Cybersicherheitspolitik bekämpft bisher vor allem Symptome

Der Markt für kommerzielle Software­produkte unterscheidet sich in einem wesent­lichen Punkt von anderen Produktmärkten: Softwarehersteller haben in der Regel keine umfassenden Konsequenzen zu befürchten, wenn ihre Produkte Schä­den verursachen. Stattdessen nimmt der Groß­teil der bis dato eingeführten Regulierung die Betreiber, etwa von kritischen Infrastrukturen, und weitere wichtige Stellen in den Blick. Ebenso setzen viele verbreitete Cybersicher­heitsmaßnahmen bei den Anwender:innen an, etwa in der Form von Warnungen, Awareness-Kampagnen oder Trainings.

Tatsächlich können Nutzer:innen und Betreiber dafür sorgen, dass ihre Software auf dem neuesten Stand und sicher kon­figuriert ist; außerdem können sie ihre IT-Systeme so aufsetzen, dass Risiken begrenzt werden. Aber gegen unsichere Software kön­nen die genannten Maßnahmen wenig ausrichten. Die deutsche und europäische Cybersicherheitspolitik sollte sich daher darauf konzentrieren, kommerzielle Soft­warehersteller dazu zu bringen, sichere Produkte zu entwickeln.

Herstellern fehlen Anreize für die Entwicklung sicherer Software

Seit Jahren gehen die meisten entdeckten Software-Schwachstellen auf dieselben, lange bekannten und häufig leicht vermeid­baren Fehler von Softwareherstellern zu­rück. Dabei liegen hinreichende Erkenntnisse vor, wie Entwicklungsprozesse und Produkte sicher gestaltet werden können, gibt es doch eine Vielzahl praktischer Hand­reichungen zum Thema. So sollten Herstel­ler beispielsweise Schwachstellen in Open-Source-Komponenten, die sie in ihre Pro­dukte integrieren, beobachten und bei Bedarf schließen. Dabei können sie heut­zutage auf KI-Anwendungen zurückgreifen. Zudem sollten sie nur solche Open-Source-Komponenten integrieren, die aktiv weiter­entwickelt werden. Ebenso sollten sie speichersichere Programmiersprachen ver­wenden, um eine häufige Art von Schwach­stellen zu vermeiden.

Warum setzen die Hersteller kommer­zieller Software diese guten Praktiken dann nicht einfach um? Das hat vier miteinander verwandte Gründe: Erstens streben Software­hersteller häufig danach, ihre Produkte mög­lichst schnell auf den Markt zu brin­gen. Schwachstellen lassen sich schließlich immer noch durch ein Sicherheitsupdate schließen. Zweitens: Nutzer:innen können die Sicherheit von Softwareprodukten nur schwer beurteilen, da es für Software kein weit verbreitetes IT-Sicherheitskennzeichen gibt. Außerdem spielt bei der Kaufentscheidung von Nutzer:innen – einschließlich Unternehmenskunden – die Sicherheit von Software häufig nur eine geringe Rolle im Vergleich zur Funktionalität und zum Preis. Drittens wirken sich Cybersicherheits­vorfälle langfristig kaum auf die Reputation oder die Börsennotierung von Unternehmen aus. Und viertens haben Hersteller auch keine juristischen oder finanziellen Kon­sequenzen für unsichere Produkte zu be­fürchten. An diesem letzten Punkt sollte die Politik ansetzen.

Wie die Politik die richtigen Anreize setzen kann

Aktuell tragen die Kosten für Cybersicherheitsvorfälle, die durch unsichere Software verursacht werden, in der Regel die Anwen­der:innen. Regulierungsmaßnahmen kön­nen jedoch, wie die Verankerung des Ver­ursacherprinzips im Umweltrecht zeigt, da­für sorgen, dass die Hersteller zur Verant­wortung gezogen werden. Allerdings kön­nen neben den Herstellern auch die An­wen­der:innen eine Teilverantwortung für Cyber­sicherheitsvorfälle haben – etwa, wenn sie keine Sicherheitsupdates instal­liert haben. Nichtsdestotrotz gibt es meh­rere regulatorische Ansatzpunkte.

