Mit einem weiteren aktuellen Vorschlagspaket hat die Europäische Kommission die Diskussion über die Produkthaftung in der Europäischen Union (EU) angeheizt.

Am 28. September 2022[i] wurde ein Vorschlag vorgelegt, um (i) die bestehende Produkthaftungsrichtlinie (PLD) zu überarbeiten und (ii) eine völlig neue Richtlinie einzuführen, die speziell für die Gestaltung von verschuldensunabhängigen zivilrechtlichen Haftungsregeln für künstliche Intelligenz (KI) gedacht ist, nämlich die KI-Richtlinie.

Der Text der vorgeschlagenen überarbeiteten Produkthaftungsrichtlinie liegt derzeit zur öffentlichen Stellungnahme bis zum 11. Dezember 2022[ii] auf. Die ursprüngliche Produkthaftungsrichtlinie sieht harmonisierte Haftungsregeln für Schäden vor, die Verbrauchern durch fehlerhafte Produkte entstehen. Der bestehende Rechtsrahmen enthält somit eine verschuldensunabhängige, strenge Haftungsregelung für Hersteller, die nicht durch einen Vertrag ausgeschlossen oder eingeschränkt werden kann. Mit anderen Worten: Ein Verbraucher muss lediglich einen Schadensersatzanspruch geltend machen und einen Kausalzusammenhang zwischen Schaden und Produktefehler nachweisen.

Zu den vorgeschlagenen Änderungen gehört die Ausweitung des Geltungsbereichs der Definition des Begriffs ‹Produkt› auf Software, wobei die Europäische Kommission feststellt, dass Software «als eigenständiges Produkt auf den Markt gebracht werden kann und anschliessend als Bestandteil in andere Produkte integriert werden kann und durch ihre Ausführung Schäden verursachen kann». Software würde folglich als Produkt betrachtet, «unabhängig von der Art ihrer Bereitstellung oder Nutzung und somit unabhängig davon, ob die Software auf einem Gerät gespeichert oder über Cloud-Technologien zugänglich ist.»

Der Quellcode von Software sowie freie und open-source Software, die «ausserhalb einer kommerziellen Tätigkeit entwickelt oder bereitgestellt wird» – d. h. die nicht gegen Gewinn bzw. personenbezogene Daten ausgetauscht wird – würde jedoch nicht in den genannten Anwendungsbereich fallen.

Der Begriff ‹producer› scheint in der vorgeschlagenen Terminologie nicht mehr enthalten zu sein, stattdessen wird der Begriff ‹manufacturer› weiter gefasst. In diesem Zusammenhang würden Entwickler und Hersteller von Software, einschliesslich Anbieter von KI-Systemen, im Sinne des künftigen KI-Gesetzes als Hersteller behandelt werden. Nach der vorgeschlagenen Überarbeitung würde die Definition eines ‹Wirtschaftsteilnehmer› zusätzliche Akteure in der Lieferkette umfassen, nämlich Erfüllungsdienstleister, Hersteller wiederaufgearbeiteter Produkte und Händler. In Fällen, in denen ein Hersteller ausserhalb der EU ansässig ist bzw. in denen ein Hersteller nicht identifizierbar ist, könnten ein Importeur eines Produkts oder ein Bevollmächtigter eines Herstellers in der EU sowie Erfüllungsdienstleister neben Händlern haftbar gemacht werden. Ausserdem würde ein Online-Plattformanbieter im Sinne des Gesetzes über digitale Dienste (DSA) «nur dann haften, wenn er das Produkt präsentiert oder die spezifische Transaktion anderweitig ermöglicht, und nur dann, wenn die Online-Plattform es versäumt, einen in der Union ansässigen relevanten Wirtschaftsteilnehmer unverzüglich zu identifizieren.»

Artikel 10 der vorgeschlagenen überarbeiteten PLD listet Szenarien für die Befreiung eines Wirtschaftsteilnehmers von der Haftung auf und legt fest, dass eine Ausnahme von der Befreiung in Fällen möglich ist, «wenn die Fehlerhaftigkeit des Produkts auf eines der folgenden Ursachen zurückzuführen ist, sofern sie der Kontrolle des Herstellers unterliegt: (a) eine verbundene Dienstleistung; (b) Software, einschliesslich Software-Updates oder -Upgrades, oder (c) das Fehlen von Software-Updates oder -Upgrades, die zur Aufrechterhaltung der Sicherheit erforderlich sind«.

