Von Klaus Beucher und Moritz Becker *)Mit der Vernetzung von Geräten, Produktionsbereichen und ganzen Unternehmen im Internet der Dinge sind neben großen wirtschaftlichen Chancen zugleich neuartige Risiken verbunden. Dies zeigen schon die öffentlich bekannten Vorfälle der vergangenen Jahre. Dazu gehört etwa der 2014 erfolgte Hackerangriff auf ein deutsches Stahlwerk, bei dem ein Hochofen lahmgelegt und schwer beschädigt wurde. Die Verletzlichkeit der Abermillionen mit dem Internet verbundenen Smart Objects verdeutlichte der groß angelegte Distributed-Denial-of-Service-Angriff auf die Router von 900 000 Telekom-Kunden im Jahr 2016. Hinzu kam der 2017 erfolgte weltweite Angriff auf über 200 000 Computer mittels der Schadsoftware Wannacry, die auch einige global tätige Konzerne schwer traf. Zuletzt verursachte die Petya-Ransomware-Attacke allein bei dem internationalen Logistikkonzern Mærsk einen mitgeteilten Schaden von 300 Mill. Euro. Rüsten für den ErnstfallRisiken sind in unserer verrechtlichten Gesellschaft immer auch rechtliche Risiken. Alle diejenigen, die unternehmerisch im Internet der Dinge tätig sind, müssen sich deshalb fragen, wie im Ernstfall ihre eigene Haftungsexposition ist.Der Zulieferer einer Softwarekomponente etwa wird sich im Klaren darüber sein, dass bei Fehlfunktionen seiner Software Ansprüche seiner Vertragspartner oder Vertragsstrafen drohen. Wie steht es aber mit einem darüber hinausgehenden Risiko, dass fehlerhafte Software über ihre Vernetzung mit Maschinen oder Smart Objects Eigentum oder Gesundheit von Dritten schädigt? Wurde das Risiko einer Inanspruchnahme durch Dritte wegen solcher Schäden in der “echten Welt” bei Abschluss des Zulieferervertrags durch entsprechende Regelungen (z. B. Freistellungsansprüche) abgefangen oder im Rahmen der Vergütung hinreichend “eingepreist”? Besteht ferner für solche Inanspruchnahmen durch Dritte Deckungsschutz im Rahmen der eigenen (Produkt-)Haftpflichtversicherung? Müssen zusätzliche Versicherungen, wie etwa eine Rückrufkostenversicherung, abgeschlossen werden? Weitere GefahrenquellenDemgegenüber ist beispielsweise für einen Maschinenbauer das Risiko von (Produkt-)Haftungsansprüchen Dritter nichts grundsätzlich Neues. Jedoch entsteht für ihn durch die Vernetzung mit fehlerhafter und/oder vor Hacking schlecht geschützter Software eine neue Gefahrenquelle für die Verursachung von Schäden durch von ihm hergestellte Maschinen. Neu ist auch, dass es dem Maschinenbauer aufgrund dieser Vernetzung oft möglich sein wird, genaue Informationen über den Zustand und den Aufenthaltsort seiner Produkte zu erhalten. Verlangt deshalb seine Produktbeobachtungspflicht als Hersteller von ihm, diese Daten zu speichern und auszuwerten? Und hat er die hierfür notwendige Verfügungsbefugnis über die Daten und darf er das datenschutzrechtlich?Konkrete Antworten auf diese und andere Fragen zur Haftung im Internet der Dinge finden sich im Gesetz derzeit nicht. Denn weder auf europäischer noch auf deutscher Ebene gibt es hierfür spezielle Haftungsregeln. Zwar führt die Europäische Kommission seit einiger Zeit eine öffentliche Konsultation zur Produkthaftungsrichtlinie durch, die sich insbesondere mit Haftungsrisiken im Internet der Dinge und bei autonomen Produkten/Diensten befasst. Offen ist aber, ob am Ende dieses Konsultationsprozesses eine Reform der Produkthaftungsrichtlinie oder als “kleine Lösung” zumindest Vorschläge für ihre Anwendung im Kontext des Internets der Dinge stehen. Ähnliche Bemühungen des deutschen Gesetzgebers gibt es derzeit nicht.Es spricht auch vieles dafür, dass sich die neu ergebenden Haftungsfragen im Ergebnis mit dem deutschen Vertrags- und Produkthaftungsrecht in den Griff kriegen lassen werden. Das Fehlen spezialgesetzlicher Regelungen wird bislang auch nicht durch klärende Rechtsprechung, geschweige denn Urteile des Bundesgerichtshofes kompensiert.Angesichts dieses Schweigens von Gesetz und Rechtsprechung bleiben zur Beurteilung der eigenen Haftungsexposition nur die allgemeinen Produkthaftungsregeln. Dazu