Bisher können Geschädigte bei mangelhafter Software grundsätzlich über das Gewährleistungsrecht Ansprüche geltend machen. Dafür müssen sie jedoch einen Vertrag mit dem Anbieter haben. Bei Cyber­sicherheitsvorfällen mit hohen Folgeschäden ist allerdings etwa eine Rückerstattung des Kaufpreises nur ein geringer Trost. Für weitergehende Ansprüche muss bisher meistens belegt werden, dass die Software nicht den erforderlichen Sicherheitsanforderungen entsprach und gerade dieser Umstand den Schaden verursacht hat. Doch dieser Nachweis ist in der Praxis oft schwer zu erbringen, weil Sicherheits­vorfälle häufig auf mehrere Faktoren zurückzuführen sind. Ohne weitergehende Vorschriften bestehen also hohe Hürden, um Hersteller für un­sichere Software in die Pflicht zu nehmen.

Doch der Politik stehen für dieses Ziel drei Regulierungsmöglichkeiten zur Ver­fügung. Erstens kann der Gesetzgeber im Produktsicherheitsrecht Anforderungen formulieren, die Hersteller erfüllen müssen, um ihre Pro­dukte überhaupt auf den Markt bringen zu dürfen. Marktaufsichtsbehörden überwachen die Einhaltung der Vorgaben und verhängen bei Verstößen Bußgelder. So soll verhindert werden, dass Hersteller unsichere Produkte überhaupt anbieten.

Das zweite Instrument ist das Produkthaftungsrecht. Entsprechende Regulierung erlaubt es Geschädigten, sofern sich der Schaden aus einem fehlerhaften Produkt er­gibt, gegenüber dem Hersteller des Pro­dukts Ansprüche wie Schadensersatz geltend zu machen. Produkthaftungsbestimmungen können also nicht nur die rechtliche Grund­lage dafür darstellen, individuellen Schaden wiedergutzumachen, sondern auch – da großer finanzieller Schaden droht – für Hersteller Anreize setzen, mehr in die Sicherheit ihrer Produkte zu investieren. Erfahrungen aus der Automobil- und der Pharmabranche zeigen, dass die Einführung von Produkthaftung tendenziell mit sichereren Produkten korreliert. Bei Pro­dukthaftungsrecht braucht es kein Ver­trags­verhältnis zwischen Hersteller und Geschädigten, und auch Folgeschäden kön­nen geltend ge­macht werden.

Doch Software-Schwachstellen können nicht nur ausgenutzt werden, wenn die Soft­ware erworben und auf eigenen Syste­men installiert wird (»On-Premises«). Das Gleiche gilt, wenn sie als Dienstleistung – üblicher­weise als Cloud-Lösung – bezogen wird (»Software-as-a-Service«, kurz SaaS). Für solche Nutzungsmodelle greifen das Pro­dukthaftungs- oder Produktsicherheitsrecht häufig nicht. Deshalb kann der Gesetzgeber ergänzend eigenständige Cybersicherheitsanforderungen für diese Anbieter festlegen.

Diese drei Regulierungswege sollte die Bundesregierung nicht im Alleingang be­schreiten. Vielmehr sollte sie sich vor allem auf EU-Ebene einbringen, um europäische Regelungen voranzutreiben. Wenn euro­päische Rechtsakte erlassen werden, ist wieder die Bundespolitik am Zug: EU-Richt­linien sind dann in nationales Recht um­zusetzen und EU-Verordnungen häufig von Durchsetzungsgesetzen zu flankieren.

Die besondere Rolle von Open‑Source-Software

Open-Source-Software (OSS) bildet das Rück­grat so gut wie aller Softwareprodukte. KI‑Anwendungen wie das Sprachmodell Mythos Preview wurden erfolgreich ein­gesetzt, um Schwachstellen in zahlreichen OSS-Komponenten zu finden. In der vor­liegenden Analyse liegt der Fokus auf kommerziellen Softwareherstellern, doch OSS sollte stets mit­gedacht werden.

