Im Hinblick auf Sicherheitslücken in IoT-Geräten, die fortschreitende Entwicklung und den Einsatz von KI ist eine eindeutige haftungsrechtliche Regelung unumgänglich. Technische Lösungen können keinen Ersatz für regulatorische Anforderungen darstellen.
Mit dem vermehrten Einsatz von IoT-Geräten und künstlicher Intelligenz erhöht sich auch das Risiko für Sicherheitslücken. Deshalb werden haftungsrechtliche Regelungen zunehmend relevanter und notwendig.
Die im Juni 2020 von der israelischen Sicherheitsfirma JSOF aufgedeckten Sicherheitslücken Ripple20, die unzählige smarte IoT-Geräte betreffen, zeigen deutlich, weshalb die haftungsrechtlichen Regelungen in Bezug auf Software dringend ergänzt und angepasst werden müssen. Die bekannt gewordenen Sicherheitslücken in einem TCP/IP-Stack der Firma Treck gefährden nach Schätzungen der Entdecker mehrere hundert Millionen Geräte, die in Privathaushalten und Unternehmen im Einsatz sind, darunter Drucker, Steuerungen von Industrieanlagen oder Satelliten.
Viele der betroffenen Geräte werden wohl kein Sicherheitsupdate bekommen, da nicht nachvollzogen werden kann, welche Geräte von den Schwachstellen betroffen sind. Außerdem sind Updates bislang ohnehin nicht vorgesehen. Sofern beim Erwerb eines IoT-Geräts keine andere Vereinbarung getroffen wurde, beträgt die vertragliche Gewährleistung häufig nur wenige Jahre – kaufrechtliche Mängelansprüche etwa verjähren nach § 438 Abs. 1 Nr. 3 BGB in der Regel nach zwei Jahren. Viele Softwareprodukte zur Verwendung in komplexen hochpreisigen Industrieanlagen sind jedoch auf einen deutlich längeren Nutzungszeitraum angelegt. Bestehen keine vertraglichen Ansprüche, ergeben sich die Pflichten des Herstellers aus den haftungsrechtlichen Regelungen des Delikts- und Produkthaftungsrechts.
Update-Verpflichtungen im Rahmen der gesetzlichen Haftung
Nach der aktuellen Gesetzeslage ist außerhalb der vertraglichen Gewährleistung unklar, unter welchen Voraussetzungen und in welchem Umfang Update-Verpflichtungen von Softwareherstellern bestehen. Die Anwendung des Produkthaftungsgesetzes (ProdhaftG) auf Software ist umstritten. Eindeutig umfasst ist Software, die auf einem Datenträger oder durch die Integration in ein anderes Produkt verkörpert wurde. Unverkörperte Software wird teilweise nicht als Produkt angesehen mit der Begründung, dass sie keine bewegliche Sache darstelle und damit nicht unter § 2 ProdHaftG falle. Die Gesetzesbegründung zum ProdhaftG, die Auffassung des Europäischen Gesetzgebers und eine Auslegung des Produktbegriffs sprechen jedoch dafür, auch unverkörperte Software rechtlich als Produkt anzusehen. Maßgeblicher Anknüpfungspunkt für die Einordnung in das ProdHaftG ist, dass eine Ware entgeltlich in großer Anzahl auf dem Markt bereitgestellt wird, was auch auf unverkörperte Software zutrifft. Sachliche Gründe für eine unterschiedliche Behandlung von verkörperter und unverkörperter Software bestehen also nicht. Es spricht folglich einiges dafür, jede Form von Software als Produkt im Sinne des ProdHaftG anzusehen.
Dies wird voraussichtlich im Rahmen der aktuellen Überarbeitung der Produkthaftungsrichtlinie auch ausdrücklich klargestellt werden. Die deliktische Produzentenhaftung nach § 823 Abs. 1 BGB ist nicht produkt-, sondern rechtsgutsbezogen ausgestaltet und umfasst damit alle Arten von Software. Die Herstellerpflichten nach dem ProdHaftG und der deliktischen Produzentenhaftung entsprechen sich im Wesentlichen, sodass sie im Folgenden gemeinsam behandelt werden.
Den Hersteller trifft eine Verkehrssicherungspflicht im Hinblick auf das in den Verkehr gebrachte Softwareprodukt, die die Bereiche Konstruktion, Fabrikation, Instruktion und Produktbeobachtung umfasst. Im Zuge der Konstruktion spielt insbesondere die Update-Fähigkeit der Software (Updatability by design) eine Rolle, um Produktgefahren abwenden zu können. Werden im Rahmen der Produktbeobachtung – die nur im § 823 I BGB in Deutschland Anwendung findet – Sicherheitsdefizite entdeckt, müssen effektive Maßnahmen zur Gefahrabwendung getroffen werden. Über die Bereitstellung von Softwareupdates hinaus kommt aber zum Beispiel auch eine Warnung vor den entdeckten Gefahren in Betracht.
Ist eine Warnung bei Sicherheitslücken ausreichend?
