reuschlaw Whitepaper: Updatepflichten aus zivil- und öffentlich-rechtlicher Produktverantwortung

Philipp Reusch

Einleitung

Seit dem 01.01.2022 gelten neue kaufrechtliche Regelungen des BGB, die mitunter eine allgemeine Verpflichtung von Verkäufern von digitalen Produkten bzw. Waren mit digitalen Elementen im Rahmen von B2C-Vertragsbeziehungen zur Bereitstellung von (Software-)Aktualisierungen („Updates“) während eines gewissen Zeitraums beinhalten. Diese neuen Regelungen lassen die Frage aufkommen, inwiefern im Hinblick auf die zunehmende Digitalisierung von Produkten weitere Updatepflichten für Hersteller, Händler, Verkäufer etc. bestehen. Diesbezüglich soll das Whitepaper einen Überblick über bestehende und potenziell künftige Updatepflichten bereitstellen.

Vertragsrecht

In Umsetzung der Richtlinie (EU 2019/770) über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (Digitale-Inhalte-Richtlinie ("DIRL")) (wir berichteten) und der Richtlinie (EU 2019/771) über bestimmte vertragsrechtliche Aspekte des Warenkaufs (Warenkaufrichtlinie ("WKRL")) (wir berichteten) wurden die Vorschriften der §§ 327e f. BGB sowie der § 475b f. BGB erlassen, die seit Januar dieses Jahres in Kraft sind. Die genannten Vorschriften regeln die Frage der Vertragsmäßigkeit von digitalen Produkten (§§ 327e f. BGB) bzw. Waren mit digitalen Elementen (§§ 475b f. BGB) innerhalb von B2C-Verträgen. Nach diesen Regelungen sind die genannten Produktgruppen dann vertragsgemäß, wenn sie bestimmten subjektiven und objektiven Anforderungen entsprechen.

Die subjektiven Anforderungen beziehen sich auf die Erfüllung etwaiger vertraglich vereinbarter Updatepflichten. Die Besonderheit liegt in den objektiven Anforderungen: der Unternehmer hat sicherzustellen, dass dem Verbraucher Aktualisierungen, die für den Erhalt der Vertragsmäßigkeit erforderlich sind, bereitgestellt werden. Der Zeitraum der Bereitstellung der Updates richtet sich hierbei grundsätzlich nach den vernünftigen Erwartungen des Verbrauches, es sei denn, es wurde eine fortlaufende Bereitstellung des Produktes vereinbart, sodass in diesem Fall der vereinbarte Bereitstellungszeitraum (bei Waren mit digitalen Elementen jedoch mindestens ein Zeitraum von zwei Jahren) einschlägig ist. Mit der Regelung der objektiven Anforderungen besteht nunmehr eine allgemeine Updatepflicht der Verkäufer der genannten Produktgruppen bei B2C-Verträgen. Gleichzeitig besteht in diesen Fällen auch stets eine Informationspflicht über erforderliche Updates.

Allgemeines Produktsicherheitsrecht und Marktüberwachung

Das allgemeine Produktsicherheitsrecht ist in der Richtlinie (2001/95/EG) über die allgemeine Produktsicherheit (Produktsicherheitsrichtlinie ("RaPS")) sowie auf nationaler Ebene in dem Produktsicherheitsgesetz ("ProdSG") geregelt. Nach bislang herrschender Meinung finden die genannten Regelwerke zumindest auf Software, die sich auf einem Datenträger befindet oder in ein körperliches Produkt integriert ("embedded") ist, Anwendung, enthalten jedoch keine ausdrücklichen Update-Verpflichtungen. Aktuell unterliegt die RaPS einer Revision auf unionsrechtlicher Ebene (wir berichteten). Zwar enthält der von der Europäischen Kommission ("EU-Kommission") veröffentlichte Vorschlag für eine Verordnung über die allgemeine Produktsicherheit (COM(2021) 346 final) ("GPSR-E") keine ausdrücklichen allgemeinen Updatepflichten, doch ist im Falle eines Rückrufs der verantwortliche Wirtschaftsakteur zu wirksamen, kostenfreien und zeitnahen Abhilfemaßnahmen, worunter Reparaturen, Ersatzlieferungen und Erstattungen fallen, verpflichtet. Im Falle der Eigenreparatur durch den Verbraucher besteht hierbei eine Pflicht zur Verfügungstellung kostenloser Software-Aktualisierungen. Für diese Konstellation begründet damit der GPSR E eine künftige Updatepflicht der verantwortlichen Wirtschaftakteure. Zu berücksichtigen ist hierbei zudem die voraussichtliche Ausweitung der Anwendbarkeit des GPSR-E auf sämtliche Software-Produkte.