Die Regulierung von nicht-kommer­ziel­len OSS-Entwickler:innen kann unbeab­sich­tigte Folgen haben. So könnten Hobby-Ent­wickler:innen aus Angst vor Haftung oder erhöhtem Sicherheitsaufwand ihre Tätig­keit aufgeben. Daher ist hier besondere Vorsicht geboten. Als ein möglicher Aus­weg könnten kommerzielle Softwarehersteller, die OSS-Komponenten verwenden, in die Pflicht genommen werden, Schwachstellen darin zu beheben. Ebenso können Regierungen ein Inventar der für sie besonders kritischen OSS-Komponenten erstellen und diese dann zielgerichtet absichern (lassen).

Mehr Pflichten für Hersteller erfordern Güterabwägungen

Die Regulierung von Softwareherstellern bietet Vor- und Nachteile. Erstens ist der dynamische und relativ kostengünstige Soft­ware-Sektor die Grundlage moderner digitalisierter Gesellschaften und Volkswirtschaften geworden. Nicht alle, aber einige Maßnahmen, mit denen Hersteller ihre Softwareprodukte sicherer gestalten kön­nen, kosten Zeit und Ressourcen; zudem verursachen mögliche Sanktionen oder Haftungsrisiken Kosten. Es ist davon aus­zugehen, dass Hersteller diese erhöhten Ausgaben an ihre Kund:innen weitergeben würden, so dass die Preise für Software steigen dürften. Dies bedeutete letztendlich, dass sich die Cybersicherheit von Software im Preis niederschlagen würde, denn je un­sicherer die Software – also je mehr Auf­wand ein Hersteller betreiben müsste, um sein Produkt abzusichern, oder je größere Rückstellungen für Haftungsrisiken gebil­det werden müssten – desto teurer das Produkt. Wenn Software insgesamt teurer würde, könnten sich einerseits Domino-Effekte wie Inflation einstellen. Andererseits wäre es zu begrüßen, wenn die Sicher­heit von Software die Preisbildung beein­flussen würde, da sich das auf Kaufentschei­dungen auswirken dürfte und langfristig das Cybersicherheitsniveau steigen sollte.

Zweitens können zusätzliche Pflichten für kommerzielle Softwarehersteller auch ungewollte Auswirkungen haben. Ein wich­tiger Faktor dabei: Der Markt für Softwareprodukte ist stark von US-Unternehmen dominiert – das gilt besonders für Betriebs­systeme, Office-Anwendungen, Cybersicher­heitsprodukte und KI-Anwendungen. Ent­sprechend haben US-Hersteller einen ent­scheidenden Einfluss auf das Cybersicher­heits­niveau in Deutschland. Wenn Rege­lungen im deutschen oder europäischen Alleingang etabliert würden, könnten inter­nationale Anbieter beschließen, ihre Pro­dukte nicht länger auf dem deutschen oder europäischen Markt anzubieten. In der Folge wären diese (mutmaßlich unsichereren) Produkte nicht mehr auf dem euro­päischen Markt verfügbar.

Auch hier könnte dies einerseits den positiven Nebeneffekt haben, die Stellung derjenigen Anbieter zu verbessern, die die Cybersicherheit ihrer Produkte priorisieren. Andererseits ist Europa im Technologie­bereich insgesamt und speziell im Bereich Cybersicherheit stark abhängig von US-amerikanischen Anbietern und es mangelt teilweise an europäischen Alternativen. Wenn sich wichtige US-Softwarehersteller vom EU-Markt zurückzögen, könnte dies –allen Bestrebungen, diese Abhängigkeiten zu reduzieren, zum Trotz – daher zu Unter­brechungen im Betriebsablauf führen. Zu­dem dürften strengere europäische Regeln für US-Unternehmen die transatlantischen Beziehungen strapazieren.

Drittens widerspräche zusätzliche Regulierung dem aktuellen Zeitgeist in Brüssel, wonach gerade im Digitalbereich eher der Abbau und die Verschlankung bestehender Markteingriffe anzustreben sind.