Anders als die vertragliche Sachmängelhaftung ist die gesetzliche Haftung auf das Integritätsinteresse ausgerichtet: Es muss lediglich die Unversehrtheit der geschützten Rechtsgüter und nicht die Funktionsfähigkeit und Mangelfreiheit des Softwareprodukts gewährleistet werden. Entsprechend hat der BGH im Pflegebetten-Urteil eine Warnung jedenfalls im B2B-Bereich als ausreichend erachtet. Der Hersteller kann unter mehreren gleichermaßen geeigneten Maßnahmen diejenige wählen, die ihn am wenigsten belastet. In Bezug auf Software lässt sich aber durchaus eine weitergehende Update-Verpflichtung vertreten, da eine reine Warnung in Bezug auf Sicherheitslücken in technisch komplexen, hochgradig vernetzten Softwareprodukten häufig nicht ausreichen dürfte, um Gefahren effektiv zu beseitigen. Durch die Möglichkeit, Softwareupdates online bereitzustellen, sind zudem Aufwand und Kosten für den Hersteller deutlich geringer als bei einer anderweitigen Nachbesserung gefährlicher Produkte. Bislang sind die Herstellerpflichten jedoch durch Gesetzgebung und Rechtsprechung noch nicht abschließend geklärt. Neben den Internet-of-Things-Geräten ist die Reichweite der Softwarehaftung auch für Produkte relevant, die mit künstlicher Intelligenz (KI) arbeiten. Technische Lösungen wie Embedded Law können auch dort klare haftungsrechtliche Regelungen nicht ersetzen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Technische Lösungen aus haftungsrechtlicher Sicht keine Alternative
Um haftungsrechtlichen Problemen beim Einsatz von KI vorzubeugen, gibt es Bestrebungen, als Teil des Deep Learning-Prozesses über einen Supercode absolute Regeln als Embedded Law in das System der KI zu integrieren. Da rechtliche Regelungen einem ständigen Wandel unterliegen und viele Normen auslegungsbedürftige Begriffe enthalten, die eine schematische Anwendung unmöglich machen, erscheint es jedoch unwahrscheinlich, dass ein solches Konzept in naher Zukunft funktionsfähig zum Tragen kommen kann. Zudem bestünde auch für ein solches System eine haftungsrechtliche Verantwortlichkeit sowohl seitens des Herstellers als auch des Anwenders, deren Voraussetzungen und Umfang klar definiert werden müssten. Ein solches Konzept könnte also möglicherweise technisch dazu beitragen, die Fehleranfälligkeit der KI zu verringern, würde jedoch nicht die Haftung für Produktfehler ausschließen.
* Philipp Reusch ist Rechtsanwalt, Founding Partner und Teamleader Regulatory Affairs & Marktmaßnahmen bei reuschlaw Legal Consultants.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/d6/f2/d6f2f7dbd45703f162a3dd83882df6d7/0128882851v1.jpeg "Zum fünften Mal in Folge landen Cybervorfälle im Allianz Risk Barometer auf Platz 1 der weltweit größten Risiko. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/7e/227e71f2755ef305a2ba2f5e4fdcbef6/0127720658v1.jpeg "Agentenbasierte KI skaliert rasant und damit wächst auch die Angriffsfläche in Netzwerk-, Cloud- und SaaS-Umgebungen. (Bild: © deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/b9/1bb92cb893c83c95299d225506843426/0128848083v2.jpeg "Der „Superheld mit Geld“ ist sicherlich nicht ausschließlich auf dem Verdiensttreppchen dieses Jahres zu finden. Die Mitarbeitenden in Banken, Versicherungen und der Energie können dennoch durchschnittlich mit etwas mehr Lohn rechnen. (Bild: © visoot – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9c/6b/9c6ba58e00036530abb6d893364c5bbc/0128795106v1.jpeg "Das Samsung Galaxy Book6 Pro, hier bei der Vorstellung auf der CES, kommt als 16-Zoll- und als 14-Zoll-Modell auf den Markt. Beide basieren auf Intels neuen Core-Ultra-300-Prozessoren. (Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/e2/77/e27778e620a361b893b926153234cd09/0128440397v1.jpeg "Kaum zu glauben, aber wahr: Es gibt Datacenter-Stilllegungen und Schließungen, trotz KI und Bau-Boom. Das Autoren-Duo Anna Kobylinska und Filipe Martins kümmern sich umd das Aus und beschreiben, wo das Pendel am stärksten ausschlägt. (Bild: © trahko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/a0/66a0568c189a9a83de6783bde982e992/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/34/25346a6de4fae49d5134a5d87fa16b68/0128837620v1.jpeg "Cloud Computing und Künstliche Intelligenz sind eng miteinander verwoben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/51/045147bb59a65fc397dbc16c853a021b/0128604323v2.jpeg "Mobile IT entwickelt sich 2026 zu einem vernetzten Ökosystem aus Geräten, Services und KI-gestützten Funktionen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/b8/72b8f4363aab865e863736ad31f77ec0/0128882970v2.jpeg "Windows Server 2025 erhält 2026 neue Funktionen wie Zero Trust, Verschlüsselung und Telemetrie, einschließlich Erweiterungen für Storage, Hyper-V-Verwaltung und lokale KI, die zunächst über Insider Builds getestet werden und eine verbesserte Sicherheit sowie neue Netzwerk- und Zugriffssteuerungen bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/p7i.vogel.de/companies/60/cb/60cb1e784befc/securepoint-logo-800-400-max.jpeg "securepoint-logo-800-400-max (Securepoint)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:quality(80)/p7i.vogel.de/wcms/21/a8/21a87857b00f4ea4c439e31d67d1d973/0124347924v2.jpeg "Die strategische Bedeutung von IT-Services für moderne Unternehmen kann kaum überschätzt werden. Sie sind ein entscheidender Faktor für die Wettbewerbsfähigkeit und das Wachstum in der digitalen Wirtschaft. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cf/6b/cf6b057fc7febb1243ea57f7a4f87a42/0125456463v1.jpeg "In insgesamt 29 Produkten konnten die Sicherheitsforscher von ERNW die SoC-Sicherheitslücken nachweisen. Darunter große, namhafte Hersteller wie Jabra und Sony und auch der deutsche Hersteller Teufel. (Bild: Jabra)")