Darüber hinaus soll der Bereich der ersatzfähigen Schäden über Personen- und Sachschäden hinaus auf «materielle Verluste infolge des Verlusts oder der Beschädigung von Daten» ausgeweitet werden. Eine solche bedeutende Verschiebung würde bedeuten, dass sich Produkthaftungsrisiken mit Cybersicherheitsrisiken überschneiden können.

Hier verweist die vorgeschlagene überarbeitete PLD auf die Definition von Daten im Daten-Governance-Gesetz, die lautet: «jede digitale Darstellung von Handlungen, Tatsachen oder Informationen […], auch in Form von Ton-, Bild- oder audiovisuellem Material». Die Definition eines Tokens oder eines kryptografisch erzeugten Vermögenswerts gemäss der vorgeschlagenen EU-Verordnung über Märkte für Kryptowerte (MiCA) lautet: «eine digitale Darstellung von Werten oder Rechten, die elektronisch übertragen und gespeichert werden können». Obwohl die Definition von Daten im Rahmen des Daten-Governance-Gesetzes recht weit gefasst ist und möglicherweise so ausgelegt werden könnte, dass sie die Definition des MiCA umfasst, wäre eine solche Überschneidung sicherlich nachteilig und würde dem ordnungsgemässen Funktionieren von Projekten mit Disintermediation und Dezentralisierungsgrad in der Governance, dezentralen Finanzanwendungen (DeFi) sowie den aufkommenden Web3-Protokollen und -Entwicklungen zuwiderlaufen. Angesichts der unveränderlichen und fälschungssicheren Aufzeichnung von Token-Transaktionen in Netzwerkinfrastrukturen auf der Grundlage von Distributed Ledger Technology (DLT) erscheint es unplausibel, Szenarien mit potenziellem Datenverlust oder -verfälschung – und den damit verbundenen Beweisen – in diesem Zusammenhang als gleichwertig mit den von der Europäischen Kommission angedachten Szenarien zu betrachten. Mit anderen Worten: Die vorgeschlagene überarbeitete PLD sollte unbeschadet des Anwendungsbereichs der bevorstehenden MiCA streng interpretiert werden.

Darüber hinaus entwickelt sich Software naturgemäss ständig weiter, so dass eine allumfassende Einstufung von Software als Produkt neben einer grosszügigen Anwendung der Datendefinition im Rahmen des ersatzfähigen Schadens für den Verlust oder die Beschädigung von Daten die Gefahr birgt, dass das System der verschuldensunabhängigen Haftung zum Nachteil des technologischen Fortschritts ausgeweitet wird.

Andererseits soll mit der vorgeschlagenen KI-Richtlinie eine ausservertragliche verschuldensabhängige zivilrechtliche Haftungsregelung für Schäden eingeführt werden, die durch ein KI-System verursacht werden. Ergänzend zur vorgeschlagenen überarbeiteten PLD führt die vorgeschlagene KI-Richtlinie eine ‹Kausalitätsvermutung› zwischen dem Verschulden und dem Schaden ein, den ein bestimmter Geschädigter erlitten hat. Die Bestimmungen gelten für die Anbieter, Betreiber und Nutzer von KI-Systemen. Die Richtlinie soll eine extraterritoriale Wirkung haben, da sie für die Anbieter und/oder Nutzer von KI-Systemen gelten würde, die auf dem EU-Markt verfügbar oder dort tätig sind. Da die Richtlinie eng an das künftige KI-Gesetz angelehnt ist, insbesondere was die Einstufung von KI-Systemen mit hohem Risiko betrifft, müssen sich Änderungen an letzterem in ersterer entsprechend niederschlagen.

Parallel zu den Entwicklungen auf der EU-Regulierungsebene wurde vor kurzem im Europarat ein Ausschuss für künstliche Intelligenz (CAI) eingesetzt, der ein Übereinkommen über künstliche Intelligenz, Menschenrechte, Demokratie und Rechtsstaatlichkeit ausarbeiten soll, an dessen Verhandlungen sich die Schweiz gemäss Bundesratsbeschluss vom September 2022 aktiv beteiligen wird[iii]. 

[i] Siehe hier https://ec.europa.eu/commission/presscorner/detail/de/ip_22_5807.

[ii] Siehe hier https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12979-Produkthaftungsrichtlinie-Anpassung-der-Haftungsvorschriften-an-das-digitale-Zeitalter-die-Kreislaufwirtschaft-und-globale-Wertschopfungsketten_de.

[iii] Siehe hier https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-90367.html.