Das ändert sich 2026: Produktbezogene IT-Regulierung und Produkthaftungsrecht

Das ändert sich 2026: Produktbezogene IT-Regulierung und Produkthaftungsrecht

Auch im Jahr 2026 werden im Bereich der produktbezogenen IT-Regulierung sowie des Produkthaftungsrechts für die betroffenen Wirtschaftsakteure neue Vorgaben aktiviert. Hervorzuheben sind hier der Cyber Resilience Act (Verordnung (EU) 2024/2847 – CRA), die KI-Verordnung (Verordnung (EU) 2024/1689), die neue EU-Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853) sowie die Umsetzung der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555).

A. Geltungsbeginn behördlicher Meldepflichten gem. Art. 14 Abs. 1, 3 CRA

Am 10.12.2024 ist der CRA in Kraft getreten. Als erster europäischer Rechtsakt dieser Art führt er verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen während ihres gesamten Lebenszyklus sowie entsprechende Pflichten der Wirtschaftsakteure ein. Die Anforderungen und Pflichten der Verordnung gelten gemäß Art. 71 Abs. 1 CRA grundsätzlich ab dem 11.12.2027. Eine Ausnahme hierzu bilden die Meldepflichten gem. Art. 14 Abs. 1, 3 CRA, die bereits ab dem 11.09.2026 zu befolgen sind. Gemeldet werden müssen zum einen aktiv ausgenutzte Schwachstellen und zum anderen schwerwiegende Sicherheitsvorfälle, die die Sicherheit eines Produkts mit digitalen Elementen beeinträchtigen. Hersteller sollten rechtzeitig ein funktionierendes Monitoring-System implementiert haben, das die Identifizierung von Sicherheitslücken und die Abgabe der erforderlichen Meldungen zeitnah ermöglicht.

Während das neue Meldesystem grundsätzlich positiv gesehen wird, stoßen die sehr kurzen Fristen auf Kritik. Viele Hersteller fürchten Imageschäden und wirtschaftliche Nachteile, wenn sie Behörden über eigene Sicherheitsprobleme informieren. Um diese Sorge abzumildern, stellt Art. 17 Abs. 4 CRA klar, dass eine Meldung keine Vorwirkung für haftungsrechtliche Fragen entfaltet.

B. KI-Verordnung

Mit der KI-Verordnung ist am 01.08.2024 das weltweit erste Regelwerk in Kraft getreten, mit dem verbindliche Anforderungen an die Entwicklung und für den Einsatz von künstlicher Intelligenz geschaffen werden. Dabei verfolgt die Verordnung einen risikobasierten Ansatz, durch den die Grundrechte, die Demokratie, die Rechtsstaatlichkeit und die Personensicherheit vor risikoreichen KI-Anwendungen geschützt werden sollen.

Zentraler Regelungsgegenstand der KI-Verordnung sind sog. Hochrisiko-KI-Systeme mit potenziellen Risiken für Gesundheit, Sicherheit, Grundrechte, Umwelt, Demokratie und Rechtsstaatlichkeit. Sie unterliegen strengen Anforderungen wie etwa einer obligatorischen Folgenabschätzung für die Grundrechte (Art. 27 KI-VO). Daneben stehen auch sog. allgemeine KI-Systeme (GPAI) im Anwendungsbereich; diese müssen z.B. über eine technische Dokumentation verfügen, die Einhaltung des Urheberrechts gewährleisten und Informationen zu Trainingsdaten bereitstellen (vgl. Art. 53 KI-VO). An GPAI mit hohem systemischem Risiko werden darüber hinaus zusätzliche Anforderungen aufgestellt.

Mit dem 02.08.2026 sollte die KI-Verordnung ursprünglich bis auf eine Ausnahme vollständige Geltungskraft erlangen (Art. 113 KI-VO), nachdem eine Reihe von Bestimmungen (z.B. zu GPAI) bereits ab dem 02.02.2025 bzw. dem 02.08.2025 zu gelten begonnen haben. Nach zunehmender Kritik hat die Kommission einen Gesetzesvorschlag veröffentlicht, um Vereinfachungen und Entschärfungen der Regelungen vorzunehmen. Dies betrifft zunächst den am 02.08.2026 anstehenden „vollständigen“ Geltungsbeginn. Diese starre Frist soll nun durch einen dynamischen Mechanismus ersetzt werden. Da es bei der Vorbereitung z.B. von harmonisierten Normen und Leitfäden teilweise zu Verzögerungen kommt, soll der Geltungsbeginn der Pflichten jetzt an deren Vorliegen geknüpft werden.

