Vier neue EU-Regelwerke verändern den rechtlichen Rahmen für vernetzte Produkte grundlegend

Was dies für bestehende Prozesse, Datenstrategien und Produktkonformität bedeutet, haben wir mit dem Münchner Rechtsanwalt Dr. Daniel Meßmer, Leiter des Fachbereichs IT & Digital Business bei SKW Schwarz gesprochen. 

Die EU will die Produktsicherheit weiter erhöhen. Welche neuen Pflichten hat sie Herstellern dazu auferlegt?

Dr. Daniel Meßmer: Im Dezember 2024 hat die Allgemeine Produktsicherheitsverordnung, die General Product Safety Regulation (GPSR), die bisherige Produktsicherheitsrichtlinie abgelöst. Die Verordnung stellt sicher, dass alle auf dem europäischen Markt bereitgestellten Produkte, die sich an Verbraucher richten – und eben auch solche mit digitalen Funktionen – ein hohes Maß an Sicherheit gewährleisten.

Die GPSR macht eine Risikoanalyse und eine technische Dokumentation auch für digitale Produkte zur Pflicht. Sie nimmt Online-Marktplätze und Fulfillment-Dienstleister stärker in die Pflicht und erlegt ihnen erhöhte Rückruf- und Informationspflichten bei Produkten auf, die sich als – möglicherweise – unsicher herausgestellt haben. Kommen die Produkte von außerhalb der EU, zum Beispiel aus China, muss ein wirtschaftlicher Akteur innerhalb der EU benannt werden, der Ansprechpartner für die Produkte ist.

Was bedeutet die Verpflichtung zur digitalen Rückverfolgbarkeit für die Hersteller und Händler?

Dr. Daniel Meßmer: Auf dem Produkt muss zum Beispiel ein QR-Code zur Produktrückverfolgung angebracht sein. Ein mit dem Internet verbundenes Haushaltsgerät muss also künftig nicht nur sicher konstruiert sein. Es muss auch über digitale Rückverfolgbarkeit und eine vollständige technische Risikobewertung verfügen, einschließlich einer Dokumentation sicherheitsrelevanter Funktionen.

Neu für Unternehmen im IT-Sektor ist auch, dass nicht nur physische Mängel, sondern auch Softwarefehler, fehlende Sicherheitsupdates oder Mängel in der Gebrauchsanleitung produktsicherheitsrechtlich relevant werden können.

Im Gegensatz zur Produkthaftung betrifft die Produktsicherheit vorbeugende Pflichten. Unternehmen müssen also sicherstellen, dass ihre Produkte keine Risiken für Gesundheit und Sicherheit darstellen, bevor sie die Produkte auf den Markt bringen.

Was hat sich bei der Produkthaftung geändert?

Dr. Daniel Meßmer: Mit der neuen Produkthaftungsrichtlinie, die seit dem 8. Dezember 2024 gilt, werden die Haftungsvorgaben modernisiert, vor allem für digitale Produkte wie Software, KI-Systeme und Smart Devices. Software und KI sind nun klar in den Anwendungsbereich einbezogen. Es gilt eine erweiterte Haftung für fehlerhafte Updates und Sicherheitsmängel und für geschädigte Personen wurde die Beweislast erleichtert. Die Haftung wurde im Übrigen jetzt auch auf die Verletzung von Cybersicherheits- oder Datenschutzpflichten erstreckt.

Enthält beispielsweise ein Software-Update für ein intelligentes Türschloss einen Fehler, der unbefugten Zugriff ermöglicht, kann der Anbieter haftbar gemacht werden. Dies gilt auch dann, wenn das Türschloss keine physischen Mängel aufweist. Für Unternehmen bedeutet das: Wer digitale Produkte anbietet, muss künftig mit einer verschärften Haftung rechnen – auch für immaterielle Komponenten wie Algorithmen oder Updates.

Ab wann gilt die Produkthaftungsrichtlinie?

Dr. Daniel Meßmer: Anders als die Produktsicherheitsverordnung, die unmittelbar in allen EU-Staaten Anwendung findet, müssen die Mitgliedstaaten die Produkthaftungsrichtlinie in nationales Recht umsetzen. Dazu haben sie bis zum 9. Dezember 2026 Zeit. Erst danach gelten die neuen Haftungsmaßstäbe verbindlich. Für Unternehmen empfiehlt sich aber schon jetzt eine Überprüfung von Risikomanagement, Dokumentation und Vertragsgestaltung.

