Wer haftet, wenn vernetzte Technik versagt?

Autor / Redakteur: Susanne Meiners * / Sebastian Gerstl

Die technischen Systeme, die uns umgeben, werden von Tag zu Tag autonomer. Mit ihrer zunehmenden Vernetzung wird die Suche nach der Ursache einer Fehlleistung immer komplexer. Die Haftungsrisiken für Unternehmen und Entwickler steigen. Sie müssen identifiziert und neue rechtliche Fragestellungen geklärt werden.

Firmen zum Thema

Wer haftet, wenn ein Cyberangriff ein vernetztes System zweckendfremdet? Oder wenn ein Autonomes Fahrzeug in einen Unfall verwickelt wird? Wir zeigen, wie sich die rechtliche Haftungssystematik darstellt und wer möglicherweise zur Haftung herangezogen werden kann.
Wer haftet, wenn ein Cyberangriff ein vernetztes System zweckendfremdet? Oder wenn ein Autonomes Fahrzeug in einen Unfall verwickelt wird? Wir zeigen, wie sich die rechtliche Haftungssystematik darstellt und wer möglicherweise zur Haftung herangezogen werden kann.
(Bild: gemeinfrei / CC0 )

Digitalisierung und Vernetzung prägen zunehmend unseren Alltag, schaffen innovative Produkte und Lösungen, die uns das Leben erleichtern, die Arbeit effizienter machen und Zukunftsvisionen wahr werden lassen. Doch bei aller Euphorie, die technische Innovationen auslösen, schaffen sie immer auch eines: Unsicherheit. Was passiert, wenn der smarte Rasenmäher statt des englischen Rasens des Gartenbesitzers die Salatpflanzenkultur des Biobauern nebenan mäht? Wenn ein Industrieroboter nach Daten aus der Cloud einen Staubsauger falsch zusammenbaut? Oder ein Hacker in das Steuerungssystem des Aufzugs eines Hochhauses eindringt und die elektronische Absturzsicherung manipuliert?

Unabhängig davon, wie realistisch solche Szenarien, Fehler oder Unfälle sind, stellt sich mit der Einführung einer neuen Technologie immer die Frage: Wer haftet, wenn es durch ihren Einsatz zu einem Schaden kommt? Die Antwort darauf war bisher eindeutig: Wer einen Schaden verursacht, kann dafür haftbar gemacht werden. Doch den Verursacher eines Schadens auszumachen, war schon in der Vergangenheit nicht immer leicht. Wie viel schwieriger ist das heute, wo Geräte und Maschinen immer intelligenter werden und immer autonomer handeln? Sehen wir uns im Folgenden an, wie sich die rechtliche Haftungssystematik darstellt und wer möglicherweise zur Haftung herangezogen werden kann.

Unser Rechtssystem gliedert sich in drei Teilbereiche: das Strafrecht, das Zivilrecht und das Öffentliche Recht. Alle drei sind haftungsrechtlich relevant.

Bildergalerie

Deliktische Haftung

Ein Hacker, der in das Computersystem eines Krankenhauses eindringt, könnte im Falle seiner Verhaftung wegen einer ganzen Reihe von Tatbeständen vor einem Strafgericht zur Rechenschaft gezogen werden: Ausspähen von Daten, Abfangen von Daten, Datenveränderung, Computersabotage – bis hin zu Körperverletzung und Tötung. Der Staat wird gegen den Hacker im Rahmen eines strafrechtlichen Verfahrens eine Sanktion verhängen, sofern ihm nachgewiesen werden kann, dass er vorsätzlich oder fahrlässig gegen Gesetze verstoßen hat. Ein Schadensersatzanspruch für Patienten oder Krankenhausbetreiber leitet sich daraus aber noch nicht ab.