  • Für Systeme nach Anhang III der KI-Verordnung sollen Unternehmen 6 Monate mehr Zeit haben, um die neuen Regelungen umzusetzen. Das betrifft Systeme, die im Beschäftigungswesen, in kritischer Infrastruktur oder bei der Strafverfolgung zum Einsatz kommen.
  • Für Systeme nach Anhang I der KI-Verordnung sollen Unternehmen nun 12 Monate länger haben, um sich auf die veränderte Rechtslage einzustellen. Dies betrifft beispielsweise hochriskante KI-Systeme etwa im Anwendungsbereich der EU-Funkanlagenrichtlinie, der EU-Maschinenrichtlinie oder der EU-Spielzeugrichtlinie.

Gleichwohl sieht die Kommission weiterhin eine harte „Deadline“ vor: Spätestens am 02.12.2027 (KI-Systeme nach Anhang III der KI-Verordnung) bzw. am 02.08.2028 (KI-Systeme nach Anhang I der KI-Verordnung) sollen die Regelungen in jedem Fall gelten. Diese Anpassung kann Wirtschaftsakteuren dringend benötigten Spielraum verschaffen, erhöht aber gleichzeitig den Aufwand, den Unternehmen betreiben müssen, um die regulatorische Entwicklung im Blick zu behalten.

Flankiert wird dies durch vorgesehene Erleichterungen für den Mittelstand: Die Privilegien für KMU wurden auf größere Unternehmen ausgeweitet, was eine Vereinfachung der Anforderungen an die technische Dokumentation nach sich zieht und im Ernstfall geringere Bußgelder bedeutet. Zudem wurde die Pflicht zur KI-Kompetenz für Anbieter und Betreiber entschärft (Art. 4 KI-VO); sie ist nun primär eine Förderpflicht der Mitgliedstaaten und der Kommission. Eine weitere Erleichterung: Für alle KI-Systeme soll es eine klare Rechtsgrundlage geben (Art. 4a der künftigen KI-VO), um zur Vermeidung von Diskriminierung ausnahmsweise auch sensible personenbezogene Daten zu verarbeiten, sofern strenge Schutzmaßnahmen eingehalten werden.

Parallel zur europäischen Flexibilisierung nimmt die nationale Struktur zur Durchführung der KI-Verordnung in Deutschland Gestalt an. Am 12.09.2025 hat das Bundesministerium für Digitales und Staatsmodernisierung den Entwurf eines Gesetzes zur Durchführung der KI-Verordnung veröffentlicht (Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes – KI-MIG-E). Auf Basis dieses Gesetzes wird die Bundesnetzagentur (BNetzA) als die im Regelfall zuständige Marktüberwachungsbehörde etabliert (§ 2 KI-MIG-E). Deutschland verfolgt dabei einen hybriden Ansatz: Bei der BNetzA wird ein Koordinierungs- und Kompetenzzentrum für die KI-Verordnung (KoKIVO) geschaffen, welches andere, ebenfalls zuständige Fachbehörden (wie das Kraftfahrt-Bundesamt oder die BaFin) bei ihren Aufgaben unterstützen soll.

C. NIS-2-Umsetzungsgesetz – Stärkung der Cybersicherheit für Unternehmen und Verwaltung

Am 05.12.2025 wurde das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ im Bundesgesetzblatt verkündet. Neben dem CRA und dem Cyber Security Act (CSA) bildet die NIS-2-Richtlinie die dritte Säule der EU zur Stärkung der Cybersicherheit mit einem Fokus auf die Resilienz ausgewählter Wirtschaftssektoren. Die Richtlinie hat – anders als der CRA – keinen Produkt-, sondern einen Organisationsbezug. Sie ersetzt die erste NIS-Richtlinie aus dem Jahr 2016 und bringt zahlreiche Neuerungen im Recht der Netzwerk- und Informationssicherheit mit sich.

