtfunktionieren eines Produktes ist in der Regel allein ein Fall für gewährleistungsrechtliche Ansprüche – z. B. aus Kaufvertragsrecht. Produkthaftungsrechtliche Ansprüche können hieraus nur entstehen, wenn das Versagen zu einem Sicherheitsrisiko führt, welches das Produkt gerade abwenden sollte.155 Dann stellt der Ausfall der Funktion einen sicherheitsrelevanten Produktfehler dar. Beispiele aus der produkthaftungsrechtlichen Rechtsprechung für solche Fälle sind die Resistenzbildung von Pilzen gegen bestimmte Pflanzenschutzmittel156 oder das Versagen einer Brandschutztür.157 Im Zusammenhang mit der digitalisierten Wirtschaft sind diese Fälle durchaus vermehrt denkbar. Der Mensch verlässt sich dabei mehr und mehr auf die Selbständigkeit der Geräte und überträgt ggf. auch komplexere Analyse- und Denkvorgänge. Laufen diese nicht fehlerfrei ab, kann dies schnell zu einer Gefahr für Leib und Leben oder andere Sachen werden. Ein denkbarer Fall ist die Nichtspeicherung von Daten. Bei digitalen Funktionsdaten ist zu unterscheiden zwischen Diagnosedaten – sie dienen ausschließlich der Wartung und Weiterentwicklung – und punktuellen Daten – diese werden ereignisbedingt in den Steuergeräten gespeichert und ihnen wird im Rahmen der Produktbeobachtung eine besondere Bedeutung zukommen. Daneben kommt die Speicherung von Unfalldaten in Betracht, die der umfassenden Rekonstruktion eines Unfallgeschehens dienen. Werden hierfür trotz entsprechender „Black Box“ nicht genügend Daten gespeichert, kann sich durchaus die Frage stellen, ob und wie ein Hersteller haften soll, allein weil sein Produkt die entsprechenden Funktionsdaten nicht gespeichert hat. In einem Rechtsstreit um Schadensersatzansprüche wird dies nämlich dazu führen, dass der Betreiber/Benutzer den Produktfehler nicht nachweisen kann.158 Findet die Rechtsprechung hier Möglichkeiten der Beweiserleichterung, führt die mangelnde Datenspeicherung freilich auch dazu, dass der Hersteller den Entlastungsnachweis nicht führen kann. Dies kann durchaus zu einem haftungsrelevanten Schaden – ggf. im Verhältnis zum Zulieferer der „Black Box“ - führen. Da es insoweit an einer Verletzung eines absolut geschützten Rechts mangelt, steht dafür aber de lege lata keine Haftungsgrundlage zur Verfügung.159 Auch hier

154

155 156

157 158 159

Europäische Kommission, Commission Communication Building a European data economy, SWD(2017) 2 final, S. 4. Foerste, in: Foerste/Graf von Westphalen, § 24 Rn. 52. BGH, Urt. v. 17.03.1981, Az. VI ZR 191/79, NJW 1981, 1603; Urt. v. 13.03.1981, Az. VI ZR 286/78, NJW 1981, 1606 – Derosal I und II OLG Nürnberg, Urt. v. 03.08.2011, Az. 12 U 1143/06 (juris). Vgl. Salje, in: Vieweg/Gerhäuser: Digitale Daten in Geräten und Systemen, S. 221, 232. Vgl. Salje, in: Vieweg/Gerhäuser: Digitale Daten in Geräten und Systemen, S. 233. 43

wird es demnach auf die sorgfältige und genaue Formulierung der jeweiligen Verträge ankommen. In der weiteren Diskussion wird allerdings auch zu bedenken sein, dass heutzutage ganze Betriebe flachliegen, wenn ein Computersystem ausfällt. Selbst in einem Krankenhaus könnten Ärzte nur noch im Notbetrieb arbeiten, fehlt es an papiergebundenen Krankenakten. Die Frage der Haftung für die reine Nichtfunktion eines Systems stellt sich daher gerade außerhalb des vertraglichen Bereichs verstärkt, so dass die Problematik, dass unter § 823 Abs. 1 BGB reine Vermögensschäden nicht ersatzfähig sind, eine neue Relevanz entfaltet. Betriebsausfallversicherungen mögen hier einen ersten Schutz bieten. Ob im volkswirtschaftlichen Interesse allerdings gesetzgeberische Initiativen nötig sind, ist daher weniger von der Haftungsseite, denn von der Deckungsseite zu klären. Solange sich der Systembetreiber selbst vor möglichen Vermögensschäden adäquat versichern kann, ist kein Bedürfnis dafür zu erkennen, die Haftung auf den Hersteller des Systems zu verlagern und somit eine Risikoverlagerung zu demjenigen vorzunehmen, der nicht auch den Nutzen aus der sonst dauerhaften Verfügbarkeit des Systems zieht. Die Relevanz der Frage ist de lege lata daher erst dann zu sehen, wenn durch den Systemausfall Personen oder Sachen zu Schaden kommen können, auch ohne dass das System spezifisch für die Gefahrenabwehr bestimmt war.

