Vernetzte Geräte: Wenn Komfort zum Haftungsrisiko wird25 | 06 | 26

Mit Connected Devices lässt sich heute das ganze Leben füllen. Spielzeug, DIY-Geräte, Kaffeemaschinen, aber auch E-Bikes, Medizinprodukte oder Garagentore – alles geht, vieles verwundert, alles macht Spaß. Was aber, wenn der Hacker ins Produkt eingreift und dann Dritte schädigt?

Vernetzte Geräte sind eine wunderbare Sache. Sie erlauben einen mobilen Fernzugriff, schaffen uns Nutzern eine permanente Übersicht und spielen herrlich unserer Faulheit in die Hände. Viele Geräte, die früher nur auf Knopfdruck vor Ort reagierten, sind heute Bestandteile unserer mobilen Infrastruktur im urbanen Alltag: Wir können von unterwegs den Saugroboter starten, den Mahlgrad der Espressomaschine bestimmen und sogar ganze Maschinenparks in der Industrie 4.0 überwachen.

Ein Blick in die Tageszeitung allerdings zeigt das große Risiko von Hackerangriffen. Sich dagegen zu schützen (Neudeutsch: Cyber-Resilience), wandert gerade von einem puren Interesse individuellen Eigenschutzes hin zu einer harten Rechtspflicht für Hersteller! Denn Vernetzungen lassen als Drohgebärde nicht nur Datenabflüsse und Datenverschlüsselungen auftauchen – hier greift schon immer das Datenschutzrecht, hier wird der neue Cyber Resilience Act der EU eine zusätzliche Rolle spielen – sondern auch das Thema Sicherheit.

Risiken durch Dritt-Zugriffe

Die vernetzten Zugriffe – und da wird es bitter – erlauben zudem eine Piraterie durch Dritte, ein Kapern des Zugriffs und damit ein Beherrschen des Geräts. Das kann lästig sein, es kann aber auch gefährlich werden! Denn der Dritte kann unbemerkt und aus der Ferne das Mobile Device in einen schädigenden Zustand eskalieren: Bei der Kaffeemaschine wird der Überhitzungsschutz übersteuert, beim Medizingerät wird die medikamentöse Tropf-Dosierung geändert und beim E-Bike wird die Beschleunigung drastisch erhöht. All dies sind klassische Produktsicherheits-Risiken, die es früher aber allein als inhärentes Versagen des Produkts gab. Deshalb sind wir auch hochgezüchtete, elaborierte Systeme in Qualitätssicherung und Qualitätsmanagement gewohnt: Konstruktions- und Fabrikationsfehler einzudämmen, war das hohe Ziel jeder Produkthaftungs-Prävention.

Produkthaftungsregulierung kommt im Dezember 2026

Kein Mensch hat in der alten Industrie allerdings damit gerechnet, dass man die eigenen Produkte digital sabotagefest gestalten müsse. Die Manipulation analoger Produkte durch Dritte galt immer als unvermeidbar und wurde daher von Herstellern inkaufgenommen – in der Cyberwelt ändert sich dies gerade dramatisch. Denn die neue Produkthaftungsregulierung – gültig ab Dezember 2026 – wird solche Havariefälle und Schadenszenarien zum Haftungsproblem des Herstellers machen. Der Vorwurf unzureichender Resilienz gegen solche Hackerangriffe wird ein Fehler unzureichender Produktsicherheit. Es gilt: Mangelnde Security = mangelnde Safety.

Parallel dazu gehen verschiedene EU-Vorschriften dazu über, den Marktüberwachungsbehörden ein hoheitliches Einschreiten zu erlauben: das gilt etwa schon jetzt im gesamten Konsumgüterbereich der neuen EU-Produktsicherheitsverordnung. Und dies wird in weitere Industriebranchen, insbesondere in Maschinen und Anlagenbau mit der neuen EU-Maschinenverordnung weiter zunehmen.

Für Hersteller bedeutet dies, Cyberresilienz künftig nicht mehr nur als IT-Thema zu betrachten. Sie wird zunehmend zu einem integralen Bestandteil von Produktsicherheit und Produkthaftungsprävention. Das gilt auch und gerade für die Management-Ebene.

Über den Autor: Prof. Dr. Thomas Klindt

RA Prof. Dr. Thomas Klindt ist seit knapp 30 Jahren in der juristischen Industrieberatung tätig. Sein Spezialgebiet umfasst Produkthaftung, Product Compliance, internationale Produktrückrufe, CE-Kennzeichnungen und Krisenmanagement. Er ist Mitherausgeber der Zeitschrift für ProductCompliance (ZfPC) und lehrt Europäisches Produkt- und Technikrecht an der Universität Bayreuth.