Nachdem bereits entsprechend den veröffentlichten Änderungen des GPSR-E (PDF) des Ausschusses des europäischen Parlaments für Binnenmarkt und Verbraucherschutz ("IMCO") der Begriff des Produktes sämtliche Gegenstände, die alleinstehend oder in Verbindung mit anderen Gegenständen (physischer, digitaler oder gemischter Natur) geliefert oder zur Verfügung gestellt werden, erfassen sollte, hat zuletzt der Rat der Europäischen Union in einem Kompromissvorschlag (PDF) ein Produkt als jeden Gegenstand physischer, digitaler oder gemischter Art definiert, sodass die genannte Updatepflicht nunmehr auch Hersteller, Händler, Importeure etc. von Stand-alone-Software betreffen wird.

Im Bereich der Marktüberwachung kann eine Verpflichtung zur Vornahme von Updates durch behördliche Anordnungen im Einzelfall erfolgen. Mit Durchführung der seit 16. Juli 2021 gültigen Verordnung (EU 2019/1020) über Marktüberwachung und die Konformität von Produkten (Marktüberwachungsverordnung ("MüV")) (wir berichteten) durch Erlass eines nationalen Marktüberwachungsgesetzes ("MüG") und einer damit einhergehenden Überarbeitung des ProdSG wurden die Vorschriften zur Marktüberwachung aus der ehemaligen Fassung des ProdSG (ProdSG a.F.)in das MüG überführt.

Das MüG enthält unter Verweis auf die MüV eine Reihe von Befugnissen der Marktüberwachungsbehörden. So besteht unter anderem die Befugnis, Wirtschaftsakteure zur Ergreifung geeigneter Maßnahmen zur Wiederherstellung der Produktsicherheit aufzufordern. Handelt es sich im Einzelfall um ein unsicheres Software-Produkt, können daher insbesondere Updates als geeignete Maßnahmen angeordnet werden. Eine weitere mögliche Verpflichtung zur Vornahme von Updates kann sich zudem mittelbar aufgrund eines angeordneten Rückrufs ergeben. So kann eine Behörde mit einem angeordneten Rückruf eines unsicheren Software-Produkts mittelbar die Instandsetzung des Produktes und damit – falls hierfür erforderlich – auch die Vornahme eines Updates verlangen. Etwaige Updatepflichten aus dem Bereich der Marktüberwachung bestehen daher nicht allgemein, sondern können sich je nach Einzelfall ergeben.

KI-Verordnung

Im April 2021 hat die EU-Kommission einen Vorschlag für eine Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz ("KI") (COM(2021) 206 final) ("KI-VO-E") veröffentlicht (wir berichteten). Der Verordnungsentwurf enthält Regelungen, die zum einen den funktionierenden Binnenmarkt für KI gewährleisten sollen, zum anderen aber insbesondere die potenziellen Risiken von KI adressieren sollen. Eine ausdrückliche allgemeine Updatepflicht der Anbieter von KI-Systemen zur Vornahme bestimmter Updates besteht nicht. Allerdings lässt sich aus einer Zusammenschau der Vorschriften die Notwendigkeit fortlaufender Aktualisierungen herauslesen. So sind insbesondere im Rahmen des Risikomanagementsystems, welches als ein "kontinuierlicher iterativer Prozess" beschrieben wird, regelmäßige Aktualisierungen zu berücksichtigen. Gleichfalls werden – wenn auch nur im Rahmen der Regulierung von Informationspflichten – Updates als potenzielle erforderliche Wartungs- und Pflegemaßnahmen genannt. Gleiches gilt für die Erstellung technischer Dokumentationen, bei der die Version der Software aber auch Anforderungen in Bezug auf deren Aktualisierung als zwingende Informationen aufgenommen werden müssen.