Inwieweit betreffen neue Regeln zur Cybersicherheit die Hersteller vernetzter Produkte?

Dr. Daniel Meßmer: Mit dem am 10. Dezember 2024 in Kraft getretenen Cyber Resilience Act (CRA) verfolgt die EU das Ziel, ein einheitliches Mindestniveau an Cybersicherheit für Produkte mit digitalen Elementen sicherzustellen. Der CRA ist die erste EU-weite Verordnung, die spezifische Anforderungen an die Sicherheit von Hardware und Software über den gesamten Produktlebenszyklus hinweg definiert.

Die Übergangsfrist beträgt 36 Monate. Ab dem 11. Dezember 2027 dürfen Produkte, die die Anforderungen nicht erfüllen, nicht mehr in Verkehr gebracht werden. Die Meldepflichten gelten bereits ab dem 11. Dezember 2026.

Hersteller, Importeure und Vertreiber vernetzter Produkte müssen künftig unter anderem sichere Voreinstellungen – Security by Default – gewährleisten sowie regelmäßige und dokumentierte Sicherheitsupdates bereitstellen. Sie sind verpflichtet, Prozesse zur Schwachstellenbewertung zu etablieren. Und es haben sich die Meldepflichten bei schwerwiegenden Sicherheitsvorfällen verschärft.

Sicherheitslücken tauchen aber häufig erst später in der Nutzungsphase auf. 

Dr. Daniel Meßmer: Ein per App steuerbares smartes Heizsystem muss beispielsweise zukünftig so gestaltet sein, dass es nicht mit werkseitig voreingestellten Passwörtern betrieben wird. Der Hersteller muss bekannte Sicherheitslücken zudem aktiv überwachen, dokumentieren und durch Updates schließen.

Zusätzlich müssen Unternehmen eine sogenannte Konformitätsbewertung durchführen, bevor Produkte in der EU auf den Markt gebracht werden. Das Konformitätsverfahren ist ein verpflichtender Prüfprozess, mit dem Hersteller nachweisen, dass ihr Produkt die Anforderungen des CRA erfüllt. Je nach Risikoklasse des Produkts genügt eine interne Prüfung oder es ist eine Konformitätsbewertung durch eine externe Prüfstelle erforderlich.

Geplant sind auch neue Regeln zur Datennutzung. Was kommt durch den Data Act auf Unternehmen zu?

Dr. Daniel Meßmer: Der Data Act betrifft vor allem Hersteller und Anbieter vernetzter Produkte sowie verbundener digitaler Dienste. Er gilt größtenteils bereits ab dem 15. September 2025. Ziel ist es, eine faire Nutzung von Daten zu ermöglichen und die wirtschaftliche Nutzung von maschinell generierten Daten im europäischen Binnenmarkt zu erleichtern. Zentrale Regelungen betreffen den direkten Zugang der Nutzer zu den durch das Produkt generierten Daten sowie die Möglichkeit zur Datenweitergabe an Dritte, beispielsweise für Reparaturservices oder Analyseanbieter.

Was passiert mit den Nutzerdaten?

Dr. Daniel Meßmer: So müssen etwa Anbieter landwirtschaftlicher Erntemaschinen ihren Kunden zukünftig Zugang zu den von der Maschine gesammelten Daten gewähren, etwa über die Beschaffenheit der Erntefläche. Der Landwirt kann diese Daten dann etwa einem unabhängigen Analyseunternehmen zur Verfügung stellen, um die Effizienz seiner Ernteprozesse zu verbessern.

Besonders relevant ist der Data Act also für Anbieter von IoT-Produkten, Smart-Home-Lösungen und maschinenbasierten Anwendungen in der Industrie. Sie müssen prüfen, wie sie Transparenzpflichten, Zugangsrechte und eigene kommerzielle Nutzungsmöglichkeiten künftig vertraglich und technisch ausgestalten. Denn Nutzerdaten dürfen nur noch mit Zustimmung des Nutzers überhaupt verwendet werden.

Was sollten Unternehmen jetzt tun? 

Dr. Daniel Meßmer: Die vier genannten Regulierungen greifen teils ineinander und erfordern eine umfassende rechtliche und technische Bewertung. Hersteller und Anbieter vernetzter Produkte sollten jetzt prüfen, ob ihre Produkte und Prozesse all diesen neuen Anforderungen genügen. Auch die interne Compliance-Struktur sollte untersucht werden. In vielen Fällen wird es notwendig sein, Produktdesign, Lieferkette und Supportprozesse anzupassen.