Viertens treffen Cybersicherheitsauflagen kleine und mittelständische Software­hersteller – die gerade in Europa eine wich­tige Rolle spielen – unverhältnismäßig stärker als große Technologiekonzerne, da erstere weniger Ressourcen für die Um­setzung zur Verfügung haben als letztere. Erleichterungen für kleine und mittlere Unternehmen (KMU) können diesen Effekt abfedern.

Insgesamt erfordern politische Entscheidungen über Pflichten für die Her­steller und Anbieter von Software also eine Güter­abwägung zwischen Cybersicherheit auf der einen und Effizienz und Innovationskraft auf der anderen Seite. Die Frage ist, ob die Kosten von Cybersicherheitsvorfällen diese Maßnahme rechtfertigen. Mit Blick auf die Bedrohungslage ist diese Frage zu bejahen.

Bestehende Produktsicherheits­regelungen für Software

In den vergangenen Jahren hat die EU für jede der oben genannten Regulierungs­optionen – Produkthaftung, Produktsicher­heitsrecht und Cybersicherheitsanforderun­gen für Dienstleister – Gesetze verabschiedet. Allerdings weisen sie teilweise Lücken auf und es gibt Anzeichen, dass die Bundes­regierung nicht plant, die Regelungen strikt durchzusetzen.

Im Bereich Produktsicherheitsrecht gibt es bisher keine geltende umfassende Regu­lierung für Software, sondern nur branchen­spezifische Vorgaben für Medizinprodukte, In-vitro-Diagnostika, Funkanlagen, Kraft­fahrzeuge und Hochrisiko-KI-Systeme. Im Dezember 2027 treten zudem wichtige Vorschriften der neuen EU-Cyberresilienz-Verordnung (Cyber Resilience Act, CRA) in Kraft. Dieses Gesetz formuliert Pflichten für Hersteller von »Produkten mit digitalen Elementen«, also von Software und Produk­ten mit eingebetteter Software wie etwa Internet-of-Things(IoT)-Geräte. Das entspre­chende Durchsetzungsgesetz hat die Bundes­regierung bereits auf den Weg gebracht.

Wenn der CRA gilt, werden alle Hersteller, die ihre Produkte auf dem europäischen Markt anbieten möchten, die darin formu­lierten Cybersicherheitspflichten erfüllen müssen. Konkret werden Hersteller bei­spiels­weise Schwachstellen in ihren Pro­dukten, die aktiv ausgenutzt werden, wäh­rend der Produktlebensdauer schließen (lassen) müssen. Für viele Produkte können Hersteller selbst bestätigen, dass sie die Vor­gaben einhalten. Doch für besonders »wich­tige« und »kritische« Produkte wie Firewalls müssen unabhängige Stellen die Konformität prüfen, bevor das Produkt auf den Markt gebracht werden darf. Bei Verstößen müs­sen Hersteller Bußgelder zahlen und die Mängel beheben oder ihr Produkt vom Markt nehmen. Außerdem können Kund:innen gegen Hersteller, die gegen den CRA ver­stoßen, Ansprüche geltend machen.

Allerdings findet die Verordnung keine Anwendung auf Produkte, »die ausschließlich für Zwecke der nationalen Sicherheit oder für Verteidigungszwecke entwickelt oder verändert werden, oder Produkte, die speziell für die Verarbeitung von Verschluss­sachen konzipiert sind«, da in dem Bereich keine EU-Kompetenz vorliegt (auf Dual-Use-Produkte ist die Verordnung jedoch an­wendbar). In diesem Bereich sind daher ent­weder Initiativen im Rahmen der Gemeinsamen Sicherheits- und Verteidigungs­politik (GSVP) möglich oder nationale Maß­nahmen. Mit Blick auf letztere fordert der CRA die EU-Mitgliedstaaten auf, in diesen Bereichen für ein mindestens ebenso hohes Schutzniveau wie im CRA gefordert zu sorgen. Und tatsächlich gelten für Produkte im Sicherheits- und Verteidigungs­bereich häufig bereits hohe Sicherheits­anforderun­gen, etwa über Beschaffungsrichtlinien oder verpflichtende Zertifizierungen. Diese Vorgaben sind teilweise eingestuft und können hier daher nicht bewertet werden; von ihnen kann allerdings häufig in be­gründeten Fällen abgewichen werden. Des­halb ist fraglich, ob diese Instrumente ge­eignet sind, die Sicherheit dieser Produkte insgesamt anzuheben.