Neben dem Erlass eines Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG) werden eine Vielzahl weiterer Vorschriften geändert (z.B. das BND-Gesetz, die BSI-Kritisverordnung und das Hinweisgeberschutzgesetz).

Das Gesetz sieht dabei folgende Schwerpunkte vor, die für Unternehmen von zentraler Bedeutung sind:

  • Erweiterter Anwendungsbereich: Die Regulierung beschränkt sich nicht mehr nur auf Betreiber Kritischer Infrastrukturen (KRITIS) oder digitale Dienste. Durch die Einführung neuer „Einrichtungskategorien“ wird der Kreis der betroffenen Unternehmen signifikant ausgeweitet.
  • Neue Sicherheitsstandards: Die Mindestsicherheitsanforderungen der EU (Art. 21 NIS-2-Richtlinie) werden direkt in das BSI-Gesetz übernommen. Positiv für die Praxis: Die Intensität der geforderten Maßnahmen soll sich an der Verhältnismäßigkeit orientieren und je nach Kategorie differenziert werden.
  • Dreistufiges Meldewesen: Die bisherige einstufige Meldepflicht bei Sicherheitsvorfällen wird durch das dreistufige System der NIS-2-Richtlinie ersetzt. Der Gesetzgeber verspricht hiermit, den bürokratischen Aufwand im Rahmen der nationalen Spielräume so gering wie möglich zu halten.
  • Stärkere Aufsicht: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält erweiterte Befugnisse und ein größeres Instrumentarium zur Durchsetzung der neuen Vorgaben.

Neben den Pflichten für die Wirtschaft regelt der Entwurf auch die IT-Sicherheit des Bundes neu. Dazu gehören harmonisierte Anforderungen an die Bundesverwaltung sowie die Schaffung der Rolle eines „CISO Bund“ als zentraler Koordinator für die Informationssicherheit auf Regierungsebene.

D. Umsetzung der EU-Produkthaftungsrichtlinie

Das Bundesjustizministerium hat am 11.09.2025 einen Gesetzesentwurf zur Reform des Produkthaftungsrechts (ProdHaftG-E) veröffentlicht – Anlass ist die Umsetzung der neuen EU-Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853) in nationales Recht. Damit steht die erste umfassende Reform des geltenden Produkthaftungsrechts seit 1989 in Aussicht. Die Umsetzung hat gemäß Art. 22 Abs. 1 Richtlinie (EU) 2024/2853 bis zum 09.12.2026 zu erfolgen.

Das neue ProdHaftG soll fristgerecht am 09.12.2026 in Kraft treten. Für vor diesem Datum in Verkehr gebrachte Produkte ist das bisherige ProdHaftG weiter anzuwenden. Entsprechend sollen auch Software-Updates bzw. -Upgrades bei vor dem Stichtag in Verkehr gebrachten Produkten nicht zur Anwendung des neuen Produkthaftungsrechts führen. Betroffene Wirtschaftsakteure sollten sich gleichwohl rechtzeitig mit den neuen Regelungen auseinandersetzen, um frühzeitig Haftungsrisiken erkennen und adressieren zu können.

Die wichtigsten Neuerungen im Überblick:

I. Erweiterung des Produktbegriffs

Der neue § 2 ProdHaftG‑E weitet den Produktbegriff signifikant aus. Neben beweglichen Sachen und Elektrizität umfasst er künftig etwa auch:

  • Software einschließlich cloudbasierter und KI‑Software, unabhängig von ihrer Verkörperung,
  • digitale Konstruktionsunterlagen, z.B. CAD-Dateien für den 3D‑Druck.