5. Auswirkungen der Digitalisierten Wirtschaft auf die Verkehrssicherungspflichten des Herstellers (z.B. Product-Lifecycle-ManagementLösungen, Big Data-Anwendungen) Da Maßstab der Verkehrssicherungspflichten stets der aktuelle Stand von Wissenschaft und Technik ist (siehe oben D.I.2.), hat die Weiterentwicklung der technischen Möglichkeiten Reflexwirkung auf die Pflichten des Herstellers. Insbesondere die Produktbeobachtungspflicht wird sich durch die technischen Möglichkeiten der digitalisierten Wirtschaft – ggf. sogar qualitativ – verändern. Aktuell ist stets im Blick zu behalten, ob neue datensammelnde und auswertende Techniken auch Erkenntnisse über die Bewährung eines Produktes im Feld liefern können und in der Konsequenz für die Produktbeobachtung herangezogen werden müssen.160

160

Vgl. hierzu Klindt/Wende, BB 2016, 1419 (1420); Mitterer/Wiedemann/Zwissler, BB 2017, 3 (12). 44

III.

Zusammenfassung und Ausblick

Zusammenfassend lassen sich folgende Schwerpunkte der aktuellen Diskussion um Haftungsfragen der digitalisierten Wirtschaft feststellen: 

Abgrenzung der Verantwortungsbereiche der verschiedenen beteiligten Wirtschaftsakteure



Haftung für IT-Sicherheitslücken



Beweisprobleme

Grundsätzlich wird aber auch in der juristischen Literatur mehrheitlich davon ausgegangen, dass das bestehende Recht mit der Flexibilität von Darlegungs- und Beweislastregeln bereits jetzt einen hinreichenden Spielraum bietet. Überwiegend wird in der aktuellen Diskussion auch deutlich gegen die Einführung einer weiterreichenden Gefährdungshaftung plädiert. Zu diesem Ergebnis kam auch die Arbeitsgruppe 4 „Rechtliche Rahmenbedingungen“ der Plattform Industrie 4.0 in ihrem Ergebnispapier „Industrie 4.0 – wie das Recht Schritt hält“.161 Für die Lösung der haftungsrechtlichen Probleme der digitalisierten Wirtschaft werden derzeit hauptsächlich zwei Ansätze diskutiert, zum einen eine Abgrenzung von Verantwortungsbereichen nach Risikosphären; zum anderen eine Gefährdungshaftung für Hersteller oder Betreiber.162 Für eine Gefährdungshaftung wird vorgeschlagen, dass eine Generalklausel nach dem Vorbild anderer Gefährdungshaftungstatbestände oder auch die Vorschriften der Haftung für Rechtsverletzungen durch andere bei der elektronischen Kommunikation geschaffen werden solle. Dies gebe der Rechtsprechung die notwendige Flexibilität. Gleichzeitig wird darauf hingewiesen, dass es durchaus konkreter, gesetzlicher Vorgaben für die Haftung bedarf, um den Wirtschaftsakteuren die für Investitionen in die technische Weiterentwicklung notwendige Rechtssicherheit zu geben.163 Es ist dabei derzeit nicht absehbar, dass der deutsche oder europäische Gesetzgeber die Einführung einer speziellen Gefährdungshaftung für den Betrieb von autonomen oder selbstlernenden Systemen plant.164 Sehr heftig diskutiert wird aber, ob bei zunehmender Autonomisierung und vor allem beim Einsatz selbstlernender Systeme den Hersteller oder den Betreiber gesteigerte Verkehrssicherungspflichten treffen sollen. Eines der großen Probleme der deliktsrechtlichen Haftung wird in Zukunft nämlich darin gesehen, die Ursache einer autonomen Fehlentscheidung zu beweisen,165 schon allein weil bei den entstehenden Datenmassen eine