Bestehende Produkthaftungs­regelungen für Software

Auch wenn der CRA nach seinem Inkrafttreten Ende 2027 entschieden durchgesetzt würde, wäre zu erwarten, dass unsichere Soft­wareprodukte weiter Schäden ver­ursachen. Dann kann das Produkthaftungsrecht ins Spiel kommen. Dabei sind beson­dere Güterabwägungen zu treffen: Solche Regelungen tragen zum Schutz von Ver­braucher:innen bei, beschneiden aber die unternehmerische Freiheit, wenn Hersteller etwa Haftungskosten und die Versicherbarkeit ihrer Geschäftsmodelle sowie Rück­ruf- und Prozessrisiken berücksichtigen müssen.

Das aktuell geltende deutsche Produkthaftungsgesetz findet keine Anwendung auf Software. Doch 2024 wurde eine neue Version der EU-Produkthaftungsrichtlinie verabschiedet, die dem deutschen Gesetz zugrunde liegt. Zurzeit beraten die Bundes­tagsabgeordneten des Ausschusses für Recht und Verbraucherschutz über einen Kabinettsentwurf der Bundesregierung, der die Richtlinie in nationales Recht umsetzt.

Die alte Richtlinie von 1985 war auf Soft­ware wegen deren Eigenschaft als immaterielles Wirtschaftsgut nicht anwendbar, die neue Version jedoch schon. Allerdings fällt die Richtlinie in den Bereich Verbraucherschutz, weshalb drei bedeutende Einschrän­kungen gelten: Nur natürliche Personen können Ansprüche geltend machen, und zwar nur, wenn die Software ausschließlich privat verwendet wird, und nur bei Perso­nen-, Sach- oder Datenschäden. Dies bedeu­tet im Umkehrschluss, dass weder Unternehmen noch Gebietskörperschaften (wie etwa Kommunen) oder natürliche Personen, die eine Software beruflich verwenden, An­sprüche geltend machen können. Und auch reine Vermögensschäden fallen nicht in den Anwendungs­bereich der Richtlinie.

Der Hintergrund dieser Einschränkungen: Die Richtlinie regelt verschuldens­unabhängige Haftung, das bedeutet, dass Hersteller auch haften, wenn ihnen weder Vorsatz noch Fahrlässigkeit nachgewiesen werden können. Damit sich aus dem Gesetz keine nicht mehr versicherbaren, existenzbedrohenden Haftungsrisiken ergeben, sind der Haftung enge Grenzen gesetzt. Und Unter­nehmen werden als weniger schutzbedürftig betrachtet, weil sie sich üblicherweise vertraglich gegen Schäden absichern können.

Diese Einschränkungen sind jedoch mit Blick auf den Softwaremarkt wenig sinn­voll. Viele Produkte werden sowohl von pri­vaten Verbraucher:innen als auch im beruf­lichen Kontext genutzt. Und die großen Softwarehersteller verfügen häufig über so große Marktmacht, dass sie die Vertrags­bedingungen bestimmen (und etwa Haf­tung ausschließen lassen) können. Das gilt besonders, wenn kleine und mittelständische Unternehmen Produkte von großen US-Herstellern beziehen. Zudem ver­ursachen Cybersicherheitsvorfälle vor allem finanzielle Schäden: Wenn etwa Cyber­kriminelle die Daten von Unternehmen verschlüsseln und Lösegeld erpressen, ruht häufig der Betrieb und den Firmen ent­gehen Gewinne. Vor diesem Hintergrund sind die Einschränkungen des EU-Produkt­haftungsrechts problematisch.