Erst im Zivilrecht zielt die deliktische Haftung auf eine Kompensation von Schäden, die durch unerlaubte Handlungen entstehen. Hier kann der Geschädigte im Rahmen eines Prozesses Schadensersatzansprüche geltend machen. Die Schadensersatzpflicht regelt der § 823 des Bürgerlichen Gesetzbuches. Der 1. Satz lautet: „Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.“ Es muss demnach eine subjektive Vorwerfbarkeit gegeben sein. Auch das Verhalten des Geschädigten spielt hier eine Rolle. Ist ihm ein Mitverschulden vorzuwerfen, kann dies seine Ansprüche gegenüber dem Schädiger reduzieren. Der Geschädigte muss also seinen Mangel an „Sorgfalt in eigener Sache“ selbst verantworten. In unserem Krankenhausbeispiel könnte der Krankenhausbetreiber den Hacker auf Schadenersatz wegen Imageverlust und Gewinneinbußen verklagen. Ein Richter stellt aber möglicherweise eine Mitschuld des Betreibers fest, wenn dieser nicht genug unternommen hat, um sich vor einem solchen Angriff zu schützen.

Vertragliche Haftung

Das Bürgerliche Gesetzbuch regelt auch die vertragliche Haftung. Beim Kauf- oder Werkvertrag wird eine Verpflichtung eingegangen, den Vertragsgegenstand frei von Sach- und Rechtsmängeln zu liefern. Der Krankenhausbetreiber könnte beispielsweise den Softwarehersteller seiner Sicherheitssoftware verklagen, weil diese die kritische Lücke aufwies, durch die der Hacker in das Computersystem eindringen konnte.

Gerade hinsichtlich der vertraglichen Haftung werfen technische Systeme, die immer autonomer agieren, erhebliche rechtliche Fragen auf. Stellen wir uns einen autonomen OP-Roboter vor, der in unserem Krankenhaus eingesetzt wird. Dass diese Vorstellung schon bald Realität werden könnte, bewies im letzten Jahr eine Forschungsgruppe vom Sheikh Zayed Institute for Pediatric Surgical Innovation am Children’s National Health System in Washington D.C., die mit einem solchen Roboter erfolgreich Eingriffe an narkotisierten Schweinen durchführte. Der Roboter erhält aus dem Netzwerk alle relevanten Patientendaten und sammelt in Echtzeit mittels verschiedener Sensoren weitere Daten, die mit speziellen Algorithmen verarbeitet werden und schließlich die Bewegungen seines mechanischen Armes lenken. Wie kann hier eine Sachmängelhaftung aussehen? Kann überhaupt noch ein Mangel festgestellt werden, wenn gewollt ist, dass sich ein selbstlernendes System eigenständig weiterentwickelt? Muss der Produktentwickler Hürden einbauen, die bestimmte Veränderungen nicht zulassen? Und wie kann eine über die Gewährleistung hinausgehende Garantieerklärung aussehen, die für beide Vertragspartner sinnvoll ist?

Produkthaftung

Ähnliche Rechtsunsicherheiten treten auch beim Produkthaftungsgesetz auf, das in Ergänzung des Bürgerlichen Gesetzbuches die Schadensersatzansprüche gegen Hersteller fehlerhafter Produkte regelt. Ein Hersteller haftet für das „Inverkehrbringen“ eines fehlerhaften Produktes, ein Verschulden ist dabei nicht Voraussetzung. Ebenso wenig ist ein Vertrag zwischen Hersteller und Geschädigtem erforderlich. Wir befinden uns hier im Bereich der sogenannten Gefährdungshaftung. Produkte im Sinne des Gesetzes sind nicht nur bewegliche Sachen, sondern auch Elektrizität und Software. Ein Fehler liegt vor, wenn das Produkt beim bestimmungsgemäßen Gebrauch nicht die Sicherheit bietet, die der Nutzer erwarten durfte.