II. Fehlerbegriff gem. § 7 ProdHaftG-E

§ 7 ProdHaftG‑E übernimmt den unionsrechtlichen Fehlerbegriff und betont, dass ein Produkt fehlerhaft ist, wenn es nicht den berechtigten Sicherheitserwartungen entspricht. Die hierbei zu berücksichtigenden Aspekte sind unter anderem:

  • Lernfähigkeiten des Produkts (KI‑Systeme): Fehlentwicklungen nach dem Inverkehrbringen können zur Fehlerhaftigkeit führen
  • Kombinationsrisiken: Auswirkungen anderer Produkte auf das Produkt – etwa im Smart‑Home‑Ökosystem – gewinnen erstmals produkthaftungsrechtlich eigenständige Bedeutung
  • Cybersicherheitsanforderungen: Die Erfüllung produktsicherheitsrechtlicher Vorgaben (z.B. nach dem CRA) wird faktisch zu einem Mindeststandard
  • Rückrufe und behördliche Maßnahmen: Begründen zwar keine gesetzliche Vermutung für Fehlerhaftigkeit, werden in der Praxis aber erhebliche Beweislastfolgen haben
  • Spezifische Bedürfnisse besonderer Nutzergruppen: Zum Beispiel bei lebenserhaltenden Medizinprodukten

III. Erweiterung der Haftungsadressaten

Die §§ 3 – 5, 9 – 13 ProdHaftG‑E ordnen die Haftungsadressaten neu. Zukünftig sollen auch Beauftragte des Herstellers, der Fulfilment-Dienstleister und der Anbieter von Online-Plattformen haften. Der Beauftragte des Herstellers – bei dem es sich um den Bevollmächtigten im Sinne des Produktsicherheitsrechts handelt – haftet dabei auf einer Stufe mit dem Importeur. Der Lieferant haftet weiterhin nur subsidiär, und zwar dann, wenn „kein in der Europäischen Union ansässiger Hersteller, Importeur, Beauftragter oder Fulfilment-Dienstleister ermittelt werden“ kann. Wer ein Produkt wesentlich verändert (z.B. durch „Upcycling“), gilt künftig als Hersteller des wesentlich veränderten Produkts.

IV. Geschützte Rechtsgüter

Der Schadensbegriff (§ 1 Abs. 1 ProdHaftG‑E) umfasst künftig ausdrücklich:

  • Beeinträchtigungen der psychischen Gesundheit,
  • privat genutzte Sachen ohne Selbstbehalt,
  • Daten, soweit sie nicht (ausschließlich) beruflich genutzt werden.

Dies ist eine nachvollziehbare Anpassung an digitale Nutzungsszenarien – etwa Datenverlust durch fehlerhafte Software‑Updates.

V. Offenlegungspflicht

Elementar sind die Änderungen im Beweisrecht. Beklagte Wirtschaftsakteure können künftig dazu verpflichtet werden, Beweismaterialien offenzulegen, um geschädigten Personen die Anspruchsdurchsetzung zu erleichtern. Voraussetzung hierfür ist auf Klägerseite eine schlüssige Darlegung der Anspruchsvoraussetzungen. Kommt der Beklagte einer entsprechenden Anordnung nicht nach, sieht er sich sodann der gesetzlichen Vermutung eines Produktfehlers gem. § 20 Abs. 1 Nr. 1 ProdHaftG-E ausgesetzt.

Haben Sie zu dieser News Fragen oder wollen Sie mit dem Autor über die News diskutieren? Kontaktieren Sie gerne: Dr. Gerhard Wiebe

15. Januar 2026 Dr. Gerhard Wiebe & Johannes Daelen
Bild Dr. Gerhard Wiebe
Dr. Gerhard Wiebe
Rechtsanwalt / Counsel
Bild Johannes Daelen
Johannes Daelen
Paralegal

Das könnte Sie auch interessieren:

14. Januar 2026 Dr. Carsten Schucht

Das ändert sich 2026: Produktsicherheitsrecht und Ökodesignrecht

Produktsicherheitsrechtlich ist die Aufmerksamkeit zunächst auf das nationale Gesetzgebungsverfahren in Bezug auf das neue Produktsicherheitsgesetz (ProdSG) zu richten. Damit wird auf die EU-Produktsicherheitsverordnung (GPSR) reagiert, die EU-weit seit dem 13.12.2024 Geltung beansprucht und die kürzlich um die lange erwarteten GPSR-Leitlinien der Kommission ergänzt wurde. Mit Blick auf das besondere Produktsicherheitsrecht gilt der Fokus dem europäischen Spielzeug- und Maschinenrecht. Schließlich ist auf aktuelle Entwicklungen im Ökodesignrecht hinzuweisen.
mehr...