Neben der EU hat bisher kein Land Pro­dukthaftungsregelungen verabschiedet, die die Nutzer:innen von Softwareprodukten zu Ansprüchen berechtigen. In den USA hatte es unter der Biden-Regierung Diskus­sionen über die Einführung einer Produkthaftung für Software gegeben, doch die Trump-Regie­rung strebt im Digitalbereich nach Deregulierung. Die EU-Kommission hatte 2022 einen Vorschlag für eine eigene Produkthaftungsrichtlinie für KI-Anwen­dungen vorgelegt. Diesen Vorschlag zog die Kommission dann jedoch im Oktober 2025 aus verschiedenen Gründen selbst zurück.

Bestehende Anforderungen für SaaS-Anbieter

Produkthaftungsrecht ist üblicherweise nur auf On-Premises-Softwarelösungen anwend­bar, nicht aber auf Software-as-a-Service (SaaS), da es sich bei Letzterer um eine Dienstleistung handelt. Der CRA ist dann auf SaaS an­wendbar, wenn die Dienstleistung als »remote data processing solution« zum Produkt gehört. Zusätzlich müssen SaaS-Anbieter die Anforderungen der »Richt­linie über Maßnahmen für ein hohes ge­meinsames Cybersicherheitsniveau in der Union« (NIS-2-Richtlinie) beachten. Die Bundesregierung hat die NIS-2-Richtlinie im Dezember 2025 verspätet umgesetzt. Diese schreibt vor, dass Anbieter sichere Dienste anbieten müssen, was auch das Management von Software-Schwachstellen ein­schließt.

Problematisch ist bei NIS-2 nicht so sehr, dass sie Regelungslücken enthielte, denn sie hat einen weiten Anwendungsbereich und gilt für alle Anbieter, die ihre Dienste auf dem europäischen Markt anbieten. Eine Ausnahme kleiner Unternehmen ist im SaaS-Bereich kaum relevant. Problematisch ist, dass es Zweifel an der entschiedenen Durchsetzung des Gesetzes in Deutschland gibt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist zuständig für die Verhängung von Bußgeldern bei Ver­stößen. Die BSI-Präsidentin gab jedoch an, dass ihre Behörde Unternehmen, die gegen die Auflagen verstoßen, im Regelfall nicht mit Bußgeldern belegen werde. Doch werden Unternehmen ihre Cybersicherheitspraktiken anpassen, wenn sie keine Sanktionen zu befürchten haben? Wenn die Verpflichtungen schon gegenüber deut­schen Unternehmen nicht strikt durch­gesetzt werden, wie sollen sie dann dafür sorgen, dass US-SaaS-Anbieter ihre Cloud-Lösungen sicherer gestalten? Und inwiefern wird das BSI bereit sein, Verstöße gegen den CRA – für dessen nationale Durchsetzung die Cyber­sicherheitsbehörde ebenfalls zu­ständig sein wird – mit Bußgeldern zu be­legen oder Produktrückrufe zu veranlassen?

Vier Aufgaben für die Bundespolitik

Wenn sich die verheerende Cybersicherheits­lage bessern soll, muss Software sicherer werden. Um entsprechende Anreize zu set­zen, sollte die Bundespolitik vier Dinge tun.

Erstens sollte die Bundesregierung auf nationaler Ebene die bestehenden Regeln strikt durchsetzen. Die bereits geltende NIS-2-Richtlinie ebenso wie der 2027 in Kraft tretende CRA können ihre Wirkung erst dann entfalten, wenn die Hersteller bei Ver­stößen Sanktionen zu befürchten haben. Das BSI sollte daher zunächst einfordern, dass sich alle von NIS-2 betroffenen Unter­nehmen in dem entsprechenden Portal registrieren – bisher hat das nur etwa die Hälfte getan. Anschließend sollte das BSI bei Verstößen Bußgelder in Aussicht stel­len, und zwar auch für US-Firmen. So könnte es Unternehmen dazu veranlassen, die Vor­gaben prioritär umzusetzen. Die US-Admi­nistration zeigt sich seit kurzem offen für Regulierung, die die Cybersicherheitsrisiken von KI-Anwendungen begrenzen soll. Für die Durchsetzung der Vorgaben gegenüber US-Unternehmen sollte daher entsprechend zuvor politisch der Boden bereitet werden. Gleichzeitig sollte sich die Bundesregierung auch auf etwaige Ab­wehr- oder Vergeltungsmaßnahmen aus Washington vor­bereiten.