Je komplexer technische Systeme werden, je mehr technische Prozesse beim Betrieb von Maschinen ineinandergreifen, umso schwieriger wird die Suche nach der Fehlerursache. Besonders problematisch wird die Rechtsdurchsetzung der Produkthaftung bei lernfähigen Systemen. Am Beispiel des smarten Mähroboters vom Anfang lässt sich das gut erklären. Der Hersteller der intelligenten Maschine kann sich hier immer auf den Standpunkt zurückziehen, der Fehler habe noch nicht vorgelegen, als er das Produkt in Verkehr brachte. Erst durch das Zusammenwirken von Sensoren, Steuerungssoftware, den spezifischen Gegebenheiten des Geländes und den Einstellungen, die der Nutzer vorgenommen hat, sei der Fehler entstanden, der dazu führte, dass der Mähroboter sein Territorium falsch definierte. Um einen Schadensersatz geltend machen zu können, müsste also die Lernfähigkeit der Maschine selbst als Fehler gewertet werden.

Lösungen haftungsrechtlicher Fragestellungen

Eine Möglichkeit, die Haftungslücke im Zusammenhang mit selbstlernenden Systemen zu schließen, wäre, die autonomen Systeme selbst als Rechtssubjekte zu behandeln und mit einem Vermögen auszustatten, damit im Schadensfall dem Geschädigten ein finanzieller Ausgleich seines Schadens zur Verfügung gestellt werden kann. Denkbar wäre auch, Haushalts-, aber auch Industrie- oder Medizinroboter wie heute schon Fahrzeuge im Straßenverkehr mit einer Pflichtversicherung auszustatten, die verschuldensunabhängig im Schadensfall zahlt.

Dass sich die Regelungen zur Produkthaftung verändern müssen, ist vielfach diskutiert und angemahnt worden. Verbindliche Sicherheitsstandards und Neuregelungen der Produkthaftung werden bald kommen. Auf einem anderen Gebiet der Gefährdungshaftung, der Haftung im Straßenverkehr, hat der Gesetzgeber schon gehandelt. Am 21. Juni 2017 trat eine Änderung des Straßenverkehrsgesetzes in Kraft, die dem autonomen Fahren einen rechtlichen Rahmen gibt. Künftig sind Fahrzeuge mit hoch- oder vollautomatisierter Fahrfunktion im Straßenverkehr zugelassen, wenn sie bestimmte Vorraussetzungen erfüllen. So muss beispielsweise der Fahrer den Computer jederzeit übersteuern oder deaktivieren können.

Bildergalerie

Haftungsrechtliche Neuerungen beim autonomen Fahren

Mit der Gesetzesänderung treten zum ersten Mal auch neue potenzielle Haftungssubjekte in Erscheinung: Bisher wurde im Straßenverkehr rechtlich nur der Halter des Fahrzeugs, das einen Schaden verursacht hat, belangt. Zwar hält das Gesetz grundsätzlich an der Halterhaftung fest, nach der sich Geschädigte an die Haftpflichtversicherung des Autohalters wenden müssen. Ist der Fahrfehler jedoch im Modus des selbsttätigen Fahrens passiert und hat das System den Fahrer nicht zur Übernahme aufgefordert, kann die Versicherungsgesellschaft Regressansprüche beim Hersteller des Fahrzeugs und bei seinen Zulieferern stellen. Bundesverkehrsminister Alexander Dobrindt brachte das auf die Formel: „Wir schaffen eine rechtliche Gleichstellung zwischen dem menschlichen Fahrer und dem Computer als Fahrer.“

Wie problematisch diese Gleichstellung im Einzelfall sein kann, lässt sich an ausweglosen Situationen sehen. Ein Mensch, der während des Fahrens in eine Zwickmühle gerät und binnen Sekundenbruchteilen entscheiden muss, welches von zwei Rechtsgütern er verletzt, um das andere zu schützen, kann sich im Schadensfall auf den sogenannten übergesetzlichen entschuldigenden Notstand berufen. Die entsprechende Programmierung einer potenziellen Dilemma-Situation in einer Systemausstattung findet aber ohne Notsituation geplant statt. So kann der Software-Entwickler für daraus entstehende Schäden haftbar gemacht werden.