161

162 163 164

165

Abrufbar unter www.bmwi.de/Redaktion/DE/Publikationen/Industrie/industrie-4-0-wie-das-rechtschritt-haelt.pdf, zusammengefasst von Schlinkert, ZRP 2017, 222. Vgl. hierzu auch Bräutigam/Klindt, NJW 2015, 1137 (1142); Wendt/Oberländer, InTeR 2016, 58 (63). Wendt/Oberländer, InTeR 2016, 58 (64). Im Hinblick auf Fragen der Produkthaftung sind gar keine Gesetzgebungsvorhaben des deutschen Gesetzgebers erkennbar, vgl. auch Mitterer/Wiedemann/Zwissler, BB 2017, 3 (8). Europäische Kommission, Communication Building a European Data Economy, {SWD(2017) 2 final}, S. 14 und Working Paper, S. 40; Wendt/Oberländer, InTeR 2016, 58; Rempe, InTeR 2016, 17. 45

zum Nachweis erforderliche Protokollierung sämtlicher entscheidungserheblicher Daten kaum noch möglich sein wird.166 Darüber hinaus werden aber auch die Algorithmen bei selbstlernenden Systemen zunehmend komplexer, so dass jedenfalls denkbar erscheint, dass in Zukunft die Ursache für eine autonome Fehlentscheidung schlichtweg nicht ermittelbar ist.167 Aufgrund dieser erwarteten Beweisprobleme wird u. a. diskutiert, ob der Gesetzgeber oder die Rechtsprechung im Rahmen einer Beweislastumkehr hier eingreifen müssen.168 Mit der Begründung, dass der Geschädigte keinen Einblick in den Produktionsprozess des Herstellers habe, wird von manchen Stimmen angeregt, dem Hersteller den Entlastungsbeweis auch für die Fehlerhaftigkeit aufzuerlegen. Wenn nun der Hersteller selbst auch keinen Einblick in seinen Produktionsprozess hat, kann in der Tat hinterfragt werden, ob die Beweislastumkehr der intendierten „Haftungszuweisung nach Risikosphären“ noch entspricht. Zum Teil werden als Konsequenz der erwarteten Beweisprobleme durch zunehmende Komplexität auch erhöhte Sorgfaltspflichten des Betreibers angenommen, die sich auf Auswahl, Überwachung und Beobachtung sowie Bedienung eines autonomen Systems bzw. Auswahl seines Einsatzbereichs erstrecken.169 Die Europäische Kommission führte Anfang des Jahres 2017 eine Untersuchung durch, ob die Vorschriften der europäischen Produkthaftungs-Richtlinie 85/374/EEG zur Bewältigung der Haftungsfragen der digitalisierten Wirtschaft angemessen und ausreichend sind. Als mögliche Weiterentwicklung sieht die europäische Kommission neben der Erarbeitung eigener Auslegungshinweise zur Anwendung des europäischen Produkthaftungsrechts im Zusammenhang mit der digitalisierten Wirtschaft auch neue gesetzgeberische Ansätze. Genannt werden hier zum einen Ansätze, die darauf abstellen, in wessen Sphäre ein Risiko geschaffen wird oder in wessen Sphäre es beherrschbar ist. Zugleich wird eine Kombination mit einem speziellen, freiwilligen Versicherungs-Schema für möglich gehalten. Auch die Europäische Kommission betont aber ausdrücklich, dass für jegliche gesetzgeberische Lösung genau berücksichtigt werden muss, welche Handlungen und Verantwortlichkeiten dem Nutzer der jeweiligen Technologie zukommen. Als Aufgabe eines zukünftigen Ansatzes zur Haftungsverteilung wird vor diesem Hintergrund insbesondere auch die Definition der Rolle des Nutzers gesehen.170 Rechtstechnisch scheint die Europäische Kommission eine Lösung vergleichbar des produktrechtlichen New Approach für möglich zu halten. Sie nennt jedenfalls als eine mögliche Lösung die Anknüpfung der Haftung an die Nichterfüllung technischer Normen oder anderer Regelwerke.171 Eine in diesem Zusammenhang getroffene Grundsatzentscheidung wird sich auf alle Bereiche der Haftung in der digitalisierten Wirtschaft auswirken.

166 167 168 169

170 171

Grützmacher, CR 2016, 695 (697); Reichwald/Pfisterer, CR 2016, 208 (211). Reichwald/Pfisterer, CR 2016, 208 (211). Vgl. hierzu Grützmacher, CR, 2016, 695 (697). Vgl. hierzu Spindler, CR 2015, 766 (768); Grützmacher, CR 2016, 695 (697); Hornerl/Kaulartz, CR 2016, 7 (8). Europäische Kommission, COM(2016) 180 final, S. 15. Europäische Kommission, COM(2016) 180 final, S. 23. 46