Obwohl smarte Produkte die Warenwelt zunehmend dominieren, existieren (noch) keine allgemeinen rechtlichen IT-Sicherheitsvorgaben für solche Produkte. Vielen ist jedoch nicht bewusst: Hersteller von smarten Produkten treffen nach geltender Rechtslage IT-sicherheitsbezogene Pflichten. Diese Pflichten folgen mittelbar aus dem Produktsicherheits- und Produkthaftungsrecht, auch wenn IT-Sicherheit nicht Bestandteil der allgemeinen Produktsicherheit ist.
Die klassische Produktsicherheit zielt in erster Linie auf den Schutz von Leib und Leben ab. Dennoch ergeben sich mittelbare, an den Hersteller adressierte IT-sicherheitsbezogene Pflichten insbesondere aus dem Maschinen- und Niederspannungsrecht, dem smarte Produkte in der Regel unterfallen. Die herstellerseitige Pflicht zur Gewährleistung der Produktsicherheit umfasst auch die Verpflichtung, dafür Sorge zu tragen, dass das Produkt aufgrund von IT-Sicherheitslücken nicht unsicher, d.h. lebens- bzw. gesundheitsgefährdend ist. Dies gilt regelmäßig selbst dann, wenn die Gefährdungen durch Dritte, etwa in Form von Cyberangriffen, vermittelt werden.
Auch aus dem Produkt- bzw. Produzentenhaftungsrecht lassen sich Verkehrssicherungspflichten des Herstellers in Bezug auf Cyber-Risiken herleiten. Denn unter bestimmten Bedingungen kann sich der Hersteller schadensersatzpflichtig machen, wenn mangelnde IT-Sicherheitsvorkehrungen von Dritten im Rahmen von Cyber-Angriffen ausgenutzt und smarte Produkte dergestalt manipuliert werden, dass sie Gesundheitsschäden beim Produktverwender oder Schäden an dessen Eigentum verursachen. Insofern muss der Hersteller ein Mindestmaß an IT-Sicherheitsvorkehrungen bei der Konstruktion und Herstellung smarter Produkte implementieren. Zudem gilt es, im Rahmen der Instruktion die IT-Sicherheit bzw. allfällige Lücken zu artikulieren und diese im Zuge der Produktbeobachtung in den Blick zu nehmen und etwaige Gefahrenabwehrmaßnahmen zu ergreifen.
Um die Verkehrsfähigkeit smarter Produkte zu gewährleisten und Haftungsrisiken zu minimieren, sind Hersteller daher gut beraten, sich mit diesen IT-sicherheitsbezogenen Pflichten intensiv auseinanderzusetzen und die mittelbaren Vorgaben aus dem Produktsicherheits- und Produkthaftungsrecht umzusetzen. Angesichts der Vielzahl rechtpolitischer Diskurse und gesetzlicher Initiativen ist zu erwarten, dass die IT-Sicherheit von smarten Produkten künftig ausdrücklich geregelt wird.
Zur Vertiefung: Wiebe, InTeR 2021, 66 ff. (hier abrufbar); Schucht, NVwZ 2021, 532 ff.
Haben Sie Fragen zu dieser News oder wollen Sie mit dem Autor über die News diskutieren? Kontaktieren Sie gerne: Dr. Gerhard Wiebe