Kreis der Schuldner erweitert sich

Die Neuregelung der Haftungsfrage im Straßenverkehrsrecht zeigt, wohin die rechtliche Entwicklung geht: Wurde bisher nur belangt, wer einen Schaden verursacht und auch zu verantworten hat, kommt jetzt zusätzlich eine Haftung desjenigen in Betracht, der es nicht verhindert hat, dass ein Schaden entstanden ist. Damit steigt zukünftig das Haftungsrisiko für Hersteller und Entwickler enorm.

Wege der Risikominimierung sind die Einhaltung von Sicherheitsleveln und die Zertifizierung von Komponenten, Software und Prozessen. Hier gelangen wir in den Bereich der rechtsverbindlichen Normen und Richtlinien, die Teil des Öffentlichen Rechts sind. Eine falsche Sicherheitslevel-Einordnung kann haftungsrechtliche Folgen haben. Deshalb sollten Unternehmen in der Produktentwicklung alle Normen und Gesetze rund um Funktionale Sicherheit und IT-Security von Anfang an mit berücksichtigen und sich gegebenenfalls das nötige Know-how einkaufen. Oft herrscht bei Entscheidern auch der Irrglaube vor, ein Prüflabor hafte, wenn eine zertifizierte Komponente für eine Fehlleistung verantwortlich war. Doch Zertifizierer können nur sehr eingeschränkt in Haftung genommen werden, nämlich nur dann, wenn ihnen eine unsachgemäße Zertifizierung nachgewiesen werden kann. Grundsätzlich übernehmen Zertifizierungsstellen keine Gewähr für eine bestimmte Qualität in der Produktion oder für Betrieb und Nutzung der von ihnen zertifizierten Sachen.

Implementierung von Nachweisverfahren

In Zukunft wird in Haftungsfragen die Beweissicherung, insbesondere dort, wo Datenströme fließen, immer mehr Bedeutung erlangen. Auch hier sind gesetzliche Vorgaben zu erwarten und zum Teil auch schon beschlossen worden. So schreibt das geänderte Straßenverkehrsgesetz für das autonome Fahren eine Blackbox vor, die bestimmte Daten speichert, damit im Falle eines Unfalls zweifelsfrei nachgewiesen werden kann, ob der Fahrer oder der Computer gesteuert hat.

Die rechtliche Seite im Entwicklungsprozess immer mitzudenken und sich diesbezüglich beraten zu lassen, sollte nicht als Innovationsbremse missverstanden werden, sondern als Weg, mit größtmöglicher Sicherheit hochwertige Produkte und Lösungen zu entwickeln, die Schaden von der Umwelt und den Menschen abwenden. Wie dramatisch sich falsche Entwicklungsentscheidungen auswirken können, lehrt das Beispiel Abgasskandal. 20,3 Milliarden US-Dollar an Strafen und Kompensationen bezahlt VW alleine in den USA für die unzulässige Programmierung einer Abschaltvorrichtung. In Deutschland werden die Gerichte noch Jahrzehnte mit der Aufarbeitung von Haftungsfragen im Zusammenhang mit den Abgasmanipulationen befasst sein. Stiftung Warentest sammelt alle Urteile, die Käufern und Aktionären im Zusammenhang mit dem Skandal Schadensersatz zusprechen.

Fazit

Am Ende werden nur diejenigen Hersteller einen klaren Wettbewerbsvorteil haben, die am wenigsten in Skandale mit kaum kalkulierbaren Folgekosten, schlechter Presse und langwierigen Gerichtsprozessen verwickelt sind und das größte Vertrauen und Ansehen bei Kunden und Verbrauchern genießen.

* Susanne Meiners ist Juristin der NewTec GmbH, Spezialist für sicherheitsrelevante elektronische Systeme, und Mitglied der Arbeitsgruppe „Rechtliche Rahmenbedingungen“ der bundesweiten Plattform Industrie 4.0.

(ID:45044796)