gehören in Deutschland das Produkthaftungsgesetz sowie die aus der Schadenersatzpflicht gemäß § 823 Abs. 1 BGB abgeleitete sogenannte Produzentenhaftung. Weil das Produkthaftungsgesetz in verschiedener Hinsicht hinter den Grundsätzen der Produzentenhaftung zurückbleibt, soll sich der Blick hier vor allem auf die Grundsätze der Produzentenhaftung richten. Ob und wann sich aus den Grundsätzen der Produzentenhaftung ein Haftungsrisiko ergibt, ist eine Frage der rechtlichen Prüfung im Einzelfall. Allerdings enthalten diese Grundsätze einige Leitlinien, die für die Beurteilung von Haftungsfragen im Internet der Dinge eine wichtige Rolle spielen: So gelten die Grundsätze der Produzentenhaftung für Hersteller von Software genauso wie für Hersteller von Sachen. Im Anwendungsbereich des Produkthaftungsgesetzes ist hingegen nur die Haftung für verkörperte Produkte unstreitig.Angesichts der für das Internet der Dinge typischen Vernetzung mehrerer Unternehmen bei der Produktion ist ferner wichtig, dass die Produzentenhaftung keinen abschließend fixierten Kreis potenziell Haftender kennt. Vielmehr ist grundsätzlich die Haftung jeder Person möglich, von der aufgrund ihrer besonderen Beziehung zu dem jeweiligen Produkt oder zum Verkehr erwartet werden kann, dass sie auf Produktgefahren achtet und den Verkehr vor ihnen schützt. Eine weitere wichtige Leitlinie betrifft schließlich die Haftung von durch Hackern (mit)verursachten Schäden: Zwar endet die rechtliche Verantwortlichkeit des Herstellers nach den Grundsätzen der Produzentenhaftung grundsätzlich dort, wo ein Dritter vorsätzlich und rechtswidrig missbräuchlich eingreift und dadurch Schaden verursacht. Diese Ausnahme gilt jedoch wiederum dann nicht, wenn die hergestellte Komponente nach den berechtigten Sicherheitserwartungen der Nutzer gerade vor solchen Eingriffen geschützt sein sollte.Hinweise darauf, in welchen Bereichen und in welchem Umfang dies der Fall ist, gibt u.a. das IT-Sicherheitsgesetz, wonach bestimmte Unternehmen, die sogenannte kritische Infrastrukturen betreiben, ihre Cybersicherheitsmaßnahmen am Stand der Technik ausrichten müssen. Ferner sind zu nennen der IT-Grundschutzkatalog des BSI, aber auch das Datenschutzrecht, das geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vorschreibt und datenschutzrechtliche Anforderungen an Software stellt.Neben diesen rechtlichen Leitlinien ist zu sehen, dass das Internet der Dinge Unternehmen bislang ungeahnte technische Möglichkeiten einräumt, über Fehlfunktionen bereits vertriebener Produkte informiert zu werden und Endkunden vor damit verbundenen Gefahren zielgerichtet zu warnen. Gleiches gilt für die technische Möglichkeit, mit vergleichsweise geringem Aufwand, beispielsweise durch remote durchgeführte Software-Patches, Schäden zu verhindern oder zu mindern. Beide Umstände könnten eine Neigung von Gerichten befördern, den betreffenden Unternehmen Verkehrspflichten und damit auch im Ernstfall die Haftung aufzubürden. Individuelle AnpassungDer erste Schritt zur Prüfung und Verringerung der eigenen Haftungsexposition ist, sich die aus der Verschmelzung von physischer und digitaler Welt ergebenden Risiken bewusst zu machen. Welche rechtlichen Haftungsrisiken sich daraus ergeben, muss jedes Unternehmen für sich prüfen. Ergibt diese Prüfung Handlungsbedarf, sollten bestehende Verträge nach Möglichkeit ergänzt werden, beispielsweise indem auf Zulieferseite bei Cloud-Providern und App-Entwicklern entsprechende Haftungs- und Freistellungspflichten begründet werden.Ferner sollte geprüft werden, ob die internen Strukturen der Produkthaftungscompliance (vor allem Produktbeobachtung) überarbeitet werden müssen. Schließlich ist zu bewerten, inwieweit für die identifizierten Risiken Deckungslücken im Rahmen der eigenen (Produkt-)Haftpflichtversicherung bestehen und ob diese durch Zusatzversicherungen wie beispielsweise Cybersecurity-Versicherungen geschlossen werden können.—-*) Klaus Beucher und Dr. Moritz Becker sind Partner von Freshfields Bruckhaus Deringer.