Einen ähnlichen Ansatz enthält ebenfalls die Verordnung (EU 2017/745) über Medizinprodukte (Medizinprodukte-Verordnung ("MDR")), wonach das Risikomanagement einen kontinuierlichen iterativen Prozess während des gesamten Lebenszyklus des Produktes darstellt und bei Herstellung sicherer Medizinprodukte die Grundsätze des Software-Lebenszyklus zu berücksichtigen sind.

Maschinenprodukte-Verordnung

Die derzeit geltende Richtlinie (2006/42/EG) über Maschinen (Maschinen-Richtlinie), die sich mit den Anforderungen an eine sichere Maschine befasst, unterliegt aktuell einer Revision durch die EU Kommission. Die EU-Kommission hat hierzu zeitgleich mit dem KI-VO-E im April 2021 einen Vorschlag für eine Verordnung über Maschinenprodukte (COM(2021) 202 final) ("Maschinenprodukte-VO-E") veröffentlicht (wir berichteten). Der Vorschlag soll entsprechend der Begründung der EU-Kommission den "neuen Risiken, die sich aus aufstrebenden Technologien ergeben", entgegentreten. So sollen insbesondere die neuen Risiken im Zusammenhang mit dem Aufspielen von Software auf ein Produkt adressiert werden und dementsprechend Aktualisierungen von Software, die in einem Maschinenprodukt installiert ist, innerhalb der Risikobewertungen berücksichtigt werden.

Insbesondere im Hinblick auf die Risiken im Zusammenhang mit dem Aufspielen von Updates regelt der Maschinenprodukte-VO-E nunmehr sogenannte "wesentliche Modifikationen", die sich auf eine vom Hersteller nicht vorhersehbare (digitale) Veränderung eines Maschinenproduktes nach dessen Inverkehrbringen oder Inbetriebnahme bezieht, wobei die Veränderung derart wesentlich sein muss, dass die einschlägigen Sicherheits- und Gesundheitsschutzanforderungen der Verordnung nicht mehr erfüllt sind. In diesen Fällen treffen denjenigen, der die wesentliche Veränderung vornimmt, die originären Pflichten eines Herstellers. Diese Neuerung beinhaltet daher zwar keine Pflicht der Wirtschaftsakteure zur Vornahme eines Updates, begründet aber eigene Verpflichtungen im Falle der Durchführung eines Updates.

Ökodesign-Richtlinie

Die Richtlinie (2009/125/EG) zur Schaffung eines Rahmens für die Festlegung von Anforderungen an die umweltgerechte Gestaltung energieverbrauchsrelevanter Produkte (Ökodesign-Richtlinie ("Ökodesign RL"))  enthält die Befugnis der EU-Kommission zum Erlass von Durchführungsmaßnahmen, die weitere verbindliche Anforderungen an bestimmte Produktgruppen festlegen. Von dieser Befugnis hat die EU-Kommission Gebrauch gemacht und für bislang zehn Produktgruppen Verordnungen zur Festlegung von Ökodesign Anforderungen erlassen.  Zu den Produktgruppen zählen u.a. Kühlgeräte, Waschmaschinen und Trockner, Geschirrspüler oder elektronische Displays. Die Durchführungsverordnungen haben das Ziel, die Langlebigkeit von Produkten zu gewährleisten, und enthalten insbesondere Regelungen zur Reparierbarkeit und Haltbarkeit der Produkte. So bestehen unter anderem Pflichten zur Gewährleistung einer einfachen Reparierbarkeit, eine Pflicht zur Bereitstellung von Reparatur- und Wartungsinformationen und eine Pflicht zur Bereitstellung und Bereithaltung von Ersatzteilen über einen bestimmten Zeitraum (sieben bis zehn Jahre) hinweg. Aufgrund der Pflicht zur Ersatzteilbereitstellung besteht daher für die obigen Produktgruppen eine Updatepflicht, sofern es sich um Software-Produkte handelt, deren Reparatur bzw. Aktualisierung es im Einzelfall bedarf.