Zweitens sollte die Bundesregierung der Aufforderung des CRA nachkommen und für Hersteller von Softwareprodukten im Sicherheits- und Verteidigungsbereich strenge Cybersicherheitsanforderungen definieren und diese auch ausnahmslos durch­setzen. Dies kann, gerade im mili­tärischen Bereich, auf unterschiedlichen Wegen geschehen: So können Ver­teidi­gungs­ministerium und Bundeswehr ge­meinsam Mustervertragsbausteine ent­wickeln für die vielen Stellen in der Bun­deswehr, die für die Beschaffung und den Betrieb von Software zuständig sind. Zudem können entsprechende horizontale Min­dest­anforderungen für Beschaffungsvorhaben formuliert werden, die idealerweise gleicher­maßen für die Bundeswehr und kritische zivile Bereiche gelten.

Drittens sollte sich die Bundesregierung auf europäischer Ebene für eine Produkthaftungs­regelung speziell für Software einsetzen. Theoretisch könnte auch der Bundestag die oben beschriebenen Lücken im Gesetzentwurf zur nationalen Umsetzung der EU-Produkthaftungsrichtlinie schließen. Doch der Europäische Gerichtshof hat den Mitgliedstaaten enge Grenzen gesetzt für sogenanntes »Gold-Plating« – also das Aufsetzen nationaler Regelungen, die über EU-Rechtsakte hinausgehen. Zu­dem sind nationale Alleingänge bei der Regulierung des globalisierten Software­markts wenig zielführend. Daher ist ein europäisches Gesetz die bessere Option.

Dieses Gesetz sollte es Unternehmen und Gebietskörperschaften sowie natürlichen Personen, die Software beruflich nutzen, ermöglichen, Ansprüche gegen Hersteller geltend zu machen. Außerdem sollten auch reine Vermögensschäden zu Ansprüchen be­rechtigen. Zudem könnte es den Sicher­heits- und Verteidigungsbereich miteinschließen.

Ähnliche Produkthaftungsgesetze für spe­zielle Produktgruppen gibt es bereits. Als Begründung sollte die Bundesregierung auf die Besonderheiten des Softwaremarkts verweisen. Angesichts der verheerenden Cybersicherheitslage ließe sich für ein solches Vorhaben vermutlich eine Mehrheit in Brüssel finden. Um zu verhindern, dass ein solches Gesetz unversicherbare Haf­tungs­ansprüche eröffnet, könnten Höchst­grenzen für die Haftungssummen festgelegt werden. Und um mittelständische Unternehmen zu schützen, sollten diese Summen nach Unternehmensgröße gestaffelt sein. Auch bei einem solchen Vorhaben sollten die Auswirkungen auf die transatlantischen Beziehungen mitgedacht und entsprechende Vorkehrungen getroffen werden.

Und viertens sollten europäische Politiker:innen ein umfassendes Produkthaftungs­recht für Software in Angriff nehmen, bevor sie über ein Regime speziell für KI-Anwen­dungen nachdenken. Auch wenn Letztere besondere Herausforderungen stellen, sind sie zunächst einmal Software. Es erscheint daher sinnvoll, in einem ersten Schritt um­fassende Produkthaftung für Software zu etablieren und erst in einem zweiten zu prüfen, inwiefern weiterer Rege­lungsbedarf für KI-Systeme besteht. Mut­maßlich würde ein umfassendes Produkthaftungsrecht für Software auch viele denkbare Schadensfälle von KI-Anwendungen abdecken. Eine ent­sprechende rechtliche Ausgestaltung stünde auch im Einklang mit jüngsten Bemühungen der EU-Kommission, die EU-Digital­regulierung zu verschlanken.