KI-VO Archive - Die Produktkanzlei

Das ändert sich 2026: Produktbezogene IT-Regulierung und Produkthaftungsrecht

Auch im Jahr 2026 werden im Bereich der produktbezogenen IT-Regulierung sowie des Produkthaftungsrechts für die betroffenen Wirtschaftsakteure neue Vorgaben aktiviert. Hervorzuheben sind hier der Cyber Resilience Act (Verordnung (EU) 2024/2847 – CRA), die KI-Verordnung (Verordnung (EU) 2024/1689), die neue EU-Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853) sowie die Umsetzung der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555).

A. Geltungsbeginn behördlicher Meldepflichten gem. Art. 14 Abs. 1, 3 CRA

Am 10.12.2024 ist der CRA in Kraft getreten. Als erster europäischer Rechtsakt dieser Art führt er verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen während ihres gesamten Lebenszyklus sowie entsprechende Pflichten der Wirtschaftsakteure ein. Die Anforderungen und Pflichten der Verordnung gelten gemäß Art. 71 Abs. 1 CRA grundsätzlich ab dem 11.12.2027. Eine Ausnahme hierzu bilden die Meldepflichten gem. Art. 14 Abs. 1, 3 CRA, die bereits ab dem 11.09.2026 zu befolgen sind. Gemeldet werden müssen zum einen aktiv ausgenutzte Schwachstellen und zum anderen schwerwiegende Sicherheitsvorfälle, die die Sicherheit eines Produkts mit digitalen Elementen beeinträchtigen. Hersteller sollten rechtzeitig ein funktionierendes Monitoring-System implementiert haben, das die Identifizierung von Sicherheitslücken und die Abgabe der erforderlichen Meldungen zeitnah ermöglicht.

Während das neue Meldesystem grundsätzlich positiv gesehen wird, stoßen die sehr kurzen Fristen auf Kritik. Viele Hersteller fürchten Imageschäden und wirtschaftliche Nachteile, wenn sie Behörden über eigene Sicherheitsprobleme informieren. Um diese Sorge abzumildern, stellt Art. 17 Abs. 4 CRA klar, dass eine Meldung keine Vorwirkung für haftungsrechtliche Fragen entfaltet.

B. KI-Verordnung

Mit der KI-Verordnung ist am 01.08.2024 das weltweit erste Regelwerk in Kraft getreten, mit dem verbindliche Anforderungen an die Entwicklung und für den Einsatz von künstlicher Intelligenz geschaffen werden. Dabei verfolgt die Verordnung einen risikobasierten Ansatz, durch den die Grundrechte, die Demokratie, die Rechtsstaatlichkeit und die Personensicherheit vor risikoreichen KI-Anwendungen geschützt werden sollen.

Zentraler Regelungsgegenstand der KI-Verordnung sind sog. Hochrisiko-KI-Systeme mit potenziellen Risiken für Gesundheit, Sicherheit, Grundrechte, Umwelt, Demokratie und Rechtsstaatlichkeit. Sie unterliegen strengen Anforderungen wie etwa einer obligatorischen Folgenabschätzung für die Grundrechte (Art. 27 KI-VO). Daneben stehen auch sog. allgemeine KI-Systeme (GPAI) im Anwendungsbereich; diese müssen z.B. über eine technische Dokumentation verfügen, die Einhaltung des Urheberrechts gewährleisten und Informationen zu Trainingsdaten bereitstellen (vgl. Art. 53 KI-VO). An GPAI mit hohem systemischem Risiko werden darüber hinaus zusätzliche Anforderungen aufgestellt.

Mit dem 02.08.2026 sollte die KI-Verordnung ursprünglich bis auf eine Ausnahme vollständige Geltungskraft erlangen (Art. 113 KI-VO), nachdem eine Reihe von Bestimmungen (z.B. zu GPAI) bereits ab dem 02.02.2025 bzw. dem 02.08.2025 zu gelten begonnen haben. Nach zunehmender Kritik hat die Kommission einen Gesetzesvorschlag veröffentlicht, um Vereinfachungen und Entschärfungen der Regelungen vorzunehmen. Dies betrifft zunächst den am 02.08.2026 anstehenden „vollständigen“ Geltungsbeginn. Diese starre Frist soll nun durch einen dynamischen Mechanismus ersetzt werden. Da es bei der Vorbereitung z.B. von harmonisierten Normen und Leitfäden teilweise zu Verzögerungen kommt, soll der Geltungsbeginn der Pflichten jetzt an deren Vorliegen geknüpft werden.

Für Systeme nach Anhang III der KI-Verordnung sollen Unternehmen 6 Monate mehr Zeit haben, um die neuen Regelungen umzusetzen. Das betrifft Systeme, die im Beschäftigungswesen, in kritischer Infrastruktur oder bei der Strafverfolgung zum Einsatz kommen.
Für Systeme nach Anhang I der KI-Verordnung sollen Unternehmen nun 12 Monate länger haben, um sich auf die veränderte Rechtslage einzustellen. Dies betrifft beispielsweise hochriskante KI-Systeme etwa im Anwendungsbereich der EU-Funkanlagenrichtlinie, der EU-Maschinenrichtlinie oder der EU-Spielzeugrichtlinie.

Gleichwohl sieht die Kommission weiterhin eine harte „Deadline“ vor: Spätestens am 02.12.2027 (KI-Systeme nach Anhang III der KI-Verordnung) bzw. am 02.08.2028 (KI-Systeme nach Anhang I der KI-Verordnung) sollen die Regelungen in jedem Fall gelten. Diese Anpassung kann Wirtschaftsakteuren dringend benötigten Spielraum verschaffen, erhöht aber gleichzeitig den Aufwand, den Unternehmen betreiben müssen, um die regulatorische Entwicklung im Blick zu behalten.

Flankiert wird dies durch vorgesehene Erleichterungen für den Mittelstand: Die Privilegien für KMU wurden auf größere Unternehmen ausgeweitet, was eine Vereinfachung der Anforderungen an die technische Dokumentation nach sich zieht und im Ernstfall geringere Bußgelder bedeutet. Zudem wurde die Pflicht zur KI-Kompetenz für Anbieter und Betreiber entschärft (Art. 4 KI-VO); sie ist nun primär eine Förderpflicht der Mitgliedstaaten und der Kommission. Eine weitere Erleichterung: Für alle KI-Systeme soll es eine klare Rechtsgrundlage geben (Art. 4a der künftigen KI-VO), um zur Vermeidung von Diskriminierung ausnahmsweise auch sensible personenbezogene Daten zu verarbeiten, sofern strenge Schutzmaßnahmen eingehalten werden.

Parallel zur europäischen Flexibilisierung nimmt die nationale Struktur zur Durchführung der KI-Verordnung in Deutschland Gestalt an. Am 12.09.2025 hat das Bundesministerium für Digitales und Staatsmodernisierung den Entwurf eines Gesetzes zur Durchführung der KI-Verordnung veröffentlicht (Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes – KI-MIG-E). Auf Basis dieses Gesetzes wird die Bundesnetzagentur (BNetzA) als die im Marktüberwachungsbehörde im Sinne einer Auffangbehörde etabliert (§ 2 KI-MIG-E). Deutschland verfolgt dabei einen hybriden Ansatz: Bei der BNetzA wird ein Koordinierungs- und Kompetenzzentrum für die KI-Verordnung (KoKIVO) geschaffen, welches andere, vorrangig zuständige spezifische Marktüberwachungsbehörden (wie etwa das Kraftfahrt-Bundesamt oder die BaFin) bei ihren Aufgaben unterstützen soll.

C. NIS-2-Umsetzungsgesetz – Stärkung der Cybersicherheit für Unternehmen und Verwaltung

Am 05.12.2025 wurde das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ im Bundesgesetzblatt verkündet. Neben dem CRA und dem Cyber Security Act (CSA) bildet die NIS-2-Richtlinie die dritte Säule der EU zur Stärkung der Cybersicherheit mit einem Fokus auf die Resilienz ausgewählter Wirtschaftssektoren. Die Richtlinie hat – anders als der CRA – keinen Produkt-, sondern einen Organisationsbezug. Sie ersetzt die erste NIS-Richtlinie aus dem Jahr 2016 und bringt zahlreiche Neuerungen im Recht der Netzwerk- und Informationssicherheit mit sich.

Neben dem Erlass eines Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG) werden eine Vielzahl weiterer Vorschriften geändert (z.B. das BND-Gesetz, die BSI-Kritisverordnung und das Hinweisgeberschutzgesetz).

Das Gesetz sieht dabei folgende Schwerpunkte vor, die für Unternehmen von zentraler Bedeutung sind:

Erweiterter Anwendungsbereich: Die Regulierung beschränkt sich nicht mehr nur auf Betreiber Kritischer Infrastrukturen (KRITIS) oder digitale Dienste. Durch die Einführung neuer „Einrichtungskategorien“ wird der Kreis der betroffenen Unternehmen signifikant ausgeweitet.
Neue Sicherheitsstandards: Die Mindestsicherheitsanforderungen der EU (Art. 21 NIS-2-Richtlinie) werden direkt in das BSI-Gesetz übernommen. Positiv für die Praxis: Die Intensität der geforderten Maßnahmen soll sich an der Verhältnismäßigkeit orientieren und je nach Kategorie differenziert werden.
Dreistufiges Meldewesen: Die bisherige einstufige Meldepflicht bei Sicherheitsvorfällen wird durch das dreistufige System der NIS-2-Richtlinie ersetzt. Der Gesetzgeber verspricht hiermit, den bürokratischen Aufwand im Rahmen der nationalen Spielräume so gering wie möglich zu halten.
Stärkere Aufsicht: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält erweiterte Befugnisse und ein größeres Instrumentarium zur Durchsetzung der neuen Vorgaben.

Neben den Pflichten für die Wirtschaft regelt der Entwurf auch die IT-Sicherheit des Bundes neu. Dazu gehören harmonisierte Anforderungen an die Bundesverwaltung sowie die Schaffung der Rolle eines „CISO Bund“ als zentraler Koordinator für die Informationssicherheit auf Regierungsebene.

D. Umsetzung der EU-Produkthaftungsrichtlinie

Das Bundesjustizministerium hat am 11.09.2025 einen Gesetzesentwurf zur Reform des Produkthaftungsrechts (ProdHaftG-E) veröffentlicht – Anlass ist die Umsetzung der neuen EU-Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853) in nationales Recht. Damit steht die erste umfassende Reform des geltenden Produkthaftungsrechts seit 1989 in Aussicht. Die Umsetzung hat gemäß Art. 22 Abs. 1 Richtlinie (EU) 2024/2853 bis zum 09.12.2026 zu erfolgen.

Das neue ProdHaftG soll fristgerecht am 09.12.2026 in Kraft treten. Für vor diesem Datum in Verkehr gebrachte Produkte ist das bisherige ProdHaftG weiter anzuwenden. Entsprechend sollen auch Software-Updates bzw. -Upgrades bei vor dem Stichtag in Verkehr gebrachten Produkten nicht zur Anwendung des neuen Produkthaftungsrechts führen. Betroffene Wirtschaftsakteure sollten sich gleichwohl rechtzeitig mit den neuen Regelungen auseinandersetzen, um frühzeitig Haftungsrisiken erkennen und adressieren zu können.

Die wichtigsten Neuerungen im Überblick:

I. Erweiterung des Produktbegriffs

Der neue § 2 ProdHaftG‑E weitet den Produktbegriff signifikant aus. Neben beweglichen Sachen und Elektrizität umfasst er künftig etwa auch:

Software einschließlich cloudbasierter und KI‑Software, unabhängig von ihrer Verkörperung,
digitale Konstruktionsunterlagen, z.B. CAD-Dateien für den 3D‑Druck.

II. Fehlerbegriff gem. § 7 ProdHaftG-E

§ 7 ProdHaftG‑E übernimmt den unionsrechtlichen Fehlerbegriff und betont, dass ein Produkt fehlerhaft ist, wenn es nicht den berechtigten Sicherheitserwartungen entspricht. Die hierbei zu berücksichtigenden Aspekte sind unter anderem:

Lernfähigkeiten des Produkts (KI‑Systeme): Fehlentwicklungen nach dem Inverkehrbringen können zur Fehlerhaftigkeit führen
Kombinationsrisiken: Auswirkungen anderer Produkte auf das Produkt – etwa im Smart‑Home‑Ökosystem – gewinnen erstmals produkthaftungsrechtlich eigenständige Bedeutung
Cybersicherheitsanforderungen: Die Erfüllung produktsicherheitsrechtlicher Vorgaben (z.B. nach dem CRA) wird faktisch zu einem Mindeststandard
Rückrufe und behördliche Maßnahmen: Begründen zwar keine gesetzliche Vermutung für Fehlerhaftigkeit, werden in der Praxis aber erhebliche Beweislastfolgen haben
Spezifische Bedürfnisse besonderer Nutzergruppen: Zum Beispiel bei lebenserhaltenden Medizinprodukten

III. Erweiterung der Haftungsadressaten

Die §§ 3 – 5, 9 – 13 ProdHaftG‑E ordnen die Haftungsadressaten neu. Zukünftig sollen auch Beauftragte des Herstellers, der Fulfilment-Dienstleister und der Anbieter von Online-Plattformen haften. Der Beauftragte des Herstellers – bei dem es sich um den Bevollmächtigten im Sinne des Produktsicherheitsrechts handelt – haftet dabei auf einer Stufe mit dem Importeur. Der Lieferant haftet weiterhin nur subsidiär, und zwar dann, wenn „kein in der Europäischen Union ansässiger Hersteller, Importeur, Beauftragter oder Fulfilment-Dienstleister ermittelt werden“ kann. Wer ein Produkt wesentlich verändert (z.B. durch „Upcycling“), gilt künftig als Hersteller des wesentlich veränderten Produkts.

IV. Geschützte Rechtsgüter

Der Schadensbegriff (§ 1 Abs. 1 ProdHaftG‑E) umfasst künftig ausdrücklich:

Beeinträchtigungen der psychischen Gesundheit,
privat genutzte Sachen ohne Selbstbehalt,
Daten, soweit sie nicht (ausschließlich) beruflich genutzt werden.

Dies ist eine nachvollziehbare Anpassung an digitale Nutzungsszenarien – etwa Datenverlust durch fehlerhafte Software‑Updates.

V. Offenlegungspflicht

Elementar sind die Änderungen im Beweisrecht. Beklagte Wirtschaftsakteure können künftig dazu verpflichtet werden, Beweismaterialien offenzulegen, um geschädigten Personen die Anspruchsdurchsetzung zu erleichtern. Voraussetzung hierfür ist auf Klägerseite eine schlüssige Darlegung der Anspruchsvoraussetzungen. Kommt der Beklagte einer entsprechenden Anordnung nicht nach, sieht er sich sodann der gesetzlichen Vermutung eines Produktfehlers gem. § 20 Abs. 1 Nr. 1 ProdHaftG-E ausgesetzt.

Haben Sie zu dieser News Fragen oder wollen Sie mit dem Autor über die News diskutieren? Kontaktieren Sie gerne: Dr. Gerhard Wiebe

15. Januar 2026 Dr. Gerhard Wiebe & Johannes Daelen, LL.M.

Dr. Gerhard Wiebe

Rechtsanwalt / Counsel

Johannes Daelen, LL.M.

Paralegal

Das könnte Sie auch interessieren:

3. Februar 2026 Nicole Rauch

Fünftes Gesetz zur Änderung des Chemikaliengesetzes: Anpassung an die F-Gas-Verordnung 2024/573 und die Ozon-Verordnung 2024/593

Der Entwurf des fünften Gesetzes zur Änderung des Chemikaliengesetzes dient der Angleichung des nationalen Chemikalienrechts an die Verordnung (EU) 2024/573 über fluorierte Treibhausgase sowie an die Verordnung (EU) 2024/590 über Stoffe, die zum Abbau der Ozonschicht führen.

21. März 2023 Prof. Dr. Boris Handorn

„Second Amendment“ in Kraft getreten – Neue Übergangsfristen für (bestimmte) Medizinprodukte unter der Verordnung (EU) 2017/745 (MDR)

Angesichts der strukturell zu geringen Kapazitäten bei den Benannten Stellen werden die Übergangsfristen der MDR nochmals nachgesteuert und bis höchstens Ende 2028 gestreckt.

9. Januar 2020 Dr. Florian Niermeier

2. Corrigendum zur MDR veröffentlicht – Abhilfe für Hersteller künftig höherklassifizierter Klasse I-Produkte

Am 17.12.2019 hat das Europäische Parlament dem 2. Corrigendum der MDR (sowie einem weiteren Corrigendum zur IVDR) zugestimmt. Dieses wurde am 27.12.2019 veröffentlicht.

Das ändert sich 2025: produktbezogene IT- und KI-Regulierung und Produkthaftungsrecht

Weil sich im Jahr 2024 einiges auf den Gebieten der produktbezogenen IT- und KI-Regulierung und des Produkthaftungsrechts getan hat, wird es für die betroffenen Wirtschaftsakteure in 2025 in erster Linie darum gehen, mit der Umsetzung der neuen Anforderungen zu beginnen. Allerdings werden auch in 2025 neue gesetzliche Vorgaben in diesem Bereich erlassen bzw. erstmals Anwendung finden.

A. Vor dem Ausblick ein kurzer Rückblick: EU-Produkthaftungsrichtlinie und Cyber Resilience Act

Mit Blick auf das Produkthaftungsrecht und das produktbezogene Cybersicherheitsrecht hat das Jahr 2024 ein besonderes Ende genommen. Denn im Jahresendspurt hat die EU die neue EU-Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853) und den Cyber Resilience Act (Verordnung (EU) 2024/2847 – CRA) verabschiedet. Die am 18.11.2024 veröffentlichte EU-Produkthaftungsrichtlinie, die einige Haftungsverschärfungen mit sich bringt, muss von den Mitgliedstaaten bis 09.12.2026 in nationales Recht umgesetzt werden. Demgegenüber findet der CRA, der erstmals Cybersicherheitsanforderungen an sog. Produkte mit digitalen Elementen aufstellt, in den Mitgliedstaaten weitestgehend ab dem 11.12.2027 unmittelbare Anwendung; ausführlich zum CRA siehe unseren Blog-Beitrag.

B. Delegierte Verordnung (EU) 2022/30

Mit der Delegierten Verordnung (EU) 2022/30 wurden erstmals Datenschutz- und Cybersicherheitsanforderungen für bestimmte Funkanlagen eingeführt. Im Fokus stehen dabei mit dem Internet verbundene Funkanlagen (vgl. zum Begriff Art. 1 Abs. 1 VO (EU) 2022/30). Solche Funkanlagen dürfen weder schädliche Auswirkungen auf das Netz oder seinen Betrieb haben noch eine missbräuchliche Nutzung von Netzressourcen bewirken, wodurch eine unannehmbare Beeinträchtigung eines Dienstes verursacht würde (Art. 1 Abs. 1 VO (EU) 2022/30). Sie müssen zudem über Sicherheitsvorrichtungen verfügen, die sicherstellen, dass personenbezogene Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden (Art. 1 Abs. 2 VO (EU) 2022/30). Diese datenschutzbezogene Anforderung gilt auch für weitere Funkanlagen wie z.B. Wearables und Spielzeug.

Nachdem die Verordnung zunächst ab dem 01.08.2024 gelten sollte, wurde der Geltungsbeginn um ein Jahr – auf den 01.08.2025 – verschoben, weil die Ausarbeitung der konkretisierenden harmonisierten Normen mehr Zeit in Anspruch nimmt. Solange keine im EU-Amtsblatt veröffentlichten harmonisierten Normen existieren, hat der Hersteller einer mit dem Internet verbundenen Funkanlage eine notifizierte Stelle im Rahmen des Konformitätsbewertungsverfahrens einzubeziehen (Art. 17 Abs. 4 Richtlinie 2014/53/EU).

C. KI-Verordnung (Verordnung (EU) 2024/1689)

Am 01.08.2024 ist mit der Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (sog. KI-VO) das weltweit erste Regelwerk in Kraft getreten, mit dem verbindliche Anforderungen an die Entwicklung und für den Einsatz von künstlicher Intelligenz geschaffen werden. Die Verordnung folgt einem risikobasierten Ansatz, durch den die Grundrechte, die Demokratie, die Rechtsstaatlichkeit und die Personensicherheit vor risikoreichen KI-Anwendungen geschützt werden sollen.

Allgemeine KI-Systeme (GPAI) müssen z.B. über eine technische Dokumentation verfügen, die Einhaltung des Urheberrechts gewährleisten und Informationen zu Trainingsdaten bereitstellen (vgl. Art. 53 KI-VO). An GPAI mit hohem systemischem Risiko werden darüber hinaus zusätzliche Anforderungen aufgestellt.

Die KI-Verordnung sieht Sanktionen vor, die von den Mitgliedstaaten in nationales Recht umgesetzt werden müssen. Verstöße sollen mit Geldbußen geahndet werden, deren Höhe je nach Schwere des Verstoßes und Unternehmensgröße variiert – von EUR 7,5 Millionen oder 1,5 % des weltweiten Umsatzes bis zu EUR 35 Millionen oder 7 % des weltweiten Umsatzes (Art. 99 KI-VO).

Die KI-Verordnung gilt – nach einer Übergangsfrist von 24 Monaten – im Wesentlichen ab dem 02.08.2026. Es gibt allerdings eine Reihe von Ausnahmen: So gelten die die Kapitel I (Allgemeine Bestimmungen) und II (Verbotene Praktiken im KI-Bereich) bereits ab dem 02.02.2025, während für Kapitel III Abschnitt 4 (Notifizierende Behörden und notifizierte Stellen), Kapitel V (KI-Modelle mit allgemeinem Verwendungszweck), Kapitel VII (Governance) und Kapitel XII (Sanktionen; mit Ausnahme des Art. 101 KI-VO) sowie Art. 78 KI-VO (Vertraulichkeit) der 02.08.2025 als Geltungsbeginn bestimmt wird (Art. 113 KI-VO).

D. NIS-2-Richtlinie (Richtlinie (EU) 2022/2555)

Neben dem Cyber Resilience Act (CRA) und dem Cyber Security Act (CSA) bildet die Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) die dritte Säule der EU zur Stärkung der Cybersicherheit mit einem Fokus auf die Resilienz ausgewählter Wirtschaftssektoren. Die Richtlinie hat allerdings keinen Produkt-, sondern einen Organisationsbezug. Sie ersetzt die erste NIS-Richtlinie aus dem Jahr 2016 und bringt zahlreiche Neuerungen im Recht der Netzwerk- und Informationssicherheit mit sich. Mit einer Umsetzung der bereits Anfang 2023 in Kraft getretenen NIS-2-Richtlinie in das deutsche Recht ist zwar vor dem Zusammentritt des neuen Bundestages im Laufe des Jahres 2025 nicht mehr zu rechnen, obwohl die Umsetzungsfrist für Richtlinie am 17.10.2024 endete; ein Entwurf für ein NIS-2-Umsetzungsgesetz (sog. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) liegt aus der aktuellen Legislaturperiode aber bereits vor.

Von der NIS-2-Richtlinie sind zahlreiche besonders große oder relevante Organisationen in kritischen Sektoren betroffen, die in den Anhängen aufgezählt sind und von den Branchen Energie, Finanzen, Gesundheit und Abwasser bis hin zur Raumfahrt reichen. Eine relevante Größenschwelle wird dabei bei über 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanz von über EUR 10 Mio. erreicht.

Wenn eine Einrichtung erfasst ist, sind zahlreiche Pflichten aus den Bereichen Governance und Risikomanagement sowie neue Berichtspflichten zu beachten. Das Risikomanagement muss dabei insbesondere technische, operative und organisatorische Risiken und Maßnahmen einbeziehen. Erhebliche Sicherheitsvorfälle sind künftig bereits bis zu 24 Stunden (!) nach Kenntnisnahme im Rahmen einer Frühwarnung zu melden.

Verstöße sollen schließlich empfindliche Sanktionen nach sich ziehen. Je nach Größe und Relevanz der Einrichtung sind dabei Risikoermittlungs- und Risikoabwehrbefugnisse der zuständigen Behörden, eine persönliche Haftung von Leitungspersonen, Bußgelder vorgesehen. Im Ernstfall sollen sogar der Entzug von Zertifizierungen oder Genehmigungen und die Suspendierung von Leitungspersonen in Betracht kommen.

E. KI-Haftungsrichtlinie

Nach dem Inkrafttreten der KI-Verordnung wurde auch die Arbeit an der KI-Haftungsrichtlinie wieder aufgenommen: Im September 2024 hat das Europäische Parlament eine Folgenabschätzung zu der Richtlinie veröffentlicht.

Von der Grundidee soll die KI-Haftungsrichtlinie keine Regelungen des materiellen Produkthaftungsrechts enthalten. Vielmehr soll sie der Erleichterung der Geltendmachung von außervertraglichen verschuldensabhängigen Ersatzansprüchen in Bezug auf Schäden dienen, die durch ein KI-System verursacht wurden. KI-Systeme unterfallen allerdings ohne Weiteres verschuldensunabhängig auch der neuen EU-Produkthaftungsrichtlinie. Das Europäische Parlament sieht allerdings Anwendungsbereiche der KI-Haftungsrichtlinie, die von der EU-Produkthaftungsrichtlinie nicht abgedeckt werden. Dazu zählen z.B. reine Vermögensschäden, Diskriminierungen oder Grundrechtsverletzungen. Insgesamt tendiert das Europäische Parlament dazu, die KI-Haftungsrichtlinie zu einem allgemeinen Softwarehaftungsregime umzugestalten.

Aufgrund der vielen offenen Fragen und der neuen Vorstellungen des Europäischen Parlaments ist ein Ende dieses Gesetzgebungsvorhabens nicht in Sicht. Auch wenn sich die Stakeholder in 2025 auf einen Gesetzestext einigen sollten, wird es ohnehin eine gewisse Umsetzungsfrist geben, bis die neuen Haftungsregelungen gelten werden.