Aktuell unterliegt die Ökodesign-RL einer Revision durch die EU-Kommission. Im Rahmen des europäischen Green Deals hat die EU-Kommission einen Vorschlag (COM(2022) 142 final) (PDF) für eine Verordnung zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte (Ökodesign-Verordnung („Ökodesign-VO“)) veröffentlicht. Der Entwurf enthält bislang keine solch weitreichende Erweiterung der Ökodesign-RL, dass er eine allgemeine Updatepflicht für die Verantwortlichen begründen würde. Er regelt jedoch ausdrückliche Anforderungen an Software- und Firmwareupdates, die nur dann implementiert werden dürfen, wenn sie die Leistung eines Produkts nicht verschlechtern.

Produkthaftungsrecht

Im Rahmen des Produkthaftungsrechts ist zwischen dem Produkthaftungsrecht im engeren Sinne und dem Produkthaftungsrecht im weiteren Sinne zu unterscheiden.

Das Produkthaftungsrecht im engeren Sinne wird durch die Regelungen der Richtlinie (85/374/EWG) zur Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über die Haftung für fehlerhafte Produkte (Produkthaftungsrichtlinie ("ProdHaftRL")) sowie auf nationaler Ebene durch das Produkthaftungsgesetz ("ProdHaftG") geregelt und beinhaltet die Verpflichtung von Herstellern, ein fehlerfreies Produkt in den Verkehr zu bringen. Mit dieser Pflicht einhergehend haftet der Hersteller verschuldensunabhängig für Schäden, die aufgrund eines fehlerhaften Produkts entstanden sind. Aufgrund der verschuldensunabhängigen Haftung besteht keine weitergehende Verpflichtung zur Produktbeobachtung der in Verkehr gebrachten Produkte auf dem Markt. Mangels einer Produktbeobachtungspflicht der Hersteller beinhalten – unabhängig von der Frage der Anwendbarkeit der Produkthaftungsregelungen auf (Stand alone-)Software (wir berichteten) – weder die ProdHaftRL noch das ProdHaftG eine Verpflichtung zur Vornahme von Updates nach Inverkehrgabe von Produkten, die Software enthalten. Aktuell unterliegt die ProdHaftRL einer Revision durch die EU-Kommission auf deren Wirksamkeit und Effektivität in der heutigen Zeit. Diesbezüglich hat zuletzt die EU-Kommission eine Konsultation zur Anpassung der Haftungsregeln an das digitale Zeitalter und die Entwicklung im Bereich der KI durchgeführt. Aktuell liegt noch kein konkreter Entwurf der überarbeiteten ProdHaftRL vor, doch dürften aufgrund der genannten dogmatischen Besonderheit der fehlenden Produktbeobachtungspflicht auch keine produkthaftungsrechtlichen Updatepflichten zu erwarten sein.

Anders sieht es in dem Bereich des Produkthaftungsrechts im weiteren Sinne aus. Nach der sogenannten Produzentenhaftung aus § 823 BGB besteht eine Haftung bei Verletzung von sogenannten Verkehrssicherungspflichten ("VSP"). Die VSP entsprechen den Anforderungen, die an ein fehlerfreies Produkt nach dem ProdHaftG gestellt werden, mit einer wichtigen Ergänzung: der Produktbeobachtungspflicht. Anders als nach dem ProdHaftG ist im Rahmen der Produzentenhaftung der Hersteller auch dazu verpflichtet, das Produkt auf dem Markt nach dessen Inverkehrbringen weiter auf dessen Fehlerfreiheit bzw. Sicherheit zu beobachten und bei Bedarf geeignete Abhilfemaßnahmen zu ergreifen. Diese Erweiterung findet ihre Begründung ebenfalls in der Dogmatik der Produzentenhaftung, die – anders als das ProdHaftG – eine Verschuldenshaftung darstellt.

Innerhalb dieser Haftung kann daher infolge der Produktbeobachtungspflicht auch eine Pflicht zur Durchführung von Updates (gleich ob verkörperte, Embedded oder Stand-alone-Software) bestehen, sofern die Updates eine geeignete Abhilfemaßnahme im konkreten Fall darstellen. Dies gilt insbesondere dann, wenn eventuelle Sicherheitslücken oder die Gefahr von Cyberangriffen festgestellt worden sind und bestimmte Updates diese Risiken auf einfache Weise verhindern oder zumindest minimieren können.

Updatepflichten durch die Hintertür: der aktuelle Stand der Technik

Auch wenn das allgemeine Produktsicherheitsrecht sowie die speziellen produktsicherheitsrechtlichen Regelungen keine ausdrücklichen allgemeinen Updatepflichten beinhalten, so besteht doch die Möglichkeit von Updatepflichten der Wirtschaftsakteure durch die Hintertür. Sowohl nach dem allgemeinen Produktsicherheitsrecht als auch nach den speziellen produktsicherheitsrechtlichen Regelwerken richtet sich die Frage des erforderlichen Sicherheitsgrades eines Produktes stets nach dem Stand der Technik. Da die Wirtschaftsakteure gemäß den Regelungen des Produktsicherheitsrechts nicht nur zu einer Inverkehrgabe sicherer Produkte, sondern auch zu einer – zumindest für den Zeitraum des üblichen Lebenszyklus eines Produktes – fortlaufenden Gewährleistung und Bereithaltung sicherer Produkte auf dem Markt verpflichtet sind, haben sie diesbezüglich auch etwaige Veränderungen hinsichtlich der Sicherheitsanforderungen gemäß dem aktuellen Stand der Technik zu beachten.

So können unter anderem Änderungen der den Stand der Technik begründenden technischen Regelwerke zu einer Updatepflicht durch die Hintertür führen. Gleiches gilt für die Einhaltung der Produktbeobachtungspflicht im Rahmen der zivilrechtlichen Produzentenhaftung. Auch hier können sich die Anforderungen an ein fehlerfreies Produkt im Laufe der Lebenszeit eines Produktes aufgrund neuer Entwicklungen des Stands der Technik verändern. Es sollten daher umfassend im Rahmen der jeweiligen Produktbeobachtungen stets die Entwicklungen des Stands der Technik auf künftige Updatepflichten überprüft werden.

Ausblick: Recht auf Reparatur

Derzeit wird sowohl auf EU-Ebene als auch auf nationaler Ebene die Einführung eines allgemeinen Rechts auf Reparatur umfassend diskutiert. Nach der aktuellen Gesetzeslage besteht gegenwärtig lediglich ein spezifisches Recht auf Reparatur für einzelne Produktgruppen gemäß der genannten Durchführungsmaßnahmen der EU-Kommission auf Grundlage der Öko-Design-RL (s.o.). Diese Regelungen sollen nach der EU-Kommission zu einem allgemeinen Recht auf Reparatur erweitert werden, indem die Ökodesign-RL im Rahmen des europäischen Green Deals auf weitere Produktgruppen ausgedehnt werden soll. Hierzu läuft im Rahmen der sog. „Sustainable Product Initiative“ („SPI“) des Green Deals (wir berichteten) derzeit bis Anfang April 2022 ein Konsultationsverfahren der EU-Kommission. Auf nationaler Ebene enthält der Koalitionsvertrag der Bundesregierung das Ziel der Implementierung eines allgemeinen Rechts auf Reparatur, wonach ausdrücklich Hersteller zur Bereithaltung von Updates während der üblichen Nutzungszeit verpflichtet werden sollen. Aktuell liegen weder auf europäischer noch auf nationaler Ebene konkrete Gesetzesentwürfe vor. Nachdem die Bundesministerin für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz, Steffi Lemke, sich zunächst in einem Interview derart geäußert hat, man wolle unabhängig von der Entwicklung auf EU-Ebene ein nationales Recht auf Reparatur gemäß dem Koalitionsvertrag alsbald durchsetzen, wurde dieser Ansatz in Folgeinterviews verworfen, sodass vorerst die Entwicklungen auf unionsrechtlicher Ebene abzuwarten sind.

Ein allgemeines Recht auf Reparatur wird sowohl von der Industriebranche, aber auch aus juristischer Sicht stark kritisiert. Aus rechtlicher Sicht würde ein allgemeines Recht auf Reparatur mit dem Ziel der Regulierung der Langlebigkeit von Produkten durch eine Verpflichtung zur Ersatzteilbereitstellung über Zeiträume von sieben bis 10 Jahren zu einer verschuldensunabhängigen Verantwortung der Hersteller und Händler über die gesetzlichen Gewährleistungsfristen hinausführen. Hierzu bedarf es nicht lediglich einer gesetzlichen Neuerung, sondern einer Vielzahl von Änderungen und Erweiterungen unterschiedlicher Gesetze. Neben der rechtlichen Ausgestaltung eines allgemeinen Rechts auf Reparatur ist vor allem der konkrete Ansatz der Regelung im Hinblick auf den Adressaten der Verpflichtung ein wesentlicher Kritikpunkt. Würden die Händler von Produkten verpflichtet werden, die Reparierbarkeit eines Produktes zu gewährleisten, stellt sich die Frage, wie dies von Händlern, die das Produkt nicht herstellen, sondern lediglich vertreiben, gewährleistet werden könnte.

Hier wäre wohl nur eine Einbindung der Hersteller in die konkreten Einkaufsverträge mit einer Verpflichtung zur Reparaturleistung denkbar. Der wohl am stärksten kritisierte Ansatz ist die Verpflichtung der Hersteller zur Bereithaltung von Updates während der üblichen Nutzungszeit eines Produkts. Eine solche Verpflichtung der Hersteller, unabhängig von einem konkreten Verschulden die Funktionstüchtigkeit von Produkten auch nach deren Inverkehrgabe für einen bestimmten Zeitraum zu gewährleisten, würde zu einer verschuldensunabhängigen Produktverantwortung der Hersteller verbunden mit einer Pflicht zur Produktbeobachtung der Produkte auf dem Markt führen. Dies würde eine wesentliche Änderung der bisherigen Dogmatik des Produkthaftungsrechts im engeren Sinne darstellen (s.o.) und könne nicht mit dem bloßen Verweis auf die Gewährleistung eines allgemeinen Rechts auf Reparatur gerechtfertigt werden.

Fazit

Updatepflichten in Bezug auf Software-Produkte werden aktuell im Hinblick auf eine Vielzahl unterschiedlicher Gesetze sowohl auf EU-Ebene als auch auf nationaler Ebene diskutiert und teilweise bereits implementiert. Daneben besteht die Gefahr der Begründung weiterer Updatepflichten infolge der Veränderungen des Stands der Technik. Unternehmen sollten im Rahmen ihres Compliance-Managements bereits jetzt die laufenden Aktualisierungen und Diskussionen beachten und sich auf künftige Updatepflichten vorbereiten. Wenn wir Sie bei der Umsetzung unterstützen können, melden Sie sich gerne.

Das vollständige Whitepaper mit Anhang zum Download finden Sie hier.